よくあるお悩みやご質問|セキュリティ監視・運用・診断
SOCとは|SOCサービスの選定ポイントをわかりやすく解説
サイバー攻撃の被害が拡大していることを受け、経済産業省は企業やその関係機関等が対応する際に注意すべき点を整理する目的で、企業の経営者の方々に対し、最近のサイバー攻撃の状況を踏まえた経営者への注意喚起を発表しました。
かくして企業では、ITシステムへの不正侵入やサイバー攻撃の脅威からビジネスを守るべく、社内のサーバ・ネットワーク担当者が対応していたセキュリティ運用を、情報セキュリテイに特化した外部の専門家に委託するようになり、SOCサービスが活躍を見せています。
本記事では、SOCサービスを利用するメリット、SOCサービス事業者を選定する際に注視すべきポイントについて事例を交えてご紹介します。
▼ 目次
1. SOCとは
2. SOCサービスを利用するメリット
3. SOCサービス事業者の選定ポイント
1. SOCとは
セキュリティ人材の不足やサイバー攻撃の多様化に伴い、SOC(セキュリティ・オペレーション・センター : Security Operation Center)サービスを利用する企業が増えてきています。
SOCは企業のネットワークやシステムの状態を監視し、サイバー攻撃の予兆を検知、対応策の助言を行う組織です。
24時間365日体制でファイアウォールや侵入検知システム、エンドポイントなどのセキュリティ機器・製品のアラート監視やログ分析を行い、企業の情報資産をサイバー攻撃から守ります。
2. SOCサービスを利用するメリット
SOCサービス事業者を利用するメリットは、主に下記の3点になります。
2-1. セキュリティ人材の確保が不要
高度なセキュリティスキル、知識、経験を持った人材を確保することは非常に難しいと言われています。
しかしSOCサービスを利用することで自社にて人材の確保をする必要がなくなります。
2-2. 専門性の高い技術者による高度な分析・対策が可能
日々複雑化・多様化していくセキュリティ脅威に対し、最新のサイバー攻撃動向をキャッチし、自社に必要な対応策を検討し続けることは困難です。
SOCサービス事業者には多くの顧客システムを監視することでたくさんのデータが集まり、最新動向を収集できるとともにナレッジ・知見が蓄積されるため、専門性の高い技術者による、より高度な分析や対策が可能になります。
2-3. コストの圧縮、運用の効率化を実現できる
自社でSOCを持つ場合、システム、人件費、運用体制の維持など膨大なコストがかかります。
自社のビジネスに必要なメニューや適切なコストでSOCサービスを利用することにより、自社でSOCを運用するよりもコストの削減が可能です。
3. SOCサービス事業者の選定ポイント
SOCサービスの活用により、様々な脅威からビジネスを守るだけでなく、自社のリソースを補強できることがわかりました。
そこで気になるのが、SOCサービスの提供事業者事業者を選定するポイントです。
SOCサービスを選定する際は、提供事業者が次のポイントをご確認ください。
3-1. セキュリティアナリストが分析に関与しているか、迅速な対応が可能か
SOCサービス事業者を選定する際は「セキュリティアナリストが分析に関与しているか、迅速な対応が可能か」について、必ず確認しましょう。
例えば、伊藤忠テクノソリューションズ(以下、CTC)で提供しているCTC-SOCでは、お客様のセキュリティ機器から送られてきたログを、SIEM(Security Information and Event Management)というセキュリティ分析エンジンに取り込み、攻撃事象をまとめて危険度を判定します。
さらにセキュリティアナリストがその結果を目視で分析・判断し、お客様に通知します。そのため、より精度の高い分析が可能です。
また、セキュリティインシデント発生時の応急対応として、通信遮断などの対応を実施するオプションメニューもあります。このオプションメニューは、インシデントに対して早急な対策をとることができるため、被害の拡大防止が期待できます。
次に「SOCによる脅威の検知と応急対応で、被害の最小化を実現した事例」をご紹介します。
CTC-SOCは、A社のデバイスアラートから、コマンド&コントロール(以下、C&C)サーバとA社の間で通信が発生していることを検知しました。
C&Cサーバは、システムに侵入したマルウェアへコマンドを送り、遠隔でコントロールする役割を担うサーバです。このままでは、情報漏洩や、様々な攻撃の踏み台とされてしまうなどの被害を受ける可能性があるため、早急な対応が必要です。
CTC-SOCは顧客に、最も緊急度が高いセキュリティインシデントとして連絡すると同時に、セキュリティアナリストの判断により、C&CサーバとA社のデバイスの通信を遮断する設定を投入するという応急対応を実施しました。
この結果、CTC-SOCはお客様より次のような評価をいただきました。
- セキュリティインシデントを検知した直後に不正な通信を遮断できた為、重大な問題に至らずに済みました
- 通信遮断の対応後、改めて詳細分析内容の通知と遮断報告もあったので、社内の報告もスムーズでした
3-2. デバイスの運用支援力を有しているか
SOCサービスが「デバイスの運用をどのくらいカバーできるか」についても、SOCサービスの重要な選定ポイントです。
デバイスのバージョンアップ作業をお客様自身で実施するには、負担とコストが大きいです。
しかしCTC-SOCでは、上記を標準サービス内でカバーできるため、負担と運用コストが削減されます。
CTC-SOCは、自社の保守サービスと連携しており、顧客デバイスのファームウェアのライフサイクルに合わせたバージョンアップや、シグネチャ適用スケジュールに合わせた確認を実施しています。
次にデバイス運用効率化によるコスト削減を事例についてご紹介します。
CTC-SOCは、B社が使用しているデバイスのファームウェアがEOSLとなる情報を取得し、CTCはB社担当者にデバイスのバージョンアップを提案しました。
これを受け、CTC-SOCがB社のデバイスのバージョンアップを実施しました。
この結果、CTC-SOCはお客様より次のような評価をいただきました。
- デバイスのバージョンアップを自社対応するにはコストがかかりますが、CTC-SOCでは追加料金不要で対応してくれました
- 自社で作業を実施するためには、手順の作成からテストまで対応が大変ですが、CTC-SOCの経験のある専門家に対応していただけたので安心でした
- こちらでは気が付いていなかったシグネチャ適用の失敗も検知し、手動でシグネチャ再適用などの対応もいただけるので、管理コストが削減されました
3-3. SOCの課題を解決できる総合力を有しているか
SOCには次の課題を挙げることができます。
- SOCのサイロ化が招く、インシデントへの初動遅れの懸念
- SOCの対応領域にインシデントレスポンスが含まれない
- 管理が行き届かない機器で発生したインシデントは、SOCも対処できない
CTC-SOCでは、これらの課題を解決することができます。
上記に挙げた課題の詳細と、CTC-SOCがどのようにして課題を解決しているかについての説明は、以下よりご覧いただけます。
まとめ
本記事では、CTCが考えるSOCについて以下をご紹介しました。
- SOCサービス事業者を利用するメリット3点
- セキュリティ人材の確保が不要
- 専門性の高い技術者による高度な分析・対策が可能
- コストの圧縮、運用の効率化を実現できる
- SOCサービス事業者の選定ポイント2点
- セキュリティアナリストが分析に関与しているか、迅速な対応が可能か
- デバイスの運用支援力
CTCは、CTC-SOCでのセキュリティ監視サービスだけではなく、下記を含む総合的なマネージド・セキュリティ・サービス(CTC-MSS)を提供しています。
- 24時間365日、セキュリティ機器のログ監視によるサイバー攻撃の検知
- 機器の監視と管理を一本化
- インシデント発生時の初動対応をサポートするCTC-IHサービス
- サイバー衛生サービスとなるCTC-CHサービス
また、セキュリティの脅威が複雑化する中で、マルチベンダーのCTCならではの総合力を活かして、セキュリティ対策が負担となっているお客様に、セキュリティ運用・CSIRT導入運用支援、セキュリティ診断、コンサルティング、最適なセキュリティ対策機器の選定から、機器の監視、運用・保守までセキュリティ全般をサポートをしております。
サイバー攻撃からビジネスを守る総合セキュリティサービス「CTC-MSS」の概要は以下にてご覧ください。
