「セキュリティ監視」に興味がある方は SOC や MSS という言葉を聞いたことがあるかと思います。本稿では SOC と MSS の定義と違いを明らかにするとともに、「セキュリティ監視」について適切なサービス選択するための考え方を紹介したいと思います。
SOC (ソック) とは Security Operations Center の略語で直訳すれば「セキュリティを運用する組織」を意味します。実際の業務は組織により差がありますが、多くの場合、以下のようにあらわすことができます。
多くの場合、SOCは「SOC事業者」へアウトソースされます。アウトソースされる理由としてはSOCの運用にはセキュリティ人材の確保や分析用機材(SIEM等)の運用の問題などが挙げられます。このように、自組織内に構築したSOCは「PSOC (Private SOC)」と呼ばれることがあります。多くの場合、PSOCの構築と維持には大きなコストを伴う傾向があり、SOCを構築する際にはSOC事業者へのアウトソースが選択されているのが現状です。以降ではSOCを「SOC事業者によるSOC」の意味で用い、PSOCと区別します。
MSS (エム エス エス) とは Managed Security Service の略語で直訳すれば「セキュリティについてのマネージドサービス」を意味します。
「マネージドサービス」とはサービス運用や保守などの管理をサービス側で担保したサービスです。
マネージドサービスはクラウドサービス等で多くみられる形態であり、「サーバレスなシステム構築」や「SaaSによる業務システムの運用」等で広く利用されています。
具体的なMSSの役割は以下のようになります。
これに加えて、インシデント検出時に情報機器で暫定対応を行うような場合には「フルマネージドサービス」と呼ばれる場合があります。
歴史的経緯としては PSOC のアウトソースとして SOC事業者 が成立し、 より「セキュリティの運用コスト」を意識したサービスとして MSS が成立しました。
ここでいう「セキュリティの運用コスト」には「費用」だけでなく「大量に送られてくるアラートに対する対応」や「SOCと付き合うための業務スキル習得」等も含まれます。
一般的にSOCへのアウトソースはPSOCに比べれば構築・運用コストを軽減できる傾向にありますが、
それでも年間の運用コストが一般的には400万円以上かかるものであり、また、サービス開始までのリードタイムも2カ月以上要することが多く、
導入できる組織は限られる状況にありました。
MSSはSOCを「マネージドサービス」として提供することで構築・運用コスト軽減したものと言えます。 一方で、SOC と MSS
の境界は曖昧なものであり、実際に運用コストが軽減できるかは各SOC/MSSサービスの提供サービスを確認する必要があります。
参考までに「マネージドサービス」としてのMSSを選択する上での観点の例を挙げます。
即時性が不要なリスクに対してアラートが多発する場合、対応コストが増大するだけでなく、実際に緊急の対応が必要な際の即応性が損なわれる恐れがあります。
インシデントの痕跡をセキュリティ機器が分析することでセキュリティイベントを出力します。アラートが「元となったインシデント」を適切に表現しない場合、セキュリティイベントの分析と理解をユーザが行う必要があります。
監視の目的に応じて監視対象機器は異なります。MSSではユーザの目的に合わせて監視対象や構成を提言する場合もあります。一方で「セキュリティ製品とSOCがセット」のようなSOCも存在するため、「監視導入によるシステム構成への影響が適切か」を注意する必要があります。
攻撃の高度化やクラウドの普及、在宅勤務などにより、セキュリティ監視は組織の大小に依らず重要なものとなっています。 組織の特性に合わせて SOC や MSS を上手に活用し、セキュリティ監視の導入を検討してみてはいかがでしょうか?
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
