SOCとは
SOC(Security Operation Center)とは、サイバー攻撃の監視・分析をリアルタイムに行い、インシデント発生時の対応支援などを行う専門組織です。
SOCでは、ファイアウォールなどのネットワーク機器やサーバなどから出るログを監視し、サイバー攻撃の早期発見を行います。SOCには24時間365日の対応やCSIRTとの連携が要求されます。
尚、SOCと似たような用語で、マネージド・セキュリティ・サービスとMDRがあります。
マネージド・セキュリティ・サービスとは
マネージド・セキュリティ・サービス(Managed Security Services、以下、MSS)とは、情報セキュリティシステムの運用管理を、社外のセキュリティ専門企業などが請け負うサービスです。
SOCの場合も、外部の専門企業がサービス(SOCサービス)として請け負うことが一般的に行われていますが、MSSの場合は、システムの運用管理や保守までを含めた広い範囲で使われています。
MDRとは
MDR(Managed Detection & Response)とは、EDR(Endpoint Detection & Response)製品などの監視や運用や、インシデント発生時の対処を含めた対応支援などを行うサービス(MDRサービス)です。
尚、MDRサービスは主にエンドポイントを対象にしますが、EDR製品の中にはネットワーク機器のログを収集する製品(NDR、Network Detection & Response)もあるため、それらを含めたサービスとして使われることがあります。
以上のように、SOC、MSS、MDRで意味合いが若干異なっていますが、以下、それらの違いには拘らず、SOCとして話しを進めます。
SOCの概要
SOCの主な概要は以下になります。
24時間体制
サイバー攻撃は昼夜に関わらず行われるため、24時間365日での監視体制が必要になります。自社で24時間の体制を構築できない場合は、社外サービスへのアウトソーシングが利用されます。
SOCの監視対象は主に、ファイアウォールやIPS/IDSなどのネットワーク機器、サーバやクライアントなどのエンドポイントがあります。これらのログは大量になるため、その中から重要な情報を見つけるには高度なスキルが必要になります。
ログの転送
SOCサービスとして専門の会社にアウトソーシングする場合、ログ情報を社外に転送する必要があります。一般的にはIPsec(Security Architecture for Internet Protocol)を利用したインターネットVPN(Virtual Private Network)が利用されます。
通常時はネットワーク機器などのログを監視しますが、必要に応じペイロード情報の取得を行うため、それに応じた帯域が必要になります。SOCとの回線に必要な帯域は、通常時は数Mbps程度とされています。
相関分析
機器単体で監視・分析しても分からないような脅威の兆候であっても、複数の機器を相関分析することで、サイバー攻撃の早期検知や全体像を把握に役立ちます。
特にネットワークの監視とエンドポイントの監視は、互いの長所と短所を補完しあう関係にあります。ネットワーク機器での監視の長所は以下になります。
- 監視ポイントが限定できる
- エンドポイントの台数は関係しない
- 入口での検知・遮断が可能
エンドポイントでの監視の長所は以下になります。
- 暗号化通信でも検知が可能
- ネットワーク以外の感染経路でも検知が可能
- 侵害(感染)の範囲の調査が可能
通報と応急措置
インシデントが発生した場合は、侵害(マルウェア感染など)の拡大を抑えるため、初動対応が重要になります。一般的なSOCサービスでは、インシデントが検知されてから通報までの時間は15分から1時間とされています。
インシデント発生時の応急対応として、ネットワーク機器であれば不正通信の遮断やフィルタリングルールの変更、エンドポイントでれば端末隔離やプロセス停止が行われます。
CSIRTとの連携
SOCは主にサイバー攻撃の早期発見と応急措置までを行いますが、影響範囲の調査(フォレンジック)や恒久対策についてはCSIRT(Computer Security Incident Response Team)の役割となります。
SOCはサービスとして専門会社に委託し、CSIRTは自社で体制を構築する場合などは、インシデント発生時の連絡や連携について普段から手順を定め、定期的に監査やリハーサルを行っておくことが重要です。
