SOCとは？　CSIRTとの違いやメリット、導入時の課題を解説

SOCとCSIRTとの違い

SOCとCSIRTは同じセキュリティ対策のための組織ですが、異なるのは担当業務の範囲です。CSIRTとは、インシデント発生後の対応を担当する組織です。

SOCがログを収集・分析してインシデントを検知するのに対し、CSIRTはインシデントが発生した場合のリスク評価とインシデント後の対応を行うという点が異なります。また、組織内外へのインシデント連絡や組織内のルール制定・更新などもCSIRTの業務です。

SOCとMDRとの違い

SOCとMDRも、同じセキュリティ対策のための組織ですが、SOCが社内・社外を問わないセキュリティ対策組織を意味する言葉であるのに対し、MDRはセキュリティ対策の委託先となる社外組織を意味します。

MDRとは、SOCやCSIRTの役割を担うアウトソーシング企業です。MDRに委託することで、短期間でセキュリティ担当部門を構築できるため、セキュリティ人材が不足している企業に利用されています。

しかしMDRに頼りきりになると、社内の人材育成が後回しになってしまう可能性もあります。MDRに委託をしつつ、自社のセキュリティ人材の育成や採用を進めることで、自社のSOCの立ち上げにつなげるのがお勧めです。

インシデント対応の迅速化

SOCのメリットは、インシデント対応が迅速化する点です。SOCは、サーバーやネットワーク機器、デバイスなどを24時間365日監視し、インシデントが発生したらすぐに対応できる体制を整えています。そのため、SOCを設置すれば、重要情報の流失やマルウェア感染といったセキュリティインシデントにいち早く気付き、対応できるようになります。

セキュリティ関連業務の効率化

SOCを導入すると、企業全体のセキュリティ関連業務を効率化できる点もメリットです。SOCを設置していない企業では、情報システム部門が通常業務に加えてセキュリティ管理を行っているため、インシデントが発生するとセキュリティ対応にリソースを割かなければならず、通常業務が止まってしまうこともあります。

SOCにセキュリティ管理業務を移管することで、情報システム部門は通常業務に集中でき、業務の効率化につながります。

セキュリティ人材の確保

SOCを自社で構築するには、まずセキュリティ人材の確保が必要です。セキュリティ人材とは、セキュリティに関する高度なスキル・知識が豊富な人材を指します。セキュリティ人材の具体例としては、下記のような人材が挙げられます。

セキュリティ人材の例

• セキュリティアナリスト：サイバー攻撃などに関する最新情報を収集する担当者
• インシデントレスポンダー：インシデントに対応する担当者
• 脅威ハンター：未知の脅威に対し、セキュリティアナリストの知識やログを基に脅威を発見する担当者

日々、巧妙化・複雑化するサイバー攻撃に備えるには、最新情報を入手することはもちろん、インシデントの脅威を見抜くスキルも欠かせません。高いスキル・知識のある人材が社内にいないことも多く、SOCの導入に二の足を踏んでしまうケースもありますが、セキュリティ人材を確保できない場合にはまずMDRに依頼しましょう。MDRへの委託と並行して、自社でセキュリティ人材を育成することをお勧めします。

監視用の機器・システムの導入

SOCを構築するには、セキュリティ人材の確保のほかに、機器・システムの導入も必要です。なぜならSOCでは、ネットワーク機器やサーバーのログはもちろん、パソコンの閲覧ログやWeb閲覧履歴、メール送受信履歴といった多種多様なログを24時間365日、分析する必要があるためです。SOCが利用するセキュリティ機器やシステムとしては、下記のような例が挙げられます。

SOCが利用する主なセキュリティ機器・システム

• ファイアウォール：ネットワークレベルで、不正アクセスやサイバー攻撃を防御するためのソフトウェアやハードウェア
• IDS・IPS：プラットフォームレベルで、サーバーへの不正なアクセスを検知・防御するソフトウェアやハードウェア
• WAF：WebサイトやWebアプリケーションへの攻撃を防御するソフトウェアやハードウェア
• SIEM：機器から自動的にログを収集・分析し、異常時に通知するシステム
• SOAR：インシデント発生時の情報収集、初期調査、レポートなどに自動で対応するシステム
• XDR：脅威が侵入というインシデントが発生したときに、攻撃の痕跡を可視化して調査・対応するシステム

あわせて読みたい

• ログ監視とは？　監視ツールのメリット・デメリットや機能を解説

監視範囲の検討

SOC導入時には、セキュリティ監視の対象範囲を検討することも必要です。まずは現状のセキュリティ環境を把握した上で、セキュリティ機器のログ監視のみとするのか、サーバーやOSなどまでを監視対象とするのかなどを決定しましょう。監視範囲を決めることで、自社内で対応かどうか、どこまで対応できるのかが判断しやすくなります。

業務フロー・ルールの見直し

SOC導入の際は、社内の運用ルールを見直すことも必要です。例えば、私物のパソコンやスマホでの社内システムへのアクセス禁止や、許可された記録媒体以外の社用デバイスへの接続禁止などを導入することが考えられます。

セキュリティ対策では、ハード面の対策だけでなく、社内ルールといったソフト面の対策も欠かせません。

自社に必要なサービスを提供しているか

SOCの外注を依頼する際は、どのような業務範囲を依頼するのかを事前に検討しておかなければなりません。MDRの業務範囲は、大きく下記の2パターンに分かれます。

MDRの業務範囲

• セミマネージド型：インシデント検知から分析までを担当する
• フルマネージド型：インシデント検知から分析、初動対応、復旧対応までを担当する

セミマネージド型は、社内にセキュリティ人材はいるものの24時間365日体制を構築できない企業に適しています。一方、フルマネージド型は、社内にセキュリティ人材がおらず、SOCとCSIRTの役割を委託したい場合に最適です。自社の状況に合わせて、必要なサービスを提供する業者を選びましょう。

サービスの品質は十分か

SOCは企業のビジネスやサービスの根幹となるネットワーク機器やサーバーなどを取り扱うため、外注先であるMDRに十分なサービス品質があるかどうかも確認しなければなりません。しかし、導入前にサービスの品質を判断するのは難しいことがほとんどです。そこで、下記の認定資格を持つ担当者がどのくらい在籍しているのかで判断するのも、1つの目安となります。

情報セキュリティサービスに関する認定資格

• CEH：認定ホワイトハッカー
• CND：認定ネットワークディフェンダー

また、経済産業省では、情報セキュリティサービス基準を満たす企業を登録する「情報セキュリティサービス審査登録制度」を設けています。一定の基準をクリアした企業は、「情報セキュリティサービス台帳」に掲載されているため、参考にするのも1つの手です。

コストが自社にとって適正か

検討中のMDRが自社に必要なサービスを高い品質で提供していても、コストが自社に合っていなければSOCの外注は難しくなります。SOCの外注は、基本的には長期的な契約になるため、せっかくMDRによって高い水準のセキュリティ体制を構築できても、無理なコストであればその状態を継続できません。短期的な予算だけでなく、中長期的にコストが見合うかを検討し、外注業者を決定することが重要です。