SOCとは？導入や運用時の課題と注意点

SOC（ソック）とは？

SOC（Security Operation Center）とは、サイバー攻撃の検知や分析を行い、対策を行う組織です。企業の情報システムやネットワークを24時間・365日体制で監視します。

監視の対象となるのは、PCや各種サーバー、プロキシやファイアウォール、VPN機器、セキュリティ製品などです。SOCは、情報セキュリティに関する高度な技術や知識を持つ技術者のメンバーで構成されます。

SOCと似た組織として、CSIRTがあります。こちらはインシデント発生後の対応時に、中心となって動く組織です。大きく分けて、SOCが監視と予防、CSIRTは対応を担うと考えるとわかりやすいでしょう。昨今では、SOCがCSIRTの役割の一部を担ったり、CSIRTが監視の役目を担ったりするなど、サービスによって境界が異なります。

SOCの導入メリットと導入のポイントなど詳しくは、下記コラム記事をご参照ください。

SOCを導入するメリット

SOCを導入するメリットは下記の通りです。

セキュリティに関する業務の効率化

SOCを設置すると、情報システムやネットワークのセキュリティ関係の業務をSOCに一任できるようになります。SOCの役割を明確に分けることで、情報システム管理者やエンジニアが担っていたセキュリティに関する業務を効率化できるため、本来注力すべき業務に集中できます。

セキュリティインシデントへの迅速な対応

SOCでは基本的に豊富な知識と技術を有する専門家が監視にあたり、さまざまなサイバー攻撃の検知を行えます。DoS攻撃やSQLインジェクション、マルウェア感染など、セキュリティインシデントの検知を確実に行えれば、インシデント対応も迅速となるでしょう。

外部からの評価や信頼性の向上

SOCを設置してセキュリティインシデントへの対応を迅速に行えるようになれば、情報漏洩や不正アクセス等によるサーバーダウンを未然に防ぐことに繋がります。運用が安定しているWebサービスや社内情報システムは、ユーザーから「信頼性の高いサービス」と評価され、投資家や株主においては「組織の情報セキュリティ対策が問題なく行われている」という判断の材料となります。

SOC導入時の課題や注意点

SOCの導入は自社で運用を行うか、もしくは外部のSOCサービスに委託するか、どちらかの方法を選ぶことになります。以下の課題について自社の状況を考慮し、どちらがベストかを検討するとよいでしょう。

機器・ツールの導入

SOCの設置可否に関わりませんが、ファイアウォールやIDS／IPS、WAFといったネットワークセキュリティ機器は導入するべきでしょう。加えてSOCではそれらのログをSIEMというツールで収集・分析し、脅威を検知します。SOC導入にあたっては、これらの機器・ツールの導入が必要となります。

監視体制の確立

SOCでは24時間365日体制でネットワークやデバイスを監視します。しかしインシデントを検知したとしても、インシデント対応担当者に迅速に報告が行えないと、対応が遅れてしまうでしょう。監視体制・報告体制およびそれらの手段について、問題がないか確認しておく必要があります。

人材の確保

SOCには、セキュリティに関する高度なスキル・知識・経験を持った人材が必要です。セキュリティアナリストやインシデント発生時の対応担当者（インシデントレスポンダー）、未知の脅威を発見する脅威ハンティングの担当者（脅威ハンター）といった人材がその例です。

専門知識を備えた人材が必要なうえに、24時間365日体制で、複数の機器から集めた膨大なログを分析することになります。そのため人材不足となりがちで、人材の確保は必須です。

監視・管理対象の範囲

SOCで監視・管理したい対象を把握しておくことも必要です。監視・管理する対象しだいで、既存の人材・体制で対応が可能となるのか、もしくは一部・全部をアウトソーシングする必要があるのか、判断することになります。

外部のSOCサービスを導入する効果とは

外部のSOCサービスを導入することで、さまざまなメリットや効果が見込めます。

セキュリティレベルの向上

SOCサービスを用いれば、外部のセキュリティの専門家が監視を担当します。組織内に高度なセキュリティ人材が不足していても、専門家の知識を活用でき、セキュリティレベルの向上を図れます。

コストの削減

監視・管理の対象範囲によっては、自組織だけで賄うとコストが高くなる可能性は否めません。対応が難しい部分をSOCサービスにゆだねることにより、コスト削減が期待できます。

複雑化するサイバー攻撃への対応

多くのSOCサービスではセキュリティの専門家たちが、最新のセキュリティ事情をキャッチアップしています。複雑化するサイバー攻撃へも対応可能です。

SOCサービス事業者の選定ポイント

専門知識を持たない人にとっては、SOCサービス事業者の選定時にそのサービスの品質を判断することは容易ではありません。ここではSOCサービス事業者を選ぶポイントを解説します。

認定セキュリティエンジニア

SOCサービス提供者側には、セキュリティアナリストやセキュリティエンジニア、管理者（スーパーバイザー）などの高度なスキルを持つ専門家がいます。サービスの品質を客観的に判断するためには、認定資格を所持する技術者がどれくらい在籍しているかが目安のひとつとなります。「CEH（Certified Ethical Hacker：認定ホワイトハッカー）」や「CND（Certified Network Defender：認定ネットワークディフェンダー）」といった認定資格に着目して、サービス事業者側に問い合わせてみるとよいでしょう。

セキュリティ標準規格の認定

SOCサービス事業者が、セキュリティ標準規格の認定を受けているかどうかも選定ポイントのひとつです。

たとえばクレジットカード業界で策定されているセキュリティ基準は、「PCI DSS（Payment Card Industry Data Security Standard）」です。クラウドのセキュリティ標準「FedRAMP（Federal Risk and Authorization Management Program）」、情報セキュリティマネジメントシステム（ISMS）に関する国際規格「ISO 27001」など、セキュリティ標準や規格は他にもあります。それぞれ規格には満たすべき要件が定められており、これらの認定を受けている企業は、要件を満たしているということになります。

情報セキュリティサービス審査登録

経済産業省では、「情報セキュリティサービス審査登録制度」が運用されています。これは、サービス事業者が経済産業省の定める「情報セキュリティサービス基準」を満たしているか審査され、適合とされた場合は同じく経済産業省が公表している「情報セキュリティサービス台帳」に掲載されるというものです。

第三者は「情報セキュリティサービス台帳」を確認することで、「情報セキュリティサービスについて一定の品質の維持向上が図られている」と客観的に判断できます。

「情報セキュリティサービス基準」の最新版は2023年（令和5年）4月1日に施行された第3版です。（2023年9月時点）

まとめ

SOCの基本とSOCをアウトソーシングする場合のポイントをご紹介しました。SOCを選ぶ際は、事業者や所属する技術者が、外部組織による認定を受けていることが判断材料のひとつとなります。

ＪＢサービス株式会社でもSOCサービスを提供しております。24時間365日体制の運用センターSMAC内にSOCがあり、認定ホワイトハッカー（CEH：Certified Ethical Hacker）を中心としたセキュリティの専門家チームがサポートします。また、ISO 27001認証取得や情報セキュリティサービス台帳に掲載された運用サービスも提供していますので、セキュリティ人材不足や煩雑な運用管理にお悩みのお客様に対して、セキュリティ製品の運用からインシデント対応までの一連の対処を一本化してご提供しています。

ＪＢサービス株式会社のSOCサービスについて、詳しくは下記Webページをご参照ください。

関連サービス

Security Operation Center（SOC）

SOCサービスについてご紹介いたします。認定ホワイトハッカーを中心としたセキュリティ専門家がサイバー攻撃からお客様の情報資産を守ります。JBサービス株式会社は、企業の情報セキュリティ対策や最適なIT運用のためのご支援・ソリューションをご提供いたします。

詳しく »