今回の解説ニュース

ドキュメント概要

今回の報告書は、北米、ヨーロッパ、アジア太平洋、中東に拠点を置く従業員1,000人以上の組織で働いている、またはITセキュリティに関する意思決定に影響を与える2,000人を対象に実施した調査に基づいたものです。結果として、SOC担当者の51％が増加するセキュリティ脅威に追いつけないと考えていることが判明しました。また、SOC担当者の54%は使用しているツールはSOCの作業負荷を軽減するのではなく、むしろ増加させると回答しています。

今回の調査データでは、脅威の検知・レスポンスに使用されているツールや、それを提供するベンダーが、脅威の検知・レスポンスに十分な役割を果たしていないことを示唆していると述べられています。

SOCとは

SOCとはSecurity Operation Centerの略で、企業のネットワークやシステムを24時間365日監視し、サイバー攻撃などのセキュリティ脅威を検知、分析、対応する専門組織のことです。SOCは、サイバー攻撃の脅威がますます高度化する中、企業の資産と情報を保護するために非常に重要な存在となっています。

SOCの主な役割

SOCの主な役割として、監視、脅威分析、インシデント対応、対策改善が挙げられます。まず、ネットワークトラフィックやログデータ、セキュリティ機器のイベントなどを常時監視して、異常な活動を検出します。検出した異常な活動の原因を分析し、その脅威の性質や規模を特定します。もし、サイバー攻撃でインシデントが発生した場合は迅速に対応し、被害の拡大を防ぎます。そして、過去のインシデントから学び、セキュリティ対策を改善し、より強固なセキュリティ体制を構築していきます。

SOCが監視する主な対象

SOCが監視する主な対象として、内部ネットワークやインターネットとの境界などのネットワーク単位や、クラウド、サーバー、データベース、アプリケーションなどのシステム単位、ファイアウォール、IDS/IPS、WAFなどセキュリティデバイス単位などが挙げられます。

セキュリティの監視を効率的に行う仕組み

セキュリティの監視を効率的に行う仕組みとして、自動化や可視化を行うことが挙げられます。監視の効率化は、業務の生産性向上や問題の早期発見に不可欠です。

定期的なチェックや報告を自動化

まず、定期的なチェックや報告を自動化するために、スクリプトを開発したり、ツールの導入を検討します。外部システムと連携し、データの自動収集や分析を行うために、システムごとに用意されたAPIを利用することが一般的です。通知を自動化させるために、メールで定期的な報告や異常発生時の通知させること以外に、Slackなどのコミュニケーションツールで、チームでの共有やリアルタイムなコミュニケーションをする場合もあります。

変化を視覚的に捉え、異常を早期に発見する

また、変化を視覚的に捉え、異常を早期に発見するために、グラフなどで可視化することが挙げられます。ヒートマップの濃淡で状態を表示し、問題の重点領域を把握したり、位置情報を基に、問題発生箇所を特　定したりします。集中管理して可視化させるために、監視ダッシュボードで複数のシステム情報を一元的に表示させて、さまざまなシステムからのアラートを一カ所に集約することも有効です。

これらの機能を統合したシステムとしてSIEMが提供されています。

SIEMとは ｜SSecurity Information and Event Managementの略で、日本語ではセキュリティ情報イベント管理と訳されます。企業のネットワークやシステムから生成される膨大なログデータを一元的に収集、分析し、セキュリティインシデントを早期に検知するためのシステムです。

今回は、脅威の検知と対応を行うSOCの概要と、セキュリティの監視を効率的に行うための仕組みについてお届けしました。一部は当社SOCの事例から引用させていただきましたので、自社でSOCを運用する際の参考にしていただければ幸いです。