SOCとは何か?その仕組みについて解説します。

2021.07.20

セキュリティ用語

SOCとは何か?その仕組みについて解説します。

みなさんはSOC(ソック)という言葉を聞いたことはありますか?

 

SOCとは「Security Operation Center(セキュリティ・オペレーション・センター)」の略で、顧客または自己組織を対象とし、情報セキュリティ機器、サーバ、コンピュータネットワークなどが生成するログを監視・分析し、サイバー攻撃の検出・通知を行う組織です。

 

あまり知られていない言葉ではありますが、昨今SOCを構築する企業が増えている傾向にあり、各企業のセキュリティ意識が向上してきていることがわかります。

 

今回はSOCとはどういった組織なのか、何をしているのかについて基礎知識を解説していきます。

 

目次

企業のセキュリティ監視を行う組織:SOCとは?

SOCは企業に向けたサイバー攻撃の検出や分析を行い、的確なアドバイスを提供する役割を持つ部門や専門組織を意味します。

 

高い専門性が要求され、かつ24時間365日の監視が必要であることから、外部に委託されるケースが多いです。

 

一方自社で運用リソースをまかなうことができるほど規模の大きな企業は、組織内にSOCを設置しプライベートSOCを構築します。

 

では、SOCが必要となる要因は何でしょうか?

 

 

SOCが必要とされている要因とは

リモートワークなどの働き方の多様化などを受けて、サーバやパソコンだけではなく、仮想デスクトップ、スマートフォン、タブレットといったさまざまな特徴を持った端末を使って仕事を行うことが増えています。

 

システム環境を見ても、単純なLAN環境だけでなく、クラウド環境との連携といったケースも多いです。

 

システム環境や端末の多様化を受け、サイバー攻撃も多種多様になり、世界中からあらゆる手段を使って狙われるようになりました。

 

そういったサイバー攻撃に対処するために、ウイルス対策ソフト・ファイアウォール・IPS/IDSなどさまざまな対策を行い、さらに、24時間365日監視をする必要性も高まっています。これら業務を担う組織をSOCと呼び、多くの企業から需要が高まっています。

 

 

SOCを構築するためには

24時間365日企業へ向けたサイバー攻撃を監視する組織であるSOCですが、サイバー攻撃を監視するための手法は先に挙げたように多種多様です。

 

実際に利用するセキュリティ対策サービスも1つ2つではありません。さらに24時間365日の常時監視が必要です。

 

こういった運用を行うためには、インシデントの解析までできるセキュリティに特化した技術者が複数人必要となりますが、そう簡単には見つかりません。セキュリティに特化した人材が少ない日本の場合、実現はなかなか難しいでしょう。

 

では、SOCは具体的にはどのような業務を行っているのでしょうか?

 

 

SOCが行う業務とは

SOCは、ファイアウォールやIPS/IDSといったセキュリティ機器、ネットワーク機器や端末のログなどを定常的に監視し、発生した事象を分析します。

 

そこで脅威となるインシデントの発見や特定、連絡を行う役割を持っています。

 

また、そのインシデントの影響範囲を調べ、あらかじめ想定されたリスクや指標に基づいて、 インシデントを評価します。

 

 

SOCとCSIRTとの違い

同じくセキュリティ関連の組織であるCSIRT(シーサート:Computer Security Incident Response Team)があります。 CSIRTではインシデントが発生したときの対応に重点が置かれているのに対し、 SOCは脅威となるインシデントの検知に重点が置かれているという特徴があります。

 

 

SOCの仕組み

セキュリティの監視では主に以下のようなデバイスのログをチェックします。

 

• ファイアウォール
• IDS・IPS
• ウイルス対策ソフト
• メールサーバ
• Active Directoryなどの認証サーバ
• Webフィルタリング

 

これらのログを1つ1つ監視するのではなく、これらのログをSIEM(シーム:Security Information and Event Management)というシステムに集約します。そしてSIEMに検知したい異常なイベントのルールなどを登録することにより、自動的に異常を検知してアラートをSOCに送信します。SOCはそのアラートをもとに、どのような異常が発生してどのような影響があるのかを調査します。

 

調査の結果、実際のサイバー攻撃や、それによる被害が発生した場合は、セキュリティインシデントと認定してCSIRTなどの組織に連絡します。その後はCSIRTが主体的にインシデント対応を行います。

 

SOCとCSIRTとの違い SOCの仕組み SIEM(Security Information and Event Management)

SOC構築について

自社でSOCを構築する場合には、SOCのミッションや責任範囲を定義することが重要です。SOCをサポートするための手順、プロセスを明文化することや、監視対象の技術分野やデータタイプの決定、人材確保、イベントの管理といったポイントを踏まえる必要があります。

 

SOCを構築するポイントをまとめると、以下となります。

 

• SOCの定義 ― SOCの任務、責任範囲を設定
• プロセスの決定 ― SOCをサポートするのに必要なテンプレート、手順、プロセスを特定して文書で明確化
• 環境の理解 ― 監視する技術分野、「使用事例」およびSOCが受信するデータのタイプを決定
• 顧客の特定 ― 顧客のクラスおよびSOCとの関係を決定
• SOCの人材確保 ― 受付時間、およびシフトごとに必要なスタッフを定義
• イベントの管理 ― SOCが受信するイベントの分類、割り当ておよび優先順位付け
• ITIL※の活用 ― ITILのコアコンポーネントを理解して、SOCを効果的かつ継続的に運営

※ITIL:ITサービスマネジメントのベストプラクティスをまとめたフレームワークであり、ITサービスマネジメントの業界標準として広く認知されています。

 

なお、セキュリティ人材の確保、育成や、SOC経験者のキャリアパスの提示、適切な評価、動機づけなどの人事面での課題が指摘されることがあるため、自社でSOCを組織し、効果的かつ継続的に運営することは、一般企業にとってはハードルが高いです。

 

そこで注目されているのが、SOCの機能を外部にアウトソースするSOCサービスです。サービス提供者のデータセンターにセキュリティ機器を設置し、それらやサーバから送られてくるセキュリティアラートやセキュリティログを、専門のセキュリティオペレーターとアナリストが24時間365日の体制で監視・分析し、異常を検知してインシデントに迅速に対応します。

 

企業の規模や、実際に運用をすることができる人材がどれだけいるかによって自社でSOCを運用するか、アウトソーシングで運用するかを決めると良いでしょう。

 

企業のセキュリティの質向上のためにも一度SOCの立ち上げを検討してみてはいかがでしょうか。

 

SOC以外のセキュリティ対策クラウド型WAFサービス

SOCの構築が社内で難しい場合、WAFを導入することで、Webサービスへの脅威から守ることができます。

 

クラウド型WAF「攻撃遮断くん」は、低価格かつ簡単に運用できるWebセキュリティ対策の有効な選択肢の一つです。この機会にWAFの導入も選択肢としてご検討してみてはいかがでしょうか。

 

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。


SOC以外のセキュリティ対策 クラウド型WAF 攻撃遮断くん Web Application Firewall
https://www.shadan-kun.com/

 

(2017/6/15 執筆、2019/1/10 修正・加筆, 2021/07/20 修正・加筆)

  • 国内商用Webサイトが受けやすいサイバー攻撃とは?|サイバー攻撃の統計データから傾向を読み解く|今すぐ無料で資料をダウンロード
  • 御社のセキュリティ対策は本当に大丈夫ですか?約80%の企業が対策不足と言われています。Webセキュリティをいますぐ確認!3つのチェックポイント。今すぐ無料で資料ダウンロード