セキュリティにおけるSOCとは

 2017.07.27 Secure Enterpriseポータル

日本ではこれまで、セキュリティログの監視など、手間と人件費のかかる作業をアウトソーシングしてきた、という企業が多く存在します。あるいは、社内にセキュリティ対策に長けた人材がいないため、アウトソーシングするという例もあるでしょう。

しかし最近になり、徐々にではありますがセキュリティログの監視などを内製化しようという動きが見え始めています。警察庁の広報資料によれば、平成28年のサイバー犯罪の検挙件数は8,324件、相談件数は13万1,518件と、どちらも前年を上回る数字であり、過去最多となっています。

引用:平成28年中におけるサイバー空間をめぐる脅威の情勢等について

こうした情報セキュリティ事情に危機感を抱いてか、セキュリティ監視を内製化することで、対応スピードを高めようという企業が多いのでしょう。そうした企業が検討しているものが“SOC”です。端的に言えば社内セキュリティを取り仕切る専門組織のようなもので、独立した一つの部門でもあります。 今回はこの、SOCについて詳しく解説していきます。

SOCは社内で何をするのか

SOCは「セキュリティ・オペレーション・センター」の略省です。直訳すれば「セキュリティ運用機関」となります。従って、SOCは社内セキュリティを一手に担い、運用するための組織だと捉えるのが妥当でしょう。

では具体的に、SOCは社内で何をする組織なのか日本セキュリティオペレーション事業者協議会では、SOCの組織としての機能を次のように説明しています。

  • リアルタイム分析…監視の結果からリアルタイムで対応を決定する
  • 脅威情報と傾向分析…脅威情報を取り扱う
  • インシデント対応と分析…インシデント対応を実施する
  • インシデント証拠の分析…得られた証拠の分析を行う
  • ツールのライフサイクルのサポート…利用するツールの開発や維持管理を行う
  • 監査と内部犯行対応…監査と内部犯行についての対応を行う
  • 診断と評価…脆弱性診断により評価を実施する
  • 外部との連携…社内外との対応を行う

引用:SOCの役割と人材のスキル

このように、SOCでは企業セキュリティの技術面でのサポートを提供するのではなく、運用全般を請け負う組織だと言えます。

SOCを設置するメリットは

SOCを社内に設置するということは、それだけ人件費がかかるということです。アウトソーシングによるSOC導入よりも、コストがかかるケースが多いでしょう。それでもなお、SOCを設置するメリットはどこにあるのでしょうか。

最も大きなメリットは、セキュリティ事件への対応を迅速化できるという点です。セキュリティ事件が発生した場合、被害を最小限に留めるためには対処スピードが命です。 

アウトソーシングでは不正通信を検知した際に、該当企業に報告をします。しかし、この報告から対処までの時間で既に遅れが出ているため、対策と取ったときにはすでに情報が抜き取られたあと、というケースも少なくありません。

こうした事態を避けるためにも、社内でのSOC設置が重要です。 

また、SOCとシステム部門がコミュニケーションを円滑にすることで、セキュリティ事件の兆候をいち早く察知し、情報漏えいなどを未然に防ぐこともできます。だからこそ、組織の維持費が多くかかろうと、SOCを社内に設置することには大きなメリットがあるのです。

SOCで大切なのは運用効率化

SOCを運用していく上でまず大切なのは、セキュリティログ監視などの手間のかかる作業を、いかに効率化するかということです。SOCに避ける人材リソースというのは限られているので、その中で上手く運用を回していかなければなりません。 

そうしたとき、運用を効率化することで、SOCという組織を維持するためのポイントだといえます。 

本稿で提案するSOC運用効率化は“クラウドWAF”を導入することです。クラウドWAFを導入することで、ある一部分で大幅な運用効率化を実現することができます。

Webアプリケーションを保護するWAFとは

社内のシステムログを監視する上で、監視対象としては外せないのが“企業ホームページ”です。今やWebサイトはサイバー攻撃の巨大な玄関口で、企業が運営するホームページについても例外ではありません。むしろ、個人情報搾取など金銭目的のサイバー攻撃は、その多くが企業ホームページを狙っています。 

ホームページへのサイバー攻撃において、主に狙われるのは“Webアプリケーション”です。WebアプリケーションはWebサーバ上で稼働し、ホームページで提供されている機能を実装するためのソフトウェアです。つまりユーザーとホームページの通信は、Webアプリケーションを介して行わるということです。 

サイバー攻撃者はこのWebアプリケーションの弱点(脆弱性)を突き、攻撃を仕掛けてきます。Webアプリケーションに管理者の意図しない挙動を引き起こしたリ、直接的に情報を抜き取ったりと、その手口は多様です。 

クラウドWAFは、こうしたWebアプリケーションを狙った攻撃からホームページを保護するためのセキュリティ製品です。具体的には、ホームページとWebアプリケーション間の通信を監視し、不正通信とおぼしき通信を遮断します。通信の監視・精査・判断。遮断はWAFが自動て行うので、企業としては定期的なログ確認のみで、ホームページセキュリティを実装することができるのです。 

また、クラウドWAFはインターネット経由で利用するサービスなので、社内にインフラを構築したり、ソフトウェアをインストールする必要もありません。従って、サーバ運用やアップデート対応といった作業が不要になります。 

何かと手間の多いSOCでは、このようにWAFを活用したホームページ対策がおすすめです。

SOC構築に必要なものは

SOC構築に必要なものは人材・スキル・費用です。当然ではありますが、SOCという組織を構築するためには人材が欠かせません。人材というのも、“スキルのある人材”です。セキュリティ対策に関する知見やスキルが無ければSOCは務まりませんので、そうした人材を確保するか、社内で教育するかの手段を取る必要があります。 

そしてこうした構築には、費用がかかります。場合によっては、アウトソーシング以上の費用がかかるかもしれません。しかしSOCを内製化するメリットは多くあるので、セキュリティ監視を効率化しつつ、SOC内製化を積極的に検討していただいたいと思います。

まとめ

クラウドWAFはSOCの運用効率化をするだけでなく、セキュリティ対策としても優れています。ホームページを狙った“SQLインジェクション攻撃”や“パスワードリスト攻撃”といった、悪質な攻撃から保護することができます。運用を効率化しつつセキュリティ対策も講じれる。まさに一石二鳥のセキュリティ製品ですので、SCO構築を検討している企業は、クラウドWAFの導入も同時にご検討ください。