SOCとCSIRTとMDRの違いを解説!セキュリティ管理に対する役割とは?
企業のセキュリティを守るためには組織的なチームが必要です。
この記事ではセキュリティ対策への取り組みとして注目されているSOC、CSIRT、MDRの違いについて解説します。組織を立ち上げることに必要な手順や、チーム編成のメリットを解説します。
結論として、SOCはセキュリティの中の一部分になりますので、CSIRTやMDRなどの導入も検討する必要があります。そして、セキュリティを守るためには組織的な仕組み作りとともに、従業員のセキュリティ意識を改善することが必要です。
SOC、CSIRT、MDRによって、リスクに強い組織構築を実践していきましょう。
SOCとCSIRTとMDRの違い
社内にセキュリティチームを編成するには「SOC」「CSIRT」「MDR」といった3つの組織作りが重要です。
それぞれの略称や意味は、以下表の通りです。
SOC(Security Operation Center) | 企業内のセキュリティチーム:ネットワーク監視を行いインシデントの早期発見、セキュリティ強化を図るための組織 |
|---|---|
CSIRT(Computer Security Incident Response Team) | セキュリティインシデントに対応する部門:原因究明や再発防止など対応に関する意味合いが強い |
MDR(Managed Detection and Response) | 24時間体制でセキュリティ監視を行う、社外の運用サービスのこと:SOCとCSIRTを運用する部門環境を代わりに構築し運用を行ってくれる |
テクノロジーが複雑化してセキュリティへの意識が注目される近年では、特にSOCが注目されています。SOCとCSIRT、MDRの違いはどこにあるのでしょうか?
詳しく見ていきましょう。
SOCとは?
SOCとは企業内に設置されたセキュリティチームです。
SOCはシステムの名称ではなく、組織されたチームを表す呼称で、主にIT機器やネットワークを監視・分析することでサイバー攻撃から企業の情報資産を守るセキュリティ機能を果たします。
SOCの読み方について
「Security Operation Center(セキュリティオペレーションセンター)」の略のことで、日本語では「ソック」と呼称されます。
似た言葉としてSoC(エスオーシー)という言葉がありますが、こちらは「system on a chip」の略称で、製造業界で使われる言葉です。「すべてのシステム・機能要件を半導体チップに集約させたもの」という意味で、一見セキュリティ用語に見えますが、デバイス要件になるので気にしなくて良いです。
CSIRTとSOCの違い
CSIRT(Computer Security Incident Response Team)はセキュリティインシデントへの対応を専門とするセキュリティチームです。セキュリティインシデントとは、情報漏えい事故やサイバー攻撃の被害などセキュリティに関する事件・事故を指します。日本語においては「CSIRT(シーサート)と略されます。
CSIRTとSOCの違いは、CSIRTが実際にセキュリティインシデントが発生した後の処理をするチームであるのに対して、SOCはセキュリティインシデントを未然に防ぐチームであることです。
CSIRTとSOCはどちらもリスクマネジメントに対応する組織ですが、近年ではセキュリティインシデントを未然に防ぐSOCへの注目が高まっています。
MDRとSOCの違い
MDR(Managed Detection and Response)は先に挙げたSOCやCSIRTに対応する外部のベンダーです。
テクノロジーが複雑化するなか、社内でセキュリティ対策をしたくても人員コストなどリソースが足りない場合が多いです。MDRでは外部のベンダーを活用することで、社内の足りないリソースを有効活用できます。
SOCとMDRの違いは、社内のチームであるか社外のチームであるかという違いです。
MDRは専門ノウハウを活用できる便利な存在ではありますが、MDRに頼りすぎでは社内の人材が育たなくってしまいます。MDRを活用しながらSOCおよびCSIRTを編成し、自社内でもセキュリティ人材を登用することが求められます。
SOCの問題点・デメリット
「SOC単体だけの場合、インシデントが発生したことがわかる」だけでそれ以外は対応が難しいということが大きな課題と言われています。特に「想定していない問題が発生したとき」「管理対象ではないものからの問題が発生したとき」に弱さが露呈するケースが多いです。
以上のことから、SOC構築時には、インシデントレスポンスを行える組織や外部サービスと連携した設計が必要と言われています。
SOCの課題
- 発見・検知に特化しているが、インシデント発生時の対応に遅れを取る可能性がある
- 複数の管理対象がある場合、アラート受信から原因特定までに時間がかかる可能性がある
- 管理対象外のインシデントに対しては対応ができない
CSIRTがあるから問題ないと考える担当者も多いそうですが、能力でカバーされている組織の場合には、担当者不在などで重度のインシデント発生時のカバーができなくなる可能性もありますので「ゼロトラストセキュリティ」の考えに即して、あらゆる危機を想定した運用が求められると言えます。
なぜセキュリティチームが必要なのか
サイバーセキュリティへの対策が重要視されている背景には「DX化への対応」「セキュリティリスクの軽減」「セキュリティパッチの適用」といったものがあります。
経済産業省が公表しているガイドラインによると、セキュリティリスクの発覚経緯は約7割が外部からの指摘によるものとなっています。
“近年、企業が有する個人情報や重要な技術情報等を狙うサイバー攻撃は増加傾向にある。また、特定の組織を狙う標的型攻撃を中心としてその手口が巧妙化しており、インシデントの発覚経緯の約7割は外部からの指摘によるものといったように、攻撃を受けたこと自体に気づかないことが多い。”
引用:サイバーセキュリティ経営ガイドライン|独立行政法人 情報処理推進機構
このように、セキュリティリスクは私たちが認識していないところに潜んでいるものです。
セキュリティリスクに関する重要性について、詳しく見ていきましょう。
セキュリティリスクの軽減
デジタル機器を使い続けていると、脆弱性に起因するセキュリティリスクが発生します。脆弱性とは、プログラムの不具合や設計上のミスが原因で発生する情報セキュリティの欠陥のことです。
セキュリティリスクを軽減するためには、こういったセキュリティリスクを軽減していく必要があります。
セキュリティパッチの適用
セキュリティ対策を強固にするためには、セキュリティパッチの適用が求められます。セキュリティパッチとは、既存のソフトウェアやプログラムで発見された問題点や脆弱性を解決するためのプログラムです。
古いソフトウェアを使い続けていると、セキュリティリスクに対応しなければなりません。ソフトウェアの維持には継続的なセキュリティマネジメントが必要であり、組織的にセキュリティ水準を維持しなければならないのです。
DX化への対応
サイバーセキュリティへの対策が重要視されている背景として、「DX化への対応」があります。企業活動におけるDX(デジタル・トランスフォーメーション)とは、データやデジタル技術を活用して業務プロセスやビジネスモデルを改善する一連の手続きを指します。
DX化はデジタル技術を活用して企業活動を改善しますが、DX化にはいくつか弊害があります。セキュリティの観点から見たDX化の弊害とは、セキュリティ技術が複雑化してセキュリティリスクが増えることです。
例えば、DX化が推進されることによって企業活動のなかにデジタル端末に関わることが増えていきます。これは便利である反面、セキュリティリスクに晒される機会が増えていくことを意味するため、より強いセキュリティマネジメントが求められるのです。
SOCやCSIRTの立ち上げに必要な手順
SOCやCSIRTは社内の人員やIT資産を取り集めて、主に以下の流れでチームを編成していきます。
- IT資産の適切な管理
- 業務フローの管理
- セキュリティログの管理
- セキュリティ人材の採用
- 社内へセキュリティ意識の周知
SOCやCSIRTは企業の情報資産を管理する重要な役割があります。以下のポイントを意識してチームを構築していきましょう。
IT資産の適切な管理
セキュリティチームを立ち上げるためにはIT資産の適切な管理が必要です。IT資産とはパソコンやスマートフォンなどのデバイスをはじめ、ネットワークを構築するサーバーやネットワーク機器などを指します。適切なIT資産を選定し、セキュリティを安全に保つ体勢を整えます。
業務フローの管理
SOCやCSIRTを構築するためには、業務フローの管理を行います。業務フローとは仕事のプロセスを示した一連の流れです。業務フローの中にセキュリティリスクが存在することを認識することで、セキュリティリスクへの対応策が見えてきます。
セキュリティログの管理
セキュリティリスクに対応するためには、セキュリティログを管理することが有効です。セキュリティログとは、セキュリティに関して追加や変更があった場合に記録される証跡です。ログを残すことで、セキュリティにトラブルが生じた際に原因を究明することが可能になります。
セキュリティ人材の採用・育成
セキュリティを守るためには優秀な人材が必要です。セキュリティ人材の採用および育成することで、セキュリティリスクへ正しく対応できます。
社内へセキュリティ意識を周知する
セキュリティレベルを保つためには、社内へセキュリティ意識を周知する必要があります。セキュリティ体制が強固であっても、従業員のセキュリティ意識が欠如していればセキュリティリスクは大きくなってしまいます。セキュリティリスクへの危険性および対策を従業員へ周知することで、セキュリティリスクが発生するリスクを軽減できるのです。
セキュリティの事例
デジタル端末を使う上で、サイバーセキュリティに関する脅威はつきものです。SOCを編成する上では、これらのサイバーセキュリティに向き合って対策を取らなければなりません。
ここでは、サイバーセキュリティの事例として「ファイルレスマルウェア」「ランサムウェアへの感染」を紹介します。それぞれの脅威について、企業が取るべき行動や対策について見ていきましょう。
ファイルレスマルウェア
ファイルレスマルウェアとは、悪意のあるソフトウェアやファイルを使うのではなく、対象となるパソコンに標準で組み込まれたソフトウェアを使ったサイバー攻撃です。
一般的なマルウェアは、ユーザーに何らかのソフトウェアをインストールさせて攻撃を実行します。これに対し、ファイルレスマルウェアはディスク上に攻撃の痕跡を残さず、メモリ内に常駐して攻撃を実行するなどの方法を取ります。
ファイルレスマルウェアの感染経路は、電子メールの添付ファイルが主な手段です。感染しないためには、従業員が不穏な添付ファイルを開かないことが求められます。
ランサムウェアへの感染
ランサムウェアとはスマートフォンやパソコンなどのデバイスを経由し、デバイスの脆弱性を利用して攻撃する不正プログラムです。ランサムウェアに感染すると、データを人質にされ、金銭を要求されます。
ランサムウェアへの感染を防ぐためには、SOCによるセキュリティリスク対策のほか、従業員がセキュリティ意識やセキュリティリテラシーを認識することが必要です。
SOCとCSIRT、MDRを活用しながら自社に適切なセキュリティ対策を実施しよう
企業を脅かすセキュリティリスクへ対抗するためには、社内外にセキュリティチームを発足することが有効です。特に、DX化が進んでいる現代ではセキュリティリスクに対抗することが強く求められています。
代表的なセキュリティチームとして、「SOC」「CSIRT」「MDR」があります。
SOC | 企業内のセキュリティチーム |
|---|---|
CSIRT | セキュリティインシデントに対応する部門 |
MDR | 社外のサイバーセキュリティチーム(ベンダーなど) |
セキュリティ対策が複雑化するなか、注目されているのはSOCというチーム作りです。SOCはセキュリティインシデントが発生する前から未然に対策できるため、サイバーセキュリティへの有効な対策手段となります。
マルウェアやランサムウェアなどのサイバーセキュリティへ対抗するためには、「SOC」「CSIRT」「MDR」をはじめとした組織的なチーム作りが有効ですが、従業員によるセキュリティ意識を高めることも必須です。
USEN GATE 02 では、SOCをアウトソースできるサービスを提供しています。
適切なセキュリティ対策を実施して、セキュリティの脅威から企業の情報資産を守りましょう。
