SOCとは？セキュリティ運用の必要性について解説

みなさんはSOC（ソック）をご存知でしょうか？

本来、セキュリティ対策ツールは「導入する」だけでなく、「運用すること」で効果が発揮されますが、つい導入が完了したことに安心して、適切な運用が出来ているのか？についてはあまり振り返っていない…という企業もあるのではないでしょうか。また日本の多くの企業へサイバーセキュリティの対策の甘さに警鐘が鳴らされる世の中で、比例して注目されているのが「セキュリティ人材」であり、運用の肝となるのがセキュリティ人材で構成されるSOCです。
今回はセキュリティスペシャリスト集団であるSOCについてご紹介します。

^{※セキュリティ人材とは…サイバー攻撃やウイルス・不正アクセスに関する対策、制御システムの情報セキュリティ対策・管理などを専門業務とする情報セキュリティに関する知識・技術がある人材のこと。}

SOCとは、Security Operation Center（セキュリティオペレーションセンター）の略で、24時間365日ネットワークの監視・分析を行う組織のことを指します。セキュリティのスペシャリストが常駐し、リアルタイムで攻撃の検知・分析・報告を行うことで、あらゆるサイバー攻撃から社内ネットワークを守るための手助けをしてくれます。

SOCはネットワークやソフトウェアを管理する情報システム部とは別の組織として社内に構成されるのが理想ですが、ベンダーが提供するSOCサービスを利用する事でSOCとしての機能を補完する事もできます。監視範囲はベンダーによって異なりますが、PC、サーバ、UTMからクラウド環境まで及びますので、社内で必要なセキュリティを全て任せることができます。

SOCでは、異常をリアルタイムで検知・ログ分析を行うことで、いち早くどこで何が起こっているのかを報告してくれます。たとえ、不正アクセスから侵入を許したとしても、迅速に検知し、対応すれば情報を奪われる可能性を十分に小さくすることができます。
また、ネットワークやサイバー攻撃の状況のレポーティングや企業のセキュリティ対策に対する提案まで実施することもあります。

CSIRT（シーサート：Computer Security Incident Response Team）もSOCと同様にセキュリティインシデントの予防と事後対応が仕事になるので、役割としては多く共通項がありますが、CSIRTは、人的脅威、または自然災害等の物理的脅威にまで対応し、インシデント発生時の「対応」では、事業・取引先・ブランドを守ることに重点を置く組織のことです。
平時においては社外のCSIRTと連携し情報収集をしたり、セキュリティ対策ツールの導入や、インシデント発生時の対応手順の策定、社員へのセキュリティリテラシーの教育などの業務を行います。またいざインシデントが発生した時には、インシデントの把握・原因分析・経営層や社外関係者への報告・問題解決や再発防止策の策定といった役割を担っています。
サイバー攻撃や会社関係者の業務上過失等、100%未然に防ぐことは難しいセキュリティインシデントの損害を最小化することを目的としている点はSOCと同じです。SOCがネットワークやシステムに焦点を当て、それらから集積したログを解析したり、リアルタイムで起きている世界各国のセキュリティ脅威（技術的脅威）と照合しながら「監視・検知」を行い、有事の際にもネットワークやシステムを守る事に重点を置くのが役割ですので、守る対象や方法に違いがあるのが分かります。

NOC（ノック：ネットワークオペレーションセンタ）という語句もSOCの関連語句として挙げられます。
SOCと同じように基本的には24時間365日監視を行いますが、NOCは通信ネットワークのパフォーマンス（速度や安定性など）や健全性を維持することを目的とした施設（または組織）であり、SOCとは対象・目的が異なります。
ネットワークの異常をいち早く検知し、速度の低下やネットワーク障害への対応を行います。

24時間365日ネットワークの監視・分析を行うSOCに求められる主な機能としては、大きく３つあります。

セキュリティツールのふるまい検知・分析機能などを活用し、セキュリティインシデントにつながる脅威を検知したり、その内容を担当者に通知する役割を担います。
SOCの一番基本的な機能であり、素早く検知し、アラートを出すことで迅速な対応につなげることができます。

検出した脅威への対応もSOCに求められる機能の一つです。
ネットワークからの隔離や関係者への通知といった緊急対応の他、ログなどを収集・分析することで原因の解明・解決まで対応します。

脆弱性への対応や、潜在的な脅威の検知も重要な機能の一つ。
脆弱性の調査を実施したり、脅威に関するデータベース情報をもとに潜在的な脅威を検出したりすることで、セキュリティインシデントを未然に防ぎます。

SOCが必要とされる背景には大きく2つのポイントがあります。

サイバー攻撃が増加の一途をたどる中、それに対抗すべく様々なセキュリティ機器やサービスが登場しています。　
みなさんも既にファイアウォールやアンチウイルスソフトなどのセキュリティ対策製品を導入しているかと思いますが、導入したまま放置状態になっていないでしょうか？

セキュリティベンダー等の調査で以下のような数字が発表されています。

この数字から読み取れるように、我々はセキュリティ対策製品を導入しているからと言って油断できない状況に置かれています。
サイバー攻撃は既存のセキュリティを掻い潜る為に日々巧妙に進化しています。防衛を講じる我々側も日々進化する必要があるのです。過去にどんなに優れたセキュリティ機器やサービスを導入したとしても、きちんと運用が出来ていなければ、最大限の効果を発揮することはありません。更に、世界中どこから新たな攻撃が仕掛けられるか分からない為、システムやネットワークに対して24時間365日監視する必要も出てきました。24時間365日絶え間なく監視することで、迅速なサイバー攻撃対策を叶え、甚大な被害を抑制することができます。

働き方の多様化が進み、働く場所やスタイルに大きな変化が表れました。
テレワークの普及により、社内ネットワークに接続するデバイスは会社支給のデスクトップからノートパソコン、自宅のPCやスマホ、タブレット端末まで増え、接続元も社内からだけではなく、様々な場所からアクセスされるようになりました。IPA（情報処理推進機構）「情報セキュリティ10大脅威 2023」では「テレワーク等のニューノーマルな働き方を狙った攻撃」が5位に入っており、初めてランキングに入った2019年から引き続き警戒すべき対象となっています。
クラウドサービスの利用も増え、社内ネットワークだけを監視していればよかった時代ではなくなっているのです。
このようにセキュリティ対策をしなければならないポイントが増えたことにより、セキュリティ対策が複雑化したことも、SOCが必要になった要因の一つといえるでしょう。

社内でSOCを立ち上げた場合、SOCはログ監視を主軸に様々な業務を担います。

リスクマネジメントやサイバー攻撃への対策案をチェックし、不足箇所の指摘や適切な対応案の提言などを行います。

インシデント発生時のアラートを調査し、CSIRTに報告・連携します。

ユーザーからの問い合わせ対応を行い、セキュリティ運用の円滑化を補助します。

対象となるエンドポイントに対して、ログを解析、監視します。

解析・監視の対象例

発生したインシデントの対応ステータスを管理します。
また定期報告にてインシデントの対応状況等の共有をCSIRTに行います。

SOCを導入する場合、「自社で組織化する」か「アウトソーシングする」の2つが考えられます。ポイントを押さえて社内SOCなのかアウトソーシングなのかを考えてみましょう。

SOCとは、24時間365日の監視を行うことで、セキュリティインシデントの迅速な検知が叶うものです。
そのため、自社で組織化する場合は、24時間365日監視できる体制が組めるかどうかというところが大きなポイントになります。
またインシデント検知時にも昼夜関係なく迅速に報告がないと対応も遅れるため、その報告体制や手段などが適切に行えるかどうかも確認しましょう。一部をMDR（Managed Detection and Response）で対応させることで社内SOCの負担を軽減するという手段もあります。MDRはサービス内容がベンダーによって異なり、監視対象機器が限定されたものや検知とアラートまでしか行わないものもあります。逆にサービスの対応範囲が広いMDRの場合は、外注SOCと同等のサービス内容となるかもしれません。

前述の通り、SOCには情報セキュリティ専門の人材が必要です。セキュリティに関する専門的なスキル・知識がある人材がいることで、SOCを運営することが可能になります。
多くのSOCアウトソーシングサービスでは認定セキュリティエンジニア（CEH、CNDなど）と呼ばれる高度認定資格保有者がいますが、社内にこれと同等の人材を配置するのはなかなか容易ではありません。

SOCで監視・管理したい対象を確認しましょう。
監視・管理対象を把握することで、自社人員での運用が可能なのか、部分的（もしくはすべて）をアウトソーシングする必要があるのかを判断することができます。複数台の機器から集めたログを時系列などで相関分析するのは専門的知識があってもリソースが足りなくなります。SIEM（Security Information and Event Management）などのサービスを併用すると社内SOCの強力な味方になります。

SOCの重要性は前段で解説してきた通りですが、いざ自社で構築しようとすると多くの課題に突き当ります。

一番大きな課題は運用体制の確保です。
基本的には24時間365日監視をする必要があるため、その運用体制を構築するハードルが高いです。
さまざまなセキュリティ対策に精通し、多様化するサイバー攻撃に対する知見を持った高度に専門的な人材が必要になります。
近年、国内では情報セキュリティに特化した知識を保有する人材が枯渇しています。
高度に専門的なスキルのある人材を確保し、かつ24時間365日稼働できる体制を組むとなると、採用に多大な労力と費用をかける必要があり、またその人件費の維持も高額になるでしょう。

SOCを「自社で組織化する」か「アウトソーシングする」かのどちらにするかは自社の状況に応じて検討頂ければと思いますが、中小企業やベンチャー企業など、これからSOCを検討しようと考えている企業にはアウトソーシングがおすすめでしょう。

SOCを外部委託することの一番のメリットとしては、人材確保の必要がないことだと思います。
外部委託にした場合、SOCを提供している企業に在籍する専門的な人材かつ、様々な企業や案件で経験を積んだ知見の多い人材に対応してもらうことができます。

また、採用関連費や人件費などを考慮すると、自社構築よりもコストを抑えられるケースが多いです。会社の成長や事業内容に応じて、都度サービスの調整や対応範囲の拡充も行うことができるため、人材を継続採用してしまうよりはコストパフォーマンスを維持することができるでしょう。

アウトソーシングする際には、ベンダの対応力、対応時間やコミュニケーション方法、機能などから総合的に評価しましょう。

提供している業界や企業規模に応じて、サイバー攻撃の傾向が変わります。
自社と同じような企業規模かつ業界の対応実績が多いと、安心材料の一つになるでしょう。
さらに契約継続率なども高い企業だと、品質の高いサービス提供をしていると言えます。

また、米国のEC-Council社が提供する認定セキュリティエンジニアがいるなど、高度なスキルや知見のあるエンジニアがいるかもサービス力を表す指標となります。

24時間365日の監視・対応を行ってもらえるかはもちろんのこと、何かあった時にどういった連絡が可能なのか、時間の制約があるのかなども確認しておく必要があります。
迅速に対応できるフローになっているかをチェックしましょう。

提供している会社によって、機能やカスタマイズに違いがあります。
自社に必要な機能が網羅できているか、今後の事業展開を考えてカスタマイズが自社に合うかなども確認しておく必要があるでしょう。