企業や組織としてセキュリティを強化し、安全・安心を確保する責任がある以上、サイバー攻撃に関するリスクの回避は必須と言えます。
多様化かつ複雑化するサイバー攻撃から、自社の情報資産やIT資産、従業員や顧客を守るためにも、SOC（Security Operation Center）について理解を深めておくと良いでしょう。
今回はSOCに関する基礎知識、SOCとその他のセキュリティとの違い、そしてSOCを構築するために必要な基盤と仕組みについてお話します。

SOCに関する基礎知識

はじめにSOCに関する基礎知識について簡単に説明します。

SOCとは何か

SOCとはSecurity Operation Centerの略称であり、企業や組織におけるセキュリティを担う部門・部署・チームを指します。具体的にはIT機器、ネットワーク、デバイス、サーバーなどの監視と分析を行い、サイバー攻撃を検知するのが目的です。高度なセキュリティに精通した人材を集めることで、多種多様なサイバー攻撃を検知、対処し、被害を未然に食い止めるだけでなく、被害が発生した際に迅速に対応することで被害を最小限に留めることができます。

SOCの必要性

一昔前から比べると、サイバー攻撃は最終的には金銭の略取を目的としているため、企業や組織の規模、業界や業種、法人・個人を問わず狙われているような時代になりました。同時にサイバー攻撃の手法が高度化してきたことで、従来のセキュリティ体制やセキュリティ基盤では対応しきれず、何らかの被害を受ける可能性が高まっています。
そのため、防御する側もセキュリティを高める必要があり、セキュリティの専門家がセキュリティに従事できる体制、基盤を持つSOCを構築し、運用することで各種サイバー攻撃による被害を回避する必要があります。

SOCの課題や問題

SOCの課題や問題として挙げられるのは、セキュリティ人材の不足とセキュリティに関するコストの軽視です。セキュリティに関する能力が高い人材は枯渇しており、より良い条件で働ける場所を選びます。同時にコストを軽視してしまうことで、セキュリティ人材との折り合いが付かなくなり、結果的に人材を確保することができなくなってしまうのです。
また、セキュリティに関する仕組みについても金銭的なコストを必要とします。今まで必要とされていなかった分野、かつ利益や売上に直接的にプラスにならない部分にコストを投資すること自体が難しいと感じるのは当然です。
実際にはセキュリティを軽視してしまい、セキュリティインシデントが発生してしまえば、企業や組織としての信頼を失います。セキュリティにコストや人材を潤沢に割り振らなければ、たった一度のセキュリティインシデントで会社が傾くどころか、存続が危ぶまれてしまうことにもなりかねないということです。

SOCとその他のセキュリティとの違い

次にSOCとその他のセキュリティとの違いを解説します。

SOCとCSIRTの違い

CSIRTはComputer Security Incident Response Teamの略称であり、セキュリティインシデントに対応することを目的とした部門・部署・チームと言えます。SOCと同様に監視による検知を行いつつ、セキュリティインシデントが発生した際に原因の特定や影響を把握する部分が違いと言えるでしょう。
現実問題として、セキュリティインシデントを引き起こさないためにSOCが必要とされています。しかし、実際にはセキュリティインシデントが発生した後、対応が後手後手に回ることで被害が拡大し、信用が失墜してしまうことのほうがほとんどです。そのため、セキュリティインシデントが起こるものととらえて、CSIRTによって初動を早くすれば、被害が拡大せず、顧客や世間的な評価の著しい低下を避けることにつながります。

SOCとMDRの違い

MDRとはManaged Detection and Responseの略称であり、サイバー攻撃の検知や対応を代行するサービス、ベンダーを意味します。MDRは企業や組織の外部からサイバー攻撃やセキュリティインシデントの対応を行ってくれる場合もあり、セキュリティ部門を構築できない場合に非常に役立ちます。
前述したように日本ではセキュリティ人材が不足しているため、ゼロから人材を確保するのも、育成するのも非常に大変です。それなら、そっくりそのままセキュリティ専門家の集まっているベンダーにアウトソーシングしてしまうというのは理に叶っていると言えるでしょう。
ただし、アウトソーシングの難点である「社内や組織内で人材が育たず、知見が蓄積されない」という課題も抱えているため、結局はセキュリティ人材の確保・育成と併用しつつ、将来的には内製化できるようにしたほうが安心です。

SOCを構築するために必要な基盤と仕組みについて

次にSOCを構築するために必要な基盤と仕組みについて解説します。

IT資産管理や情報資産管理とともに「監視」できるセキュリティシステム

IT資産管理とはデバイスの物理的・システム的な管理を行う仕組みです。情報資産管理とは情報＝電子データを安心・安全に管理する仕組みです。どちらもSOCの基本である「監視」のための管理に必須と言えます。SOCを構築する基盤として、遠隔かつ一元管理ができること、監視とともに制御できることが挙げられます。IT資産管理と情報資産管理の仕組みを導入し、監視ができる体制を整えましょう。
また、監視とはサボッている人を探すような監視ではありません。外部からのサイバー攻撃を受けていないか、または内部の人間が不正な操作をしていないかなど、リスクを回避するために存在します。PC操作ログ、Web閲覧履歴、メール送受信履歴など、いつ、誰が、どこで、どのように、何をした、を把握できる「監視」を導入しましょう。

セキュリティ人材の確保・育成できる環境とセキュリティコストへの投資

一時的にはMDRやMSS（Managed Security Service）といったサービスを利用するとしても、将来的には社内や組織内にSOCを配置する方が安心です。まずはセキュリティ人材を確保・育成できる環境を整えること、同時にセキュリティに関するコストを軽視せず、しっかりと投資することから始めましょう。
特にセキュリティ人材の育成においては、企業や組織、業界や業種に「セキュリティのために」入ってくるという人は難しいという点があります。また、まだまだセキュリティに関する理解が低いこともあり、お荷物のように扱われてしまうこともあるでしょう。
むしろ、セキュリティ人材を育成できなければ、本業が危ぶまれることを周知徹底し、理解してもらうこと、意欲を持ってセキュリティ人材として成長してもらえるような環境を整えることをおすすめします。

セキュリティに基づいた業務および作業手順の見直し、規則やルールの制定

IT資産管理や情報資産管理、監視体制など、新しいセキュリティに基づいて業務や作業手順の見直しを行うことも重要です。私物のデバイスを利用していたり、勝手にUSBメモリにコピーして作業していたりするようであれば、セキュリティが保てなくなってしまいます。同時に規則やルールを制定しなおし、内部不正についても厳重に処罰となることを明記しておきましょう。
SOCがどんなに優秀でも、従業員にセキュリティ意識・セキュリティリテラシーが欠けてしまうと効果を最大限に発揮できません。まずはセキュリティ基盤を構築、並行して社内や組織内のセキュリティ教育を再徹底すべきということを憶えておきましょう。

まとめ：「AssetView」シリーズを導入してSOCの基盤を構築しよう！