COLUMN

1.SOC（Security Operation Center）とは

SOC（ソック）とは「Security Oreration Center」の略であり、24時間365日体制で企業のネットワークやデバイスを監視し、あらゆるセキュリティインシデントの検出や分析、対策のアドバイスを行う専門組織です。SOCの主な業務として、以下のものがあります。

• 各種セキュリティ装置やネットワーク機器、サーバーの監視
• 監視対象のログの分析
• サイバー攻撃を受けた際の影響範囲の特定
• サイバー攻撃を阻止するための対策立案

SOCが監視に使用しているのは、SIEM（Security Information and Event Management）と呼ばれる、ログを一元管理できるツールです。SIEMによって異常が検知されるとSOCにアラートが飛ぶ仕組みとなっており、アラート発動後、SOCにより早急に異常の調査が始まります。

上記の業務を持つSOCと混同しやすい言葉として、「CSIRT」と「MDR」があります。ここからは、CSIRTとMDRについて見ていきましょう。

1-1.CSIRT（Computer Security Incident Response Team）との違い

CSIRT（シーサート）とは「Computer Security Incident Response Team」の略で、セキュリティインシデントが発生した際に対応するチームです。セキュリティインシデントとは、マルウェア感染やDoS・DDoS攻撃、不正アクセスなどの企業や個人の情報を盗もうとする脅威を指します。

SOCとCSIRTについて混同する方もいますが、SOCはインシデントが発生していないか監視や検知を行う業務を主とするのに対し、CSIRTはインシデントが発生した際に対処するチームです。未然にサイバー攻撃を防ぐことを重点を置くSOCに注目が集まっていますが、攻撃を受けた際にいかに早く対処するかによって被害の大きさは変わります。

SOCとCSIRTは、どちらも企業にとって非常に重要な立場の組織といえるでしょう。

1-2.MDR（Managed Detection and Response）との違い

MDRとは「Managed Detection and Response」の略で、セキュリティインシデントの検知と処置を代行するサービスです。前述したSOCやCSIRTを代行してくれるサービスと考えてよいでしょう。

MDRを導入すれば、導入と同時に社内にサイバーセキュリティを担当する部門が構築できる点がメリットです。ただしMDRだけに頼ることで、社内でセキュリティを任せられる人物の育成が手薄になってしまう可能性もあります。

MDRを導入して社内のSOCを任せつつ、同時進行で自社のセキュリティ部門を結成するための人材を育成していく方法を考えるとよいでしょう。

2.SOCが注目される背景

SOCが注目される背景は、主に以下の3点です。

• IT活用の広がり
• 多様化するデバイスやシステム環境
• サイバー攻撃の複雑化・巧妙化

SOCが注目される背景として、IT活用の広がりがあります。2018年に経済産業省が発表した「DX（デジタルトランスフォーメーション）レポート」により、従来の非効率なビジネスを続けた場合、2025年以降に毎年最大12兆円の経済損失が生じると予測されると、多くの経営者により「DX」という言葉が使われ始めました。

DX化推進によりデバイスやシステム環境が多様化すると、外部ネットワークとの接続も増加します。同時にサイバー攻撃も年々複雑化、巧妙化しているため、イチ企業のシステム担当者では対応が難しくなってきているのが現状です。

上記の背景に加えて、サイバー攻撃の監視は24時間365日体制で行わなければならないため、セキュリティの監視や対策などを専門的な技術をもった組織に委託する企業が増加しており、SOCに注目が集まったと考えられます。

出典：デジタルトランスフォーメーションに向けた研究会「DXレポート〜ITシステム「2025年の壁」の克服とDXの本格的な展開〜」

SOCやセキュリティ対策に関するご相談など、NTT東日本では、幅広い皆さまのお悩みや課題にエンジニアが回答いたします。サービス紹介をしてほしいなども含めお気軽にお問い合わせください。

3.SOCを導入するメリット

SOCとはなにか、注目する背景について見ていきましたが、ここからは実際にSOCを導入した際のメリットについて解説します。SOCを導入するメリットとして挙げられるのは、以下の2つです。

• セキュリティレベルの向上
• セキュリティ業務の効率化

順番に見ていきましょう。

3-1.セキュリティレベルの向上

SOCを導入するメリットは、セキュリティレベルの向上です。企業はデバイスやネットワーク機器、クラウド上のアプリケーションなどを含むビジネスに関係するものすべてに、企業の情報資産が含まれています。

情報資産を守るため、企業は常にセキュアなIT環境を保つ必要がありますが、SOCが注目される背景でも前述したとおり、サイバー攻撃は日々複雑化し、巧妙化しています。SOCを導入すれば、SIEMの活用によって業務に使用するデバイスの監視が可能です。

さまざまなデバイスを一元管理できるため、管理コスト低減も見込めるほか、24時間365日体制でセキュリティインシデントを監視してくれるため、何かあった場合でも即座に対策が講じられます。DX化が進み、自社のセキュリティレベルを上げたいと考えている方は、ぜひSOCの導入を考えてみてください。

3-2.セキュリティ業務の効率化

セキュリティレベルの向上のほか、SOCを導入するメリットとして、セキュリティ業務の効率化があります。SOCを導入していない企業の場合、多くは情報システム管理者やエンジニアが、通常の業務と兼任して、セキュリティ管理を行っているところも少なくありません。

しかしセキュリティ対策には膨大な専門知識が必要であるほか、兼務するとなると業務量が増え、担当者の負担も計り知れないものとなってしまうでしょう。セキュリティ対策に時間を取られ、通常業務が遅れてしまう可能性も考えられます。

SOCを導入すれば、情報システム管理者やエンジニアが行っていたセキュリティ業務を行う必要がなくなるため、本来の仕事に集中できます。業務を終えた後も他の作業に充てられるため、企業全体の業務効率化に繋がるといえるのではないでしょうか。

SOCやセキュリティ対策に関するご相談など、NTT東日本では、幅広い皆さまのお悩みや課題にエンジニアが回答いたします。サービス紹介をしてほしいなども含めお気軽にお問い合わせください。

4.SOCを導入するために必要なこと

SOCにメリットを感じて実際に導入しようと考えた際には、以下の3つについて考慮することが必要です。

• セキュリティ人材の確保
• 監視対象の検討
• 業務フロー、ルールの見直し

順番に見ていきましょう。

4-1.セキュリティ人材の確保

SOCを導入する際は、セキュリティ人材の確保が必要です。セキュリティインシデントの検知や探索、対処する役割を担う組織であるSOCの人材は、高度な知識が求められます。

巧妙化するさまざまなインシデントを見抜けるスキルや最新の情報、多くの事例を頭に入れておく必要もあり、「探知しておくだけなら簡単そうだ」といった中途半端な知識や生半可な覚悟では、自社に損害を与える結果にもなりかねません。優秀なセキュリティ人材については、あらゆる企業で人手不足が叫ばれているのが現状です。

SOCの構築を目指す場合、はじめにSOCを代行して行うMDRなどを利用しつつ、セキュリティ人材の採用と教育を行っていくなど、自社にとって有効な施策を考えましょう。

4-2.監視対象の検討

SOCを導入するためには、監視対象について検討することも必要です。ファイアウォールや侵入検知、防止システムなどのセキュリティ機器のログをチェックするだけでよいのか、企業情報や個人情報の入っているサーバーやOS、データベースのログ管理まで行うのか、はじめにしっかりと話し合いましょう。

監視対象を検討するためには、まず自社のセキュリティ環境の確認が大切です。全て自社社員によって対応するのか、一部を代行業者に頼むのかなど、セキュリティ機器とネットインフラの監視を誰がどこまで行うのか検討してください。

4-3.業務フロー・ルールの見直し

SOCを導入する際に必要なことは、業務フローやルールを見直すことです。一部ではありますが、具体的な例として、以下の例が挙げられます。

• 私物デバイスの利用制限
• 記録媒体の使い方についてのルール策定
• 閲覧権限を付与する人材の決定　など

企業ごとに見直さなければならない業務フローやルールは数多くあり、さまざまなケースを想定して、導入前にどのようなルールで見直さなければならないかを検討していきましょう。同時に変更したルールに違反してしまった場合、重大な情報漏えいなどに繋がる可能性もあるため、処罰規定なども作成しておくことが望ましいといえます。

また業務フローやルールの見直しについて十分納得できるように従業員の意識を向けていく必要があるため、セキュリティリテラシーについても自社で働く従業員すべてが理解できるよう、十分に教育していくことが大切です。

SOCやセキュリティ対策に関するご相談など、NTT東日本では、幅広い皆さまのお悩みや課題にエンジニアが回答いたします。サービス紹介をしてほしいなども含めお気軽にお問い合わせください。

5.SOCを導入する際の課題とは

SOCを導入する際の課題は、SOCを担当しない従業員の教育や指導です。SOCを導入するためには業務フローやルールの見直しが必要であると前述しましたが、どうして見直しを行わなければならないのか、ルールを破ってしまったらどのような事態に陥る可能性があるのか、従業員一人ひとりが理解しておかなければ、SOCを導入したとしてもうまく機能していかないでしょう。

SOCを導入し、SOCでセキュリティを担当する人材の採用や育成を行っただけでは、セキュリティインシデントに対応することはできません。企業で働く全ての人間が気持ち良く仕事を行い、円滑に作業を進めていく上で、SOCを担当しない従業員でもセキュリティの重要性や、インシデントについて、しっかりと学べる体制の構築が必要です。

たとえば従業員の教育や指導を行うために、SOC担当者によるセキュリティ研修を業務時間に組み込むなど、従業員が定期的にセキュリティについて学べる場をつくる方法があります。従業員がセキュリティインシデントについて考える場を提供し、サーバー攻撃や人為ミス、情報漏えいなどの事例を参考にして脅威を正しく理解し、身近に潜むリスクや対策について、全員で話し合っていくことが大切です。

6.SOCの導入ならNTT東日本にご相談ください

24時間365日体制で企業のサーバーやOS、データベースなどのログ監視を行うSOCは、導入すればセキュリティレベル向上やセキュリティ業務の効率化に役立つ組織です。日々巧妙化していくサイバー攻撃に対応するためこれから必須となっていくといえるSOCですが、セキュリティ人材の確保や監視対象の検討など、導入のための課題もあり、スムーズに導入に至らないケースもあるのではないでしょうか。

SOCの導入について悩んでいるのであれば、NTT東日本にご相談ください。NTT東日本のクラウド導入・運用サービスのカスタマイズオプションを使用すれば、サーバーに必要な機能をまとめて提供する総合セキュリティ製品「Trend Micro Cloud One- Workload Security」による監視措置、運用代行サービスを利用できます。

NTT東日本のクラウド運用・導入サービスで提供する機能は、不正プログラム対策、Webレピュテーション、ファイアウォール、侵入防御（IPS/IDS）の4つです。管理サーバーや不要でAgentのインストールのみで使用でき、一貫したセキュリティ対策を行えるクラウドセキュリティオプションを、ぜひお試しください。

NTT東日本のクラウド導入・運用サービス

7.SOCについてまとめ

SOCとは24時間365日体制で企業のサーバーやOS、データベースのログ監視を行う組織です。IT活用の広がりを受けて多様化するデバイスやシステム環境、日々複雑化するサイバー攻撃から情報を守るため、SOCはこれからさらに必要なものとなっていくでしょう。

SOCを導入すればセキュリティレベルの向上や、セキュリティ業務の効率化などのメリットがありますが、導入の際に必要なことに関して、不安に思う企業も少なくありません。SOCの導入に関してお悩みの際は、NTT東日本にぜひお任せください。

NTT東日本のクラウド運用・導入サービスであれば、Trend Micro Cloud One- Workload Securityによる監視や運用を行えます。セキュリティ監視から通知、設定代行、問い合わせサービスなどが行えるNTT東日本のクラウド運用・導入サービスに、ぜひご相談ください。