SOCとは?包括的にサイバー攻撃の分析・検出を行う組織。必要な理由と選定ポイント
サイバー攻撃は、今や、シンプルなセキュリティ対策では太刀打ちできず、多層防御によるセキュリティ対策が必須になっています。 しかし、日に日に攻撃手法は増え続けているため、セキュリティ対策は年々、高度化・複雑化し、ログ解析や脆弱性情報に知見や経験のある人材が必要となります。 このような複雑なセキュリティ対策を包括的に行う組織が、SOC(ソック)です。 SOCはセキュリティに関して高度な知識と豊富な経験を兼ね備えたスタッフを揃え、24時間365日体制で監視・検知にあたっています。 当記事では、SOCの概要や役割、CSIRTとの違い、SOCを自社運営する難しさ、SOC外注の選定ポイントなどを解説いたします。
目次
SOC (Security Operation Center)とは?
SOC(ソック)は「Security Operational Center」の略称で、24時間365日体制でネットワークやデバイスを監視する専門実務組織のこと。 サイバー攻撃の検出や分析、対策を立てる業務も担っています。
SOCは「SIEM(Security Information and Event Management)」を活用し、さまざまなシステムやネットワークが出力するセキュリティイベントなどの相関分析を行います。 高度な専門的知識が必要のため、知識・経験豊富なセキュリティエンジニアが業務にあたります。 セキュリティの脅威は年を追うごとに高度化、複雑化しており、ますます高い専門性を持った人材が求められています。 自社でSOCを構築する企業もありますが、SOCを担う人材の確保が難しく、ほとんどの場合、アウトソーシングします。
また、多くのSOCでは、セキュリティ機器が出力するログの監視や分析を行いますが、サーバやOS、データベースなどのログを監視・分析する「ディープSOC」もあります。 最近はAIの導入により、高度な対応を効率的に行えるようになっています。 しかし、SOCスタッフに求められる技術力は高く、人材コストは以前と比べると下がっているとはいえ高額で、自社構築ではなくアウトソーシングする傾向にあります。
MSSやCSIRTとの違い
次に、SOCとMSS(Managed Security Service)、CSIRT(Computer Security Incident Response Team)との違いを見ていきます。 MSSは、本来自社で担うべきセキュリティ機器のログ監視・分析を、専門のセキュリティアナリストが代行するアウトソーシングサービスのこと。 具体的には稼働監視や障害報告などの機器管理、インシデントの検知や対応、ログ管理のレポーティングなどが含まれます。 先述したディープSOCもSOCの一分野ですが、MSSとSOCとの境界はあいまいになっているのが実情です。
MSS自体はコスト面からアウトソースすることが多く、専門家の目による24時間365日の監視・管理体制が構築できます。 一方、CSIRTはコンピューターセキュリティ全体を担当し、インシデント対応の司令塔の役割を果たします。 インシデント発生時以外はセキュリティ関連の情報収集や分析、インシデント発生時のマニュアル策定なども行います。 SOCはCSIRTの指示に従う実働部隊であり、CSIRTの管轄外にあたるリアルタイム分析や証拠分析などを行います。 わかりやすく書くとCSIRT(司令塔)→SOC(現場)という流れになりますが、両者がそれぞれ連携してインシデントに対応することも少なくありません。 一方、CSIRTが行う外部セキュリティ会社との連携はSOCは行いません。 また、CSIRTは司令塔のため社内から人材を選出し、実働部隊のSOCはアウトソースするケースが多いです。
SOCの種類
一言で「SOC」と言っても、発展段階別に3つの類型に分けることができます。ここではSOCの3類型について解説いたします。
初期SOC
初期SOCは、IDS(Intrusion Detection System 不正侵入検知システム)とIPS(Intrusion Prevention System 不正侵入防御システム)をベースに不正侵入の検知を目的としていました。 IDSは通信の監視を担い、IPSは不正な通信のブロックまで行います。 初期のSOCでは、IDS/IPSといった機器を運用監視し、外部からの攻撃などを検知し、対応していました。
発展型SOC
時代が経つにつれ、企業やユーザーの間では機器間のデータ転送を行いアプリケーションレイヤを監視するWAF(Web Application Firewall Web)やIDSやIPSでは対応できない攻撃も検知できるSandboxも登場しました。 一般的に、この2つを取り扱っていれば発展型SOCとみなされます。
現在のSOC
現在のSOCは企業内にあるSIEMを活用し、効率的で統合的なログ管理、監視体制を構築しています。 相関分析を行うことで、数十万件の攻撃パターンを検知することが可能です。 一般的にSIEMを導入したSOCは「SOC2.0」とも呼ばれています。
このようにSOCは時代を追うごとに対象機器や業務範囲が広がるだけでなく、より効率的に自動的に業務を行っていることが分かります。
SOC構築が求められる理由
サイバー攻撃の高度化やクラウド環境の普及といった要因により、SOC構築の必要性は年々高まりつつあります。
サイバー攻撃の高度化・活発化
年々増加するサイバー攻撃
2019年に公開されたNICTER観測レポート2019によれば、ダークネット観測網において観測された通信は3279億パケットで、前年の2121億パケットから約1.5倍ほど増加しているという結果が出ました。
<参照:NICTER観測レポート2019の公開|国立研究開発法人情報通信研究機構>
高度化・悪質化するサイバー攻撃
近年、サイバー攻撃で話題となったのが、ランサムウェアです。 ランサムウェアとは、コンピューターを強制ロック、またはファイルを暗号化し、その解除と引き換えに身代金を要求するマルウェアのこと。
有名な例が2017年に世界中で大流行した「WannaCry(ワナクライ)」です。 攻撃から、わずか24時間で、日本を含む世界150カ国以上で大流行しました。 「WannaCry(ワナクライ)」では、当時ブームとなっていた仮想通貨が身代金の支払い方法として使われていました。
大半のランサムウェアでは、たとえ身代金を支払っても暗号化が解除されることはなく、非常に悪質なサイバー攻撃として問題視されています。
また、現在ではIT技術の高度化により、高度な技術がなくてもランサムウェアを作ることが可能になっています。 最近ではセキュリティソフトをすり抜けるランサムウェアも登場しており、より一層の注意が必要です。
セキュリティソリューションの複雑化
サイバー攻撃の高度化・活発化に伴い、それに対応するセキュリティソリューションも高度化・複雑化しています。 高度なセキュリティソリューションに対応するために、専門的なスキルを持ったスタッフで構成されるSOCの導入が進んでいます。 しかし、日本では高度なセキュリティ関連の知識を持った人材は少なく、運用面でもさまざまな課題があるのが現状です。
クラウド環境の普及
近年、企業もクラウドサービスを利用し、重要情報や機密情報を保管するケースが増えています。 クラウドサービスはペーパーレスや業務効率改善などにつながるメリットがあるものの、第三者にアカウントのIDやパスワードが詐取され、ハッキングの末、情報漏洩につながることも危惧しなければいけません。 クラウドを管理するサーバーが大規模な障害に見舞われ、アクセスできないケースも考えられます。 クラウドサービスの活用とセットで、常にセキュリティ部門や対策の強化を考える必要があります。
SOC (Security Operation Center)が行う業務
SOCが行う業務は多岐にわたります。ここでは項目別に業務内容について解説します。
セキュリティ診断
SOCはセキュリティ分析を通じて、想定される脅威への対応度を診断します。 どのような対策がなされているのか、どの程度リスクが軽減されているか、どの点が対策不十分かを明示します。 なおセキュリティ分析では可能な限り、リスクを軽減する提案を行い、対策をとった後に残存するリスクについても説明します。
システム監視・インシデントへの対応
セキュリティエンジニアによる24時間365日のシステム監視、分析を行い、不正アクセスを検知し、適切に対処します。 インシデント対応では司令塔にあたるCSIRTスタッフとの連携も重要です。 インシデントにつながるような通信があればすぐにサービス利用者に連絡します。 また、定期的に、監視や検知に関するレポートをサービス利用者に届けます。 企業によっては正常に監視できているかを確認するサービスも行っています。
SOARの構築
SOARは「Security Orchestration, Automation and Response」の略称で、セキュリティ運用の自動化と効率化を行う技術のこと。 システムやツールからのアラートに対し緊急度や優先度を判断するセキュリティオーケストレーション、事故対応の自動化、履歴調査を簡単にできるシステムを構築することで、効率的に成果が出せるSOC構築を行うことができます。
ヘルプデスクの対応
エンドユーザーからの相談を受け付けるヘルプデスクもSOCの役割です。 ヘルプ対応をするには通常の知識やノウハウだけではなく、常に最新情報を収集する必要があります。
ログ解析・監視
セキュリティ機器からログを収集、分析をします。 ログを分析することにより、ネットワーク内の不審な行動を検知できます。 インシデントや障害を未然に防ぐ上でもログの解析、監視は重要な業務です。 昔は経験豊富なSOCスタッフの「目」で、ログ分析を行っていましたが、近年はSIEMやNTA、UEBAといったSOCツールを活用し、より効率的に解析・運用を行っています。
シグネチャの適用
シグネチャとは、マルウェアなどの攻撃を識別するルールのことを指します。 従来のセキュリティ対策ソフトは、このシグネチャを利用した「シグネチャ型」ですが、近年は、シグネチャで検知されないような設計が施されているマルウェアやウィルスも存在します。
そのため、SOCではメーカーの標準的なシグネチャだけでなく、AI(人工知能)を使い、機械学習をしたうえで、独自のカスタムシグネチャを作成します。
SOCを自社運用するのが難しい理由
大半の企業において、SOCの業務はアウトソースされます。 なぜ、SOCの自社運用は難しいのでしょうか。 理由としては、以下の3つが考えられます。
人材の確保/育成が難しい
SOCの業務では、幅広いセキュリティ知識やスキルだけでなく、ログ解析など、より専門的で高度な技術が求められます。 そのような技術はすぐに身につけられるものではなく、自社でセキュリティ人材を育成するのもあまり現実的は方法とはいえないでしょう。 SOC人材を採用する場合でも、年収ベースで1,000万円程度はかかるといわれています。 どの組織も同じように不足しており、SOCを担う専門人材の市場価値は年々高騰しています。
多大なコストがかかる
仮に自社でSOCスタッフを育成しても、高度な技術をインプットさせるためには、多大な育成コストが発生します。 SOC関連の育成セミナーや講座は1回でも50万円、育成費だけでも年300万円程度はかかると予想されます。 また、育成期間は最低1~2年は要するため、人的コストも覚悟しなければなりません。 また、育成した人材が競合他社へヘッドハンティングされるリスクも考えなければいけません。
運用の手間が非常にかかる
先述したとおり、基本的にSOC運用は24時間365日の監視となり、最低でも3交代制でローテーションを組む必要があります。 近年はログ情報だけでは検出できない脅威が増加しているため、各SOCスタッフが包括的に複雑な攻撃を監視しなければなりません。 それらを考慮すると、想像以上にSOC運用には手間と労力がかかります。
SOC (Security Operation Center)の選定ポイント
SOC運用には高度な技術を要し、多大なコストが発生するため慎重な選定が必要です。 一般的にアラートを出すまでは比較的容易ですが、最終的なエラー解析や対処はスタッフのノウハウに左右されます。 つまり、知識だけではSOC運用は難しいため、実績が豊富なサービス提供事業者を選定することが重要です。
自社にカスタムしたシグネチャを構築できる
「SOCが行う業務」で説明したとおり、SOCスタッフは最新のシグネチャを適用することで、マルウェアや不審な通信などを検知します。 しかし、攻撃者はあらゆる手法を使って、標準的なメーカーシグネチャを通過するようなマルウェアを設計します。
そのため、SOCスタッフには自社に合ったオリジナルなシグネチャを構築できるスキルが求められます。 もちろん、カスタムされたシグネチャであっても、見逃しや誤検知がゼロということはあり得ません。 最終的な差はSOCスタッフの経験則に裏付けされた判断や勘所に頼るところも大きいです。
報告速度
重大なインシデントの可能性がある攻撃を検知した場合、15分以内の連絡が標準となっています。 企業によっては、検知したインシデントの危険度や影響範囲などを第一報で完結するために30分以内の連絡を設定しています。 このようにSOCを選定する際は報告速度だけでなく、報告の内容や質も見定める必要があります。
監視対象のデバイス数や契約企業
サイバー攻撃ではコンピューターだけでなく、Webカメラなどのインターネットに接続している機器も狙われます。 万が一、Webカメラがサイバー攻撃に遭い乗っ取られると、情報漏洩だけでなくカメラ画像の漏洩や盗撮の被害が発生する場合もあります。 業者を選定するときには、監視対象とするデバイスの種類や範囲について必ず確認しましょう。 また、契約企業数が多いほど信頼されている証と言えますが、SOCサービス提供事業者は契約者との守秘義務があるため、契約企業名や具体的な契約企業数は公表しないのが一般的です。
対応可能なセキュリティデバイスの種類
ファイアウォールやIPS、サンドボックス、アンチウィルス、プロキシなど幅広く対応していることが重要です。 また、IDS/IPSやWAFなどのバージョンアップ対応のサービスの有無にも注目したいところです。 企業によってはシグネチャのバージョンアップ対応のみのところもあるため注意しましょう。
冗長化された設備
冗長化とは、稼働中のシステムやハードウェアに障害が起こっても良いように、予備機を用意することを指します。 万が一、災害やヒューマンエラーなどにより、システム障害が発生した場合、その間サービスは停止してしまい、サイバー攻撃の格好の的になってしまいます。 そういった事態からすぐ復旧できるよう、冗長化された設備を整えているかも選定ポイントとして非常に重要です。
レポート出力の自動化の有無
レポート出力が属人的でなく自動化されているかも重要なポイントです。 また、一般的な月次レポートではインシデント(検知・攻撃)の傾向、インシデントの種別TOP、攻撃元・攻撃先のTOP、ブロックインシデント別TOPなどが掲載されます。 レポートの傾向は基本的に変わりませんが、自社にとって欲しい情報が掲載されているかを確認することをおすすめします。
まとめ
サイバー攻撃が活発化、複雑化する中、包括的にサイバー攻撃を検知・対処するSOCの重要性は日々増しており、SOCには高度な技術が要求されます。 そのため、高額な育成コストや運用の難しさからサービス事業者に任せることが一般的です。
>サービス事業者に任せるにしても多額のコストが発生するため、あらゆる観点から慎重に選定しなければなりません。 選定ポイントとしては24時間365日の稼働体制は必須として、シグネチャの構築、冗長化された設備の有無、対応可能なセキュリティデバイス数などが重要です。 頼りになるSOCパートナーを見つけ、効率的で安心なネットワーク環境を整えることが、サイバー攻撃を避ける近道と言えるでしょう。