SOCとは|その意味やCSIRT・MDRとの違い・構築するためのポイント・課題点
インターネットの普及が急速に進み、IoTやDXという形で個人・企業ともサイバーセキュリティの必要性が向上しています。特に企業における対策は高度なものが求められており、SOCが注目を集め始めました。
本記事ではSOCの概要と注目されている背景の解説、構築するうえで要となる3つのポイントを紹介します。サイバーセキュリティ向上を検討されている人は、本記事を参考にしてみてください。
SOCとは?
SOC(Security Operation Center)とは、システムの名前ではなく、企業内に設置されたセキュリティ部門やチームのことです。「ソック」と呼ばれており、主にIT機器やネットワークなどの監視・分析とサイバー攻撃の検知を行います。
なお、SOCと似た用語に「CSIRT」「MDR」があります。いずれもサイバーセキュリティに関連する単語ではあるものの、指している対象が異なります。従って、SOCとは別物であり、注目度も異なることを覚えておきましょう。
| 用語 | 役割 |
|---|---|
| SOC | 企業内に配置されるセキュリティ部門・チームのこと。IT機器やネットワーク、デバイス、サーバーなどの監視と分析・サイバー攻撃の検知が仕事。 |
| CSIRT | セキュリティインシデントの対応を主目的とする部門。SOCと同じような業務を行うが実際に起こったインシデントの対応を担当する立場。 |
| MDR | サイバー攻撃の検知・対応をする外部サービスやベンダーのこと。社外にあるサイバーセキュリティチーム。 |
【関連記事】サイバー攻撃とは?手口の種類や事例、最近の動向と対策を詳しく紹介
CSIRTとの違い
CSIRT(Computer Security Incident Response Team)は、セキュリティインシデントに対応する部門です。読み方は「シーサート」です。セキュリティにおけるインシデントとはマルウェア感染や機密情報の流出をはじめとする脅威のことを指し、これに対処する部門と覚えておけばよいでしょう。
SOCと混同されますが、CSIRTは実際に被害が起きた後に対応するのに対し、SOCはインシデントが発生していないかを監視する立場という違いがあります。どちらも重要な立場ではあるものの、未然にサイバー攻撃を防ぐという意味でSOCの需要が高まっているのです。CSIRTも重要なポジションであることに変わりはなく、優劣関係にあるわけではありません。
MDRとの違い
MDR(Managed Detection and Response)は、SOCやCSIRTの役割を代行するサービスやベンダーを指します。企業内部でセキュリティ部門が結成できない場合、MDRにその役割を一任することができます。
人材登用や育成が難しいため、契約と同時にサイバーセキュリティを担当する機関ができるのがメリットです。反面、MDRに頼りきりになることで社内人材の育成の意識が薄くなってしまうデメリットもあります。MDRで代行を依頼しつつ、同時進行で自社のセキュリティ部門結成に向けた人材育成・採用をすすめるのがベストです。
SOCが注目されている理由
SOCが注目を集めている背景は、IT活用が各方面に広がったことにあります。政府主導でDX化を推進していますが、その反面で多くの企業がDX化することによってサイバー攻撃のリスクにさらされるようになりました。
また、DX化推進の弊害として多様化したデバイスやシステム環境が挙げられます。デバイスやシステム環境が多様化したことにより、外部ネットワークとの接続が増加した結果、攻撃をされる経路が多様化・複雑化し、担当者だけでは対応が難しくなりました。企業内担当者だけでは対応できないケースも珍しくなく、結果的に対応が後手に回ってしまう可能性も否定できません。
同時に、近年のサイバー攻撃が高度化した関係で、対応が難しくなってしまった側面もあります。さらに、セキュリティの監視は24時間365日実施しなければなりません。当然少人数でできるものではないため、チームとしてSOCを組んでおく必要があるのです。
SOCはサイバー攻撃を受けてしまう前に監視をしておくことで、受ける被害を最小限に抑える可能性があります。IT活用が企業にとって不可欠になった今、以前よりも注目された背景と言えるでしょう。
SOCを構築するために必要なこと
SOCを構築しても、適切に運用できなければ意味がありません。SOCを自社で構築するには、以下のポイントを押さえておく必要があります。
- IT資産・情報資産の監視システム導入
- セキュリティ人材の採用・育成
- 業務の手順・ルールの見直し
ひとつずつ解説します。
IT資産・情報資産の監視システム導入
IT資産とは物理的・システム的なITに関わるものを、情報資産は電子データを指します。これらを安全かつ安心に管理するために監視システムの導入が必要です。
先述のとおり、監視は24時間365日休みなく実施しなければなりません。また、遠隔から一元管理できる体制も求められており、人海戦術でどうにかなる問題ではないでしょう。これらの課題を解決するため、監視システムを導入しなければならないのです。
監視する範囲は各種デバイスのほか、以下のものが該当します。
- PCの操作ログ
- Web閲覧履歴
- メール送受信履歴 など
上記がいつどこで、誰がどのように何をしたのかを把握できるシステムを導入しなければなりません。これらの要素が監視できないと、SOCを構築した意味がなくなってしまいます。
セキュリティ人材の採用・育成
「MDRとの違い」でも解説したとおり、一時的にMDRを契約して体制を整えたとして自社でセキュリティ人材を採用・育成する流れを整えておかなければなりません。セキュリティ部門を創設するには相応の費用などが必要になるため、総合的な判断と決定が求められます。
また、企業がセキュリティのために人材を募集しても反応が薄い可能性があります。セキュリティに対する基本理解が低い企業では、採用しても戦力にならないのではないかと思われてしまうでしょう。採用と人材教育と同時に、企業内にサイバーセキュリティに対する危機感と重要性の共有が必要です。
業務の手順・ルールの見直し
SOCを構築すると、従来の業務やルールを見直したり、新たに策定し直す必要が出てきます。具体的には以下のものがあります。
- 私物デバイスの利用制限
- USBをはじめとする記録媒体の使い方
- 閲覧権限を付与する人物の決定 など
上記以外にも多くの業務やルールの見直しが必要です。同時にこれらを違反した場合の処罰規定も作成しておくと良いでしょう。SOCを構築するだけではなく、全従業員に対してセキュリティリテラシーを意識させることが大切です。
SOCを構築するうえでの課題点
SOCを構築するうえで特に課題となるのがSOCを担当しない従業員の教育・指導です。繰り返しになりますがSOCを構築するだけではサイバーセキュリティ対策にはなりません。また、SOC担当者だけが努力してインシデントを防げるわけでもないでしょう。
SOCだけではなく、CSIRT・MDRにしても同様のことが言えます。企業に関わる全社員がサイバーセキュリティの重要性とサイバー攻撃の脅威を知らなければ、うまく機能することはありません。SOC構築の課題は、SOC担当者だけの問題ではないことを覚えておきましょう。
まとめ
SOCを構築することで、社内のサイバーセキュリティに対する対策になります。しかし、それだけでSOCが機能するわけではありません。インシデントへの対応策としてSOCを構築することはもちろん、全社一丸となってサイバーセキュリティに対する意識を向上させなければならないでしょう。
「GMOサイバーセキュリティ by イエラエ」では、SOC・CSIRT構築のお手伝いをさせていただきます。攻撃者目線に立ったセキュリティ対策の具体化や技術支援を実施。お客様にあわせた対策ロードマップの作製や費用対効果を意識したセキュリティコストの提案まで幅広く対応できます。初めてのセキュリティ対策でも問題ありません。SOCを構築しようと検討している方は、ぜひ「GMOサイバーセキュリティ by イエラエ」までお問い合わせください。
文責:GMOインターネットグループ株式会社
