CYBERNET
 

お役立ち情報

トレンド基礎知識 セキュリティの確保で重要な役割を果たす「SOC」
そのメンバーとなる人材の不足にどう対応すべきか

重要性が高まる2種類のセキュリティ組織

使われる手法が高度化し、自社もいつ被害に遭うか予断が許されないサイバー攻撃。データを暗号化して身代金を要求するランサムウェアが増えている一方で、ウクライナ戦争の裏側では「データを完全に破壊する」というワイパー型マルウェアを使った攻撃も活発化しています。すでに従来型のアンチウイルス製品では侵入・感染を完全には防止できない状況になっているため、次世代アンチウイルスやEDR(Endpoint Detection and Response)、SIEM(Security Information and Event Management)を導入する企業も増えてきました。

しかし、これらのセキュリティ製品の効果を引き出すには、導入するだけでは十分ではありません。特にEDRやSIEMは、適切に活用できる「人の力」が不可欠です。このような目的のために設置が推奨されているのが「SOC(Security Operation Center)」というセキュリティ組織です。その目的は、24時間365日体制でシステムやネットワークを監視し、インシデントが発生した際にいち早く分析・対処を行うことで、その原因究明や被害拡大防止を行うことにあります。

SOCと似ているセキュリティ組織としては、他にも「CSIRT(Computer Security Incident Response Team)」があります。目的がセキュリティインシデントの予防と事後対応なので、SOCとの共通点も多いのですが、その性格はかなり異なります。SOCがどちらかというと、システムやネットワークといった主に「技術的な側面」に焦点を当てて活動を行うのに対して、CSIRTはインシデント発生時の対応手順や社外関係者への報告、再発防止策の立案など、「ビジネス的な側面」も求められているからです。

そのためSOCのメンバーはセキュリティの専門家で構成されることが多いのに対し、CSIRTにはより広範な人材が求められます。日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会)が2020年12月に公開した「CSIRT人材の定義と確保」によれば、CSIRTを構成する人員について、20項目の役割・スキルが列挙されています。その中にはインシデントの情報収集や状況分析、インシデント処理といったセキュリティ人材に加え、関連部署との調整、社内外への説明・連絡、教育などを行う人材や、経営陣、さらには調査・捜査担当者まで含まれているのです。

このように性格が異なる組織であるため、SOCとCSIRTの両方を設置し、相互に連携しながら活動しているケースも少なくありません。

SOC機能のMDRへのアウトソースは合理的な選択肢

SOCやCSIRTといった組織を社内に設置しておくことは、サイバー攻撃はもちろんのこと、内部不正への対処を行う上でも重要です。ここで大きな課題になるのが、そのメンバーとなるセキュリティ人材を、いかにして確保するかです。

セキュリティ人材は世界的に不足しており、なかでも日本はその傾向が顕著です。特にSOCを設置する場合には、高度な知識を持つセキュリティ人材を複数名確保し、24時間365日体制の監視を行う必要があります。これは中堅・中小企業はもちろんのこと、大企業にとっても容易なことではありません。 そこで近年、注目を集めるようになっているのが「MDR(Managed Detection and Response)」と呼ばれるサービスです。これは、サイバー攻撃などの脅威検知とインシデントへの対処を代行する、アウトソーシングサービスのこと。つまりSOCの機能を社外にアウトソースすることで、社内にセキュリティ人材が不足している場合でも、24時間365日の監視と早期の事後対応を可能にしていこう、というわけです。

SOCの主要機能をアウトソースする、というのは、社内にセキュリティ人材を確保できない企業にとって、極めて合理的な選択だといえます。SOCの役割は主に、技術的な側面から脅威の検知・対処を行うための組織であるため、やるべきことが企業毎に大きく異なるわけではありません。数多くの企業に対してMDRサービスを提供するベンダーであれば、自社で行うよりも効率的かつ効果的に脅威検知・対処が行えるはずです。これは、社内にハードウェアを設置するオンプレミスシステムを、パブリッククラウドへと移行するのに似ています。つまり「餅は餅屋」というわけです。

これに対してCSIRTの活動は、企業内の組織構造や企業文化、関連する外部組織、守るべきブランド価値など、より多くの要素が絡んできます。CSIRTが目指すべきは単なるセキュリティインシデントへの対応ではなく、顧客や取引先、ブランドなどを適切に守り、事業継続を可能にすることだからです。そのためCSIRTに関しては、その主要な機能を社外にアウトソースするのではなく、社内で行うべきだといえます。前述の「CSIRT人材の定義と確保」でも、CSIRT実装のモデルが4パターン挙げられていますが、いずれもコアとなる機能は組織内に置いており、一部業務をアウトソースする場合でも、セキュリティの専門知識が求められる領域やリスクアセスメントなどに限定されています。

企業としての責任を果たすために、これからはCSIRTの設置がより強く求められるようになるでしょう。その適切な運営に集中する上でも、SOCの主要機能をMDRサービスにアウトソースすることは、合理性の高い選択肢になるといえるのです。

サイバネットでは、主要EDR 製品であるCrowdStrike Falcon及びVMware Carbon Blackを取り扱うほか、24時間365日お客様に代わりインシデント対応を行うMDRサービスのご提案もあわせて行っています。お客様のご要望に合わせた最適なセキュリティ対策の構築を支援致します。気軽にお申し付けください。