SOC(Security Operation Center)の役割と体制確保の必要性について

近年はサイバー攻撃の多様化、複雑化、高度化が進み、セキュリティ意識の高い企業が増えてきました。

いまやIT企業だけでなく様々な分野の企業でサイバー攻撃への対策として、セキュリティ人材の確保が進んでいます。

サイバー攻撃に対する「警備」の役割をもつSOC（Security Operation Center）を検討している企業があるかもしれません。

この記事ではSOCの役割や体制確保の必要性を解説します。

 

SOCとは

SOCはSecurity Operation Centerの略で企業内の情報セキュリティを担う部門や部署のことを言います。

企業内で使われるIT機器、ネットワーク、サーバ、デバイスだけでなく、企業の外からのアクセスも監視を行います。

監視しているデータが不審なものであれば、分析してサイバー攻撃の検知をします。

 

さらに攻撃を受けた際の影響範囲の特定やサイバー攻撃を阻止するための対策も業務の一つです。

なお、類似の単語としては「CSIRT（シーサート：Computer Security Incident Response Team）」と言われるものがあります。

SOCがサイバー攻撃がないかを監視することをメインとし、CSIRTはセキュリティに関する事象が発生した際に調査や対応を行う部門のことを言います。

 

SOCの役割

SOCが具体的にどのような役割を担っているのかについて、次の3つを解説します。

• セキュリティ診断
• ログ解析/監視
• アラート監視

セキュリティ診断

SOCではセキュリティ診断を行います。

セキュリティ診断とは使用しているネットワークやOS（WindowsやLinuxなど）、サーバにインストールしているミドルウェアに脆弱性がないかをチェックすることです。

使用している環境の現在のセキュリティ状況を知ることで、悪意のある攻撃を未然に防ぎます。

ログ解析/監視

WAFやIPS、サーバのログなどの監視や解析のことです。

以前はSOCの担当者が対応していましたが、近年はSIEMというシステムがログの監視や解析を担っています。

 

アラート監視

セキュリティ製品から異常を知らせるアラートが出ていないかを監視します。

アラートが出た際にはCSIRTに連携を行い、並行して前後のログや関連機器のログに原因に関するものがないかを調査します。

これらの調査にはセキュリティの知識だけでなく、インフラに関する知識も必要となります。

 

SOCの体制確保の必要性

SOCがなぜ企業に必要になるのでしょうか？

ここでは次の3つを紹介します。

 

• サイバー攻撃の高度化
• セキュリティ製品・サービスの複雑化
• クラウドシステムの普及

サイバー攻撃の高度化

サイバー攻撃には身代金ウイルスやトロイの木馬などの十数年前からあるような手法が現在も使われている一方で、その手段は高度化しています。

公式からのメールと見間違うような精巧なメール文面でのフィッシングなど一般の消費者レベルでも複雑化しており、企業への攻撃も同様に複雑化が進んでいます。

 

また、近年の巣ごもり需要やテレワークの普及に伴い、サイバー攻撃の母数も増えています。

サイバー攻撃のパケット数が1.5倍になったというデータがあります。

そんな中でSOCの無い企業はターゲットになっても、攻撃を検知できない状態になってしまいます。

セキュリティ製品・サービスの複雑化

サイバー攻撃の高度化に対応するため、セキュリティ製品やサービスも高度化、複雑化しています。

複雑化した機能を理解するためにもセキュリティに関する、専門の人材が必要になります。

技術を理解した上で使用しないと適切な運用はできませんし、理解せずに使ったことでバックドアを作ってしまうようなヒューマンエラーの発生につながってしまいます。

クラウドシステムの普及

費用の削減や人材の流動化に伴い、オンプレミスの環境からクラウドシステムに移行する企業が増えています。

業務で利用するようなITツールの場合はIDとパスワードがわかればログインされてしまい、構築を伴うようなシステムでも、ID、パスのみの認証なら同様にセキュリティが突破されます。

これらのセキュリティリスクに対してどのように対処する必要があるかを事前に考える事ができる部署が必要になります。

 

SOCを導入するポイント

業務を進めていく上でSOCに重要な役割がありますが、実際にSOCを導入する際はどのような点を意識する必要があるのでしょうか？

監視体制は十分か

サイバー攻撃の監視、分析は夜間などの時間を問わずに対応が必要です。

そのため、24時間体制で稼働できる体制を整える必要があります。

また、どんな時間でも対処するための方法の周知やエスカレーション先の事前準備なども必要になります。

セキュリティ人材の採用、手配ができるか

SOCで業務を行うセキュリティ人材がいないと適切な対応はできません。

24時間体制が必要な部署であるため、複数人確保する必要があります。

 

特定の資格保持者や講座の修了者など一定の基準を設定して育成もしくは採用していく必要があります。

 

また、そもそもセキュリティ人材に対しての投資ができる状況であるかも考慮しないといけません。

自社で採用して体制を整えられない場合は外部の専門業者に依頼することになります。

監視・管理対象の特定

SOCでどこまでの監視、管理を行うかを決める必要があります。

自社の人員を使うのか、外部の委託業者を使うのか、自社の人員を使えたとしてリソースは足りているのか、ネットワークやデバイスなどの監視範囲の決定など運営する際の範囲の特定がポイントになります。

ここからは、自社で運用ができるかを考えます。

 

SOCは自社運用できるか

次にSOCを自社で運用できるのかを解説します。

もちろん、最終的には経営や人材の状況などに合わせて検討いただく必要がありますが、近年の市場の状況や育成コストを踏まえて解説します。

要員の確保や育成が難しい

経産省は「2030年には最大で79万人不足する」と発表しているため、今後もIT人材は不足の一途をたどることが予想されます。

また、IT人材の中でもセキュリティに精通した人材の採用、手配、育成は更に困難になっています。

セキュリティ人材は不足しているにもかかわらず、需要は増え続けています。

そのため、採用するにしても、業務委託契約を結ぶにしても高い報酬や高待遇が必要になることが考えられます。

 

これから新たにSOCを検討しようと考えている場合はアウトソーシングを検討したほうが良いかもしれません。

運用に相当の手間を必要とする

24時間365日の稼働が必須のSOCでは、3交代制などのローテーションを組む必要があり、人件費はかかり続けます。

さらに、夜間は割増を支払う必要も出てきます。

 

なお、サイバー攻撃の高度化に伴い、最新の攻撃手法やセキュリティ技術などの教育も必須です。

 

まとめ

SOCはサイバー攻撃に対する警備の役割を担う部署です。

体制を整える必要はあるものの、そのためにはコスト面、人材確保面、教育面など多くの課題を乗り越える必要があります。

ただ、専門の業者へのアウトソーシングが可能な役割であるため、自社で運用するかどうかの判断は大きな決定になります。

自社の状況を整理して適切に活用しましょう。