セキュリティー・オペレーション・センター(SOC)は、すべてのサイバーセキュリティー・テクノロジーと運用を統合および調整することにより、組織の脅威に対する検知力、対応力、予防力を向上させます。
SOC(通常は「ソック」と発音され、情報セキュリティー・オペレーション・センター (ISOC) と呼ばれることもあります)は、組織のITインフラストラクチャー全体を24時間年中無休で監視することに専念する社内または外部のITセキュリティー専門家のチームです。その使命は、セキュリティー・インシデントをリアルタイムで検知、分析、対応することです。このサイバーセキュリティー機能のオーケストレーションにより、SOCチームは組織のネットワーク、システム、アプリケーションに対する警戒を維持し、サイバー脅威に対するプロアクティブな防御態勢を確保できます。
SOCは、組織のサイバーセキュリティー技術を選択、運用、維持し、脅威データを継続的に分析して、組織のセキュリティー体制を改善する方法を見つけます。
オンプレミスで管理されていない場合、SOCは外部委託されたマネージド・セキュリティー・サービス・プロバイダー(MSSP)が提供するマネージド・セキュリティー・サービス(MSS)の一部であることがよくあります。SOCを運用または外部委託する主なメリットは、セキュリティー・ツール、プラクティス、セキュリティー・インシデントへの対応など、組織のセキュリティー・システムを集約して調整できることです。これにより通常は、予防措置とセキュリティー・ポリシーが改善でき、脅威の検知が迅速化し、セキュリティーの脅威に対する迅速で効果的なコスト効率の高い対応が実現できます。SOCを利用することで、顧客の信頼を向上させ、業界、国、世界のプライバシー規制への組織的なコンプライアンスを簡素化し強化できます。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
SOCの活動と責務は、3つの一般的なカテゴリーに分類されます。
資産インベントリー:SOCは、データセンターの内外にある保護が必要なすべてのもの(アプリケーション、データベース、サーバー、クラウド・サービス、インフラストラクチャーなど)と、それらを保護するすべてのツール(ファイアウォール、ウイルス対策/マルウェア対策/ランサムウェア対策ツール、モニタリング・ソフトウェアなど)の包括的なインベントリーを維持する必要があります。多くのSOCでは、このタスクに資産検知ソリューションを使用します。
日常的な保守と準備: 導入されているセキュリティー・ツールと対策の有効性を最大限に高めるために、SOCはソフトウェア・パッチとアップグレードの適用や、ファイアウォール、許可リストおよびブロックリスト、セキュリティー・ポリシーおよび手順の継続的な更新などの予防的な保守を実行します。また、SOCでは、データ侵害、ランサムウェア攻撃などのサイバーセキュリティー・インシデントが発生した場合に事業の継続性を確保するために、システム・バックアップ作成や、バックアップ・ポリシーおよび手順の作成を支援できます。
インシデント対応計画:SOCは、組織のインシデント対応計画を策定する責任を負っています。この計画では、脅威またはインシデントが発生した場合の業務、役割、責任、およびインシデント対応の成功度を測定する基準を定義します。
定期的なテスト:SOC部門では、脆弱性評価(潜在的な脅威または新たな脅威に対する各リソースの脆弱性と関連コストを特定する総合的な評価)を実施します。また、1つまたは複数のシステムに対する特定の攻撃のシミュレーションを行うペネトレーション・テストも実施します。SOC部門では、これらのテスト結果に基づき、アプリケーション、セキュリティー・ポリシー、ベスト・プラクティス、インシデント対応計画を修正または微調整します。
最新の状態を維持:SOCは、最新のセキュリティー・ソリューションとテクノロジー、最新の脅威インテリジェンス(SNS、業界ソース、ダークウェブから収集したサイバー攻撃とそれを実行するハッカーに関するニュースと情報)について常に最新の情報を入手しています。
24時間体制の継続的なセキュリティー監視: SOCは、拡張されたITインフラストラクチャー全体(アプリケーション、サーバー、システム・ソフトウェア、コンピューティング・デバイス、クラウド・ワークロード、ネットワーク)を24時間365日監視し、既知の悪用の兆候や疑わしいアクティビティーがないかどうかを確認しています。
多くのSOCにとって、中核となる監視、検知、対応テクノロジーは、セキュリティー情報およびイベント管理(SIEM)です。SIEMは、ネットワーク上のソフトウェアとハードウェアからのアラートとテレメトリをリアルタイムで監視および集約し、そのデータを分析して潜在的な脅威を特定します。最近では、一部のSOCでは、より詳細なテレメトリと監視を実現し、インシデントの検知と対応の自動化を可能にする拡張検知および対応(XDR)テクノロジーも採用しています。
ログ管理: ログ管理(あらゆるネットワーク・イベントによって生成されるログ・データの収集と分析)は、監視の重要なサブセットです。ほとんどのIT部門ではログ・データを収集しますが、実際には分析によって、通常のアクティビティーまたはベースラインのアクティビティーを確立し不審なアクティビティーを意味する異常を明らかにします。実際、多くのハッカーは、企業が常にログ・データを分析するとは限らないという事実を当てにしています。その場合、ウイルスやマルウェアは被害者のシステム上で数週間、場合によっては数カ月間も検知されずに実行されている可能性があります。ほとんどのSIEMソリューションにはログ管理機能が含まれています。
脅威の検知: SOC部門では、ノイズ(目的に対して不要な情報)からシグナル(誤検知からわかる実際のサイバー脅威やハッカーが悪用している兆候)を選別し、脅威を重大度別に優先順位付けします。最新のSIEMソリューションには、これらのプロセスを自動化し、データから「学習」して、時間の経過とともに不審なアクティビティーをより適切に発見する人工知能 (AI) が含まれています。
インシデント対応: 脅威や実際のインシデントに対応して、SOCは被害を抑えるよう努めます。アクションには次のものが含まれます。
多くのXDRソリューションにより、SOCはこれらおよびその他のインシデント対応を自動化および高速化できます。
回復と修復: インシデントが封じ込められると、SOCは脅威を根絶し、影響を受けた資産をインシデント発生前の状態に回復するよう取り組みます(ディスク、ユーザー・デバイス、その他のエンドポイントの消去、復元、再接続。ネットワーク・トラフィックの復元。アプリケーションおよびプロセスの再起動など)。データ侵害やランサムウェア攻撃が発生した場合、復旧にはバックアップ・システムへの切替や、パスワードと認証情報のリセットも必要になる場合があります。
事後分析と改善:再発を防止するため、SOCはインシデントから得られた新たなインテリジェンスを使って、脆弱性への対処、プロセスやポリシーの更新、新しいサイバーセキュリティー・ツールの選択、インシデント対応計画の見直しを行います。より高次のレベルでは、SOC部門は、そのインシデントが新しいまたは変化しているサイバーセキュリティーの傾向であるか判定しようとし、そうである場合チームは備える必要が出てきます。
コンプライアンス管理:SOCの仕事は、すべてのアプリケーション、システム、セキュリティー・ツール、プロセスが、GDPR(世界データ保護規則)、CCPA(カリフォルニア州消費者プライバシー法)、PCI DSS(ペイメント・カード業界データ・セキュリティー標準)、HIPAA(医療保険の携行性と責任に関する法律)などのデータ・プライバシー規制に準拠していることを確認することです。インシデントが発生すると、SOCは、ユーザー、規制当局、警察機関、その他の関係者に対し規制に準じて通知を行い、必要なインシデント・データが証拠と監査のために保管されていることを確認します。
SOCは、組織に次のような多くのメリットをもたらします。
資産保護:SOCのプロアクティブな監視と迅速な対応機能により、不正アクセスを防止し、データ侵害のリスクを最小限に抑えることができます。これにより、基幹システム、機密データ、知的財産をセキュリティー侵害や盗難から保護できます。
事業の継続性: SOCはセキュリティー・インシデントを減らしその影響を最小限に抑えることで事業の中断を防ぎます。これにより、生産性、収益源、顧客満足度を維持できます。
規制コンプライアンス: SOCは、効果的なセキュリティー対策を実施しインシデントと対応に関する詳細な記録を保持することで、組織がサイバーセキュリティーに関する規制要件と業界標準を満たせるよう支援します。
コスト削減:SOCを通じてプロアクティブにセキュリティー対策に投資することで、コストのかかるデータ漏洩やサイバー攻撃を防ぐことができ大幅なコスト削減につながります。先行投資は多くの場合、セキュリティー・インシデントによって引き起こされる経済的損害や評判へのリスクよりもはるかに少なく、アウトソーシングすれば社内にセキュリティー専門家を用意する必要がありません。
顧客の信頼: SOCの運用を通じてサイバーセキュリティーへのコミットメントを示すことは、顧客や利害関係者の信頼と信用を高めます。
インシデント対応の強化: SOCの迅速な対応機能により、脅威を封じ込め、通常の運用をすばやく回復して中断を最小限に抑えることで、ダウンタイムと経済的損失を削減できます。
リスク管理の改善: セキュリティー・イベントと傾向を分析することで、SOC部門は組織の潜在的な脆弱性を特定できます。そうすれば、攻撃を受ける前に、プロアクティブに対策を講じて被害を軽減できます。
プロアクティブな脅威の検知: ネットワークとシステムを継続的に監視することで、SOCはセキュリティーの脅威を迅速に特定し軽減できます。これにより、損害やデータ侵害の可能性を最小限に抑えられ、組織は日々進化する脅威の状況に先手を打つことができます。
一般に、SOC部門の主な役割は次のとおりです。
SOCマネージャー: SOCマネージャーは、部門を統括し、すべてのセキュリティー業務を監督し、組織のCISO(最高情報セキュリティー責任者)に報告します。
セキュリティー・エンジニア: 組織のセキュリティー・アーキテクチャーを構築・管理します。この作業の多くには、セキュリティー・ツールとテクノロジーの評価、テスト、推奨、実装、保守が含まれます。また、セキュリティー・エンジニアは、開発部門または DevOps/DevSecOps部門と連携して、組織のセキュリティー・アーキテクチャーがアプリケーション開発サイクルに確実に組み込まれるようにします。
セキュリティーー・アナリスト:セキュリティー調査員やインシデント対応員とも呼ばれるセキュリティー・アナリストは、基本的にサイバーセキュリティーの脅威やインシデントに最初に対応します。アナリストは脅威の検知、調査、トリアージ (優先順位付け)を実施します。次に、影響を受けるホスト、エンドポイント、ユーザーを特定します。その後、影響、脅威、インシデントを軽減し封じ込めるために適切な措置を実行します。(一部の組織では、調査員とインシデント対応者は、それぞれTier 1アナリストと Tier 2アナリストとして分類される別の役割です。)
脅威ハンター:エキスパート・セキュリティー・アナリストまたはSOCアナリストとも呼ばれる脅威ハンターは、高度な脅威、つまり自動化された防御をすり抜ける新しい脅威や脅威の亜種を探る脅威ハンティングを専門としており、高度な脅威を検知して封じ込めることを専門としています。
組織規模や業種により、SOC部門にはその他の専門家も加わっていることがあります。大企業では、インシデント対応の連絡と調整を担当するインシデント対応ディレクターがいることがあります。また、一部のSOCでは、サイバーセキュリティー・インシデントで損害または不正アクセスを受けたデバイスからデータ (手がかり) を取得することを専門にするフォレンジック調査員がいる場合もあります。