
セキュリティインシデントによる情報漏洩やサービス停止等はどの企業にも起こり得る問題となっており、それらの脅威への対策は常に行っていく必要があります。サイバー攻撃が複雑化する昨今において、従来の対策だけではそのような脅威に対応することは難しく、より高い専門性が必要とされるようになりました。
その対策を担うのが、SOC ( Security Operation Center ) になります。これは、サイバー脅威から組織を保護するために不可欠な組織のことを示します。
この記事では、SOCがどのように機能し、何をするのか、その役割についても具体的にご説明します。
目次
- SOCとは
- 活動の監視と分析とその必要性
- セキュリティ警告とインシデントへの対応とその必要性
- プロアクティブなサイバー防御とその必要性
- SOCの仕組みと役割
- プロアクティブなサイバー防御SOCの役割
- SOCのログ分析によるマルウェア検知の仕組み
- SOCとCSIRTの違い
- インシデント対応のタイミング
- SOCの課題
- タスク過多によるインシデントへの初動遅れ
- インシデントレスポンスは対応領域に含まれない
- 適切な管理がなされていない機器で発生したインシデントは対応できない
- 日本のサイバーセキュリティ対策の現状
- SOC運用の自動化・高度化を可能にするSOC運用ツールのご案内
- まとめ
SOCとは
SOCとは、組織のセキュリティを管理・監視する役割を担う組織です。これらは、① 活動の監視と分析、② セキュリティ警告とインシデントへの対応、および、③ プロアクティブなサイバー防御という3つの明確なカテゴリに分類することができます。 それでは各分類とその必要性について詳しく説明します。
活動の監視と分析とその必要性
SOCには、ファイアウォールや侵入検知システム(IDS)などのセキュリティ機器、ネットワーク機器、PC 端末などのログなどを収集し、定常的に監視、状況に応じてそれらを分析することで、セキュリティインシデントを未然に防ぐ役割があります。 複雑化するサイバー攻撃はいつどのように発生するか予想がつかないため、24時間365日の徹底的な監視と分析が必要となります。
セキュリティ警告とインシデントへの対応とその必要性
監視と分析の結果、脅威の可能性があるものを発見した場合、SOCがセキュリティアラートをいち早く検知し迅速な対応を促します。 インシデントに対する初動対応作業は以下の4つに分類されます。
- リスクレベルの判定
- 対応優先度の判定
- マルウェアなどが感染したシステムの管理者特定
- システム管理者への対応依頼
インシデントの放置時間とセキュリティリスクの深刻度は比例しており、インシデントの長時間の放置は、情報漏洩の継続や被害拡大のリスクを大きくします。 そのため、セキュリティ警告とインシデントへの対応は非常に重要になります。
プロアクティブなサイバー防御とその必要性
近年、情報漏えいやセキュリティ侵害のインシデントが発生するリスクは益々高まり、その原因はマルウェアへの感染が大半を占めます。一度感染すれば、企業の信用を失墜しかねないため、マルウェアによって引き起こされるセキュリティインシデントはどの企業にとっても避けるべきであり、感染を予防する対策の必要性は高まっています。
SOCは、セキュリティインシデントとして重大化する前にマルウェアやウイルスなどを早期検知し、先を見越した対応の後押しをします。
SOCの仕組みと役割
SOCは、データセンターの内外を問わず、資産の安全性を管理する責任を負っています。セキュリティインシデントを検知し、脅威による侵害から組織を守るほか、顧客からの信頼を守ります。
マルウェアを含むサイバー攻撃による被害は複雑化しており、簡単に回収できるようなものではなく、企業の経営を揺るがしかねません。なぜなら、一度マルウェアに感染してしまえば、データが破壊され、最悪の場合管理者権限が乗っ取られ、データの閲覧・使用ができなくなる可能性があるからです。そうなった場合、情報の漏えい、個人情報の悪用などの事態も引き起こしかねません。さらに、被害は感染したユーザーの端末にとどまらず、企業の管理サーバーや関連会社への感染にまで及ぶ可能性もあります。脅威による侵害を防ぐだけではなく顧客からの信頼を守るためには、情報セキュリティ対策のレベルをあげることも必要です。
では、どのようにしてSOCは企業を守っているのでしょうか?
そのことについて、① プロアクティブなサイバー防御侵入検知、② SOCのログ分析によるマルウェア検知の仕組み、の二つの側面から説明いたします。
プロアクティブなサイバー防御SOCの役割
まず、SOCチームはインシデントが発生した際のインシデント対応計画を策定します。そして、セキュリティの弱点を分析しインシデントの攻撃を想定した侵入テストを行う脆弱性評価を定期的に行い、策定したインシデント対応計画の再検討・修正を繰り返します。また、サイバー攻撃やハッカー、セキュリティに関する情報など、常に脅威インテリジェンスに関する最新の情報を入手している必要があります。
SOCのログ分析によるマルウェア検知の仕組み
多くのハッカーは、企業が即座にアラートに対応できない前提で動いており、その場合、悪意のあるプログラムが検知されずに社内システムに広がり暴れまわるという状況に陥ります。
SOCは、マルウェアなどの脅威兆候をネットワークに設置されたセンサー機器の以下のログを確認することで検知します。
- アラート検知時刻
- 機器ホスト名
- 発生イベント名
- 機器IPアドレス
- 接続先IPアドレス
- アクセス先URL
このログの分析により、疑わしい活動を検出し、ネットワーク上の「正常な」動作の基準値と照らし合わせて、異常や異変を早期に発見します。
これらの情報を基に脅威の度合いを認識し、リスクレベルと対応優先度を判定します。
このようにSOCではログを適切に管理・監視することで、インシデント発生後も迅速な対応が可能となり、企業が抱える情報資産などを脅威から守るためのセキュリティを強化することができます。
SOCとCSIRTの違い
SOC以外にも、セキュリティに関する組織としてCSIRT(Computer Security Incident Respnse Team)がありますが、これらには機能において明確な違いがあります。
インシデント対応のタイミング
SOCとCSIRTは、前者がインシデントの検知に重点を置いているのに対し、後者はインシデント発生後のレスポンスに重点を置いているという点で異なっています。
CSIRTは、インシデントマネジメントを全体的に担当し、インシデントレスポンスだけでなく、脆弱性情報などの収集と分析、社内外の組織との情報共有や連携が業務となっています。
いずれにせよ、SOCやCSIRTにはインシデント発生時に迅速な対応が求められることに変わりはありません。そのため、情報セキュリティ強化のための手段として、二つの間に優劣はなく、必要に応じて利用するのが良いでしょう。
SOCの課題
すでに述べてきたようにSOCは24時間365日体制で、イベントやアラートの分析、サイバー攻撃の検知を行い、企業の情報資産を防御しますが、SOCを導入すればセキュリティインシデントを解決できるというわけではありません。SOCには運用上の課題が大きく3つ存在します。
- タスク過多によるインシデントへの初動遅れ
- インシデントレスポンスは対応領域に含まれない
- 適当な管理がなされていない機器で発生したインシデントは対応できない
これらの3つについて説明します。
タスク過多によるインシデントへの初動遅れ
多くのチームは複数のセキュリティソリューションからデータを収集するため、膨大な量のログからネットワーク内の悪意ある活動を特定するという高負荷なタスクに直面するため、何千ものアラートを毎日確認しなければなりません。そのうえ、システムの要件や制約上の理由で一つのSOCで複数のセキュリティ製品のイベントやログを収集することは難しく、複数のSOCから異なる時間に受け取ったアラートの分析をする必要があるため、インシデントへの初動が遅れてしまう可能性があります。
インシデントレスポンスは対応領域に含まれない
SOCのセキュリティインシデントの対応領域は以下の二つに分類されます。
- 発見・検知
- 初動対応
インシデントレスポンスは含まれずCSIRTチームで行われる前提のため、インシデントに一気通貫して対応できないことが課題となっています。
適切な管理がなされていない機器で発生したインシデントは対応できない
SOCは既知のシステムやデバイスから報告されるアラートやログを分析し、インシデントを発見・検知するものであるため、組織の管理が行き届いていない機器では検知ができません。
効率的で多様な働き方が推進されるようになってきた昨今では、ユーザーが使う端末や環境も多様化しています。それにより、セキュリティインシデントのリスクも高まっているため対策が必要です。
日本のサイバーセキュリティ対策の現状
2020年12月総務省発表の「我が国のサイバーセキュリティ人材の現状について」によると、過半数の企業ではサイバーセキュリティ体制を構築していない状況であり(図①)、サイバーセキュリティ体制があると回答した企業のなかで最も多く設置されているのはCISO(図②)、また従業員数1,000名以上の企業以外では、CISO、CSIRT、SOCの設置が進んでおらず、日本の半分以上の企業がサイバーセキュリティ対策を行っていないことが明らかになっています。
SOC運用の自動化・高度化を可能にするSOC運用ツールのご案内
前述した通り、SOCの運用には様々な課題が残されております。またインシデント・脆弱性対応においても、対応が個人のスキルやノウハウに頼って属人化してしまっていたり、日々発表される様々な脆弱性情報に対応が追いついていかなかったりなど、従来の対応では完全に防ぐことは困難であり、適切なプロセスやツールを導入することが必要でしょう。
GRCSが開発・ご提供する 「CSIRT MT.mss」 では、CSIRTやSOC運用に最適化・実務に特化したインシデントおよび脆弱性管理のクラウドアプリケーションとしてSOC運用の高度化を可能にし、セキュリティオペレーションの効率化や自動化などSOCの運用をご支援いたします。また、脆弱性情報のメール配信サービスや、独自の脆弱性対策ソリューションを持つ tenable.io 連携など、各連携サービスにも対応しております。
「CSIRT MT.mss」 のご案内
インシデントと脆弱性管理の情報を一元化
マルチテナント型脆弱性管理ツール
https://www.grcs.co.jp/products/csirtmt
まとめ
SOCやCSIRTは、企業の情報資産、顧客からの信頼を守るためのものとして非常に重要な組織となっています。しかし、どちらか一方だけでは多様化するサイバー攻撃に対応できない可能性があります。これら二つの組織を同時に有効活用することが、企業の情報資産、顧客からの信用を守るための十分な対策になり得るでしょう。