SOCとは？導入の必要性やセキュリティ組織構築のポイントをわかりやすく解説

SOCとは何か

SOC（Security Operation Center／セキュリティ・オペレーション・センター）は、企業・組織が利用するネットワークやサーバ等のIT機器から随時出力される各種ログの監視・分析などを通して、サイバー攻撃やインシデントを早期に検知・分析することが主な役割です。そのために24時間365日、常に稼働し続けられる体制が求められます。また単に攻撃を待つだけでなく、サイバー攻撃がインシデントに結び付かないようにするための対策立案も重要な仕事です。

SOCを立ち上げる目的と意義

企業・組織・個人の活動のほとんどを、デジタルデータやネットワークに頼らざるを得ないのが現代社会です。特に最近はクラウド活用が進み、外部のサーバやサービスと接続することが頻繁になってきました。組織内の「閉じたネットワーク」で完結していた頃と比べ、攻撃者のターゲットとなるポイントが増えているのです。

攻撃手法の進化・多様化のスピードも速く、すべてを未然に防ぐことは現実的とはいえません。攻撃は受けるもの（攻撃を受けることは避けられない）という観点を持つことが重要です。機器やネットワーク、ログの異常を検知したら、それがサイバー攻撃によるものなのか、機器の不具合によるものなのかをただちに判断し、サイバー攻撃を受けていた場合は、被害を最小限に抑えるために適切な対応を行えるセキュリティ体制を築く必要があるでしょう。特に検知・判断は、その後の対応の成否を左右するといっても過言ではなく、SOCのような専門チームを設けることが有効だと考えられます。

SOCの役割

先述のとおり、SOCの業務はインシデント発生前の検知・対策立案などが中心ですが、インシデント発生後、他のセキュリティ組織と連携して緊急対応に参加するケースもあります。SOCやCSIRT（Computer Security Incident Response Team／シーサート）、その他のセキュリティ組織で役割をどう分担するかは企業ごとに異なります。平時、十分に検討しておく必要があるでしょう。

SOCの設置状況

どのくらいの企業が実際にSOCを設け、運用しているのでしょうか。KPMGコンサルティング株式会社の調査「サイバーセキュリティサーベイ2022」¹ によれば、回答企業285社のうち45.6％がSOCを導入しているという結果が出ています。

またSOCは常時稼働が必要な組織であるため、人材確保やコストの問題から、その業務のすべて、あるいは一部をアウトソーシングしている企業が多いことも、この調査結果からわかります（外部のSOCサービスを利用 40.3%）。

SOCとMSS、MDRの違い

SOCとあわせて語られることが多いものとして、MSS（Managed Security Service）、MDR（Managed Detection and Response）があります。

SOCには自社内に設けるもの、アウトソーシングを利用するものの2パターンがありますが、MSS、MDRはどちらもアウトソーシング・サービスです。SOCや専門のセキュリティアナリストらを擁するプロバイダ（サービス提供企業）が、主にリモートでクライアント企業のセキュリティ維持やインシデント対応を支援します。自社内にSOCを立ち上げるよりも導入・運用コストが抑えられるという理由などから、MSSやMDRに注目する企業も増えているようです。

プロバイダ各社がそれぞれのサービス充実に力を注いでいるため、MSS、MDRとアウトソーシング版SOCとの境は曖昧になっているともいわれています。アウトソーシングを利用する際には、何をどこまでカバーしてくれるのか、しっかりと確認する必要があるでしょう。

MSSとは

MSSは、Managed Security Serviceの頭文字をとった略称で、セキュリティ機器・ソフトウェアの監視や運用管理などを提供するアウトソーシング・サービスを指します。クライアント企業のセキュリティ機器・ソフトウェア（WAF、IDS/IPSなど）からログを収集したうえで、プロバイダのSOC等がそれを分析して、リスクを検知したらクライアント企業の担当者に通知し、対応策（セキュリティ機器のファームウェア更新など）をアドバイスする、というのが一般的なサービス内容です。セキュリティ関連製品を監視のポイントにしてサービスを展開していることが多いMSSですが、そのサービス範囲はプロバイダによって異なります。

MDRとは

MDRは、Managed Detection and Responseの頭文字をとった略称です。ベンダーのSOCが異常を分析、原因を特定し、対応策（マルウェアに感染したPCを隔離するなど）を含めて提供するサービスがMDRです。MSSが主にセキュリティ製品を切り口として攻撃の検知や対策を支援するのに対し、MDRはセキュリティ製品によるファイアウォールなどをすり抜けて、ネットワーク内のデバイス（エンドポイント）がマルウェアに感染してしまった場合の対応まで、サービスに含まれていることが多いようです。またインシデント対応にも重点が置かれており、SOCとCSIRTをまとめてアウトソーシングできるような、手厚いサービスを展開しているベンダーもあります。

セキュリティ組織構築時の注意点

企業によっては特定の部門のみが利用しているシステムのために、専門の監視チームやインシデント対応チームを編成していることもあるでしょう。M&Aやサプライチェーンの拡大などをきっかけに、企業内・グループ内に複数のセキュリティ対応組織が存在している例もあります。

しかし組織構造が複雑化すれば、部門間、関連企業間に「セキュリティの壁」ができてしまいかねません。それぞれのセキュリティ戦略・セキュリティポリシーが障害となり、インシデント発生時に他部門と連携した柔軟な対応が取れなかったり、生産性の低下を招いたり、またセキュリティに関するノウハウを集約できないといったデメリットにつながるおそれもあります。

こうした事態を避けるには、組織全体のサイバーリスクを俯瞰・統括するCDC（Cyber Defense Center／サイバーディフェンスセンター）を設置し、各組織の役割や目標を決める必要があるでしょう。

CDC構築のために必要なこと

一般社団法人情報通信技術委員会（TTC）が制定した「JT-X1060 – サイバーディフェンスセンターを構築・運用するためのフレームワーク」² では、CDC構築のフェーズが以下のように定義されています。このフェーズはCDCに限らず、SOCやCSIRTなど、他のセキュリティ対応組織を構築する際の参考にもなるため、ここで簡単に紹介します。

フェーズ１：サービスカタログの作成（何をするのかを決める）

まず自社に必要なセキュリティサービス（業務）を決めます。ここでいうサービスには、以下の9つがあり、自社の状況にあわせて取捨選択します。

フェーズ２：サービスプロファイルの作成（誰がやるのかを決める）

フェーズ1で実施すると決めたサービスを、誰が（どの組織が）担当するのかを決めます。たとえば自社内のSOCが「即時分析」を行い、高度な分析が必要となる「深堀分析」は専門企業にアウトソーシング、「インシデント対応」は社内CSIRTで行う、といったように、役割・責任を明確にします。

フェーズ３：サービスポートフォリオの作成（到達目標を決める）

実施する各サービスについて、「現状」と「あるべき姿」を可視化したポートフォリオを作成します。このポートフォリオは、いま自社としてはどこに注力すべきなのか、セキュリティ対策の方向性を明確化するのに利用します。

CDCサービスの細かい分類や、プロファイル、ポートフォリオ作成のためのフォーマットや指標例、さらにマネジメントを行っていくための方法などについての詳細は、TTC「JT-X1060 – サイバーディフェンスセンターを構築・運用するためのフレームワーク」や、NPO 日本ネットワークセキュリティ協会（JNSA）、日本セキュリティオペレーション事業者協議会（ISOG-J）による「セキュリティ対応組織（SOC/CSIRT）の教科書 ～X.1060フレームワークの活用～」³ で紹介されています。セキュリティ組織の設立、見直し、体系化を行う際には大いに参考になるでしょう。

まとめ

不正やサイバー攻撃をインシデントにつなげない、あるいはインシデントによる被害を抑え込むためには、リスクや脅威に対して、常に身構えておく姿勢が重要です。それを体現する組織こそがSOCといえるでしょう。当然ながら、SOCだけで企業のセキュリティが確保できるわけではありません。検知した異常や攻撃に対処するためのCSIRT、さらにセキュリティ対策全般の舵をとるCDCなどの組織を構築し、平時から連携がとれる体制をつくっておくことが求められています。

この記事で解説したSOC立ち上げのポイントは下記のとおりです。