SOCとは？具体的な業務の内容やCSIRT・MDRとの違いについて詳しく解説

SOCとは何かご存じでしょうか。ビジネスの場では今やIT・ICTの活用・運用が欠かせません。そして、それと歩調を合わせて保守・セキュリティ面の対策を整える必要があります。SOCは企業が直面するサイバー攻撃を防ぐ役割を果たすため、現在あらゆる業界でその重要性に注目が集まっています。

そこで今回は、SOCとは何かについて、具体的な業務内容や類似した用語との違いも含めて詳しく解説します。

SOCとは

SOCとは、あらゆるサイバー攻撃から社内ネットワークを守るため、24時間体制で監視・分析を続けるセキュリティ部門・チームのことです。Security Operation Centerの頭文字を取った言葉で、日本ではカタカナ語で「ソック」と呼ばれています。保守対象となるのは、社内にあるIT機器、社内ネットワーク、デバイス、サーバーなどです。

ビジネスの場では、重大な事故・事件が起こる前の状況を「インシデント」と呼びます。社内のネットワークに対する脅威をリアルタイムで検知・対処することで、インシデントの予防とその早期検知に注力するのがSOCの役割です。

SOCはセキュリティに関する専門的な知識・スキル・機器が必要であるため、ネットワーク・ソフトウェアの運営を管理する情報システム部門とは別の組織として設置されるのが望ましいです。また社内独力で設けるのが理想ですが、中小企業など人的資源に限りのある企業の場合、外部の事業者が提供するサービスの利用もできます。

【関連サイト】
資産管理ツールのサービス一覧

SOCが注目されている背景

かつて、社内にあるネットワーク機器のセキュリティは、その運営を行うシステム管理者が兼ねるのが通例でした。しかしITが高度化し、その活用が広範囲に広まりつつある現在、サーバー攻撃の手口も複雑化・巧妙化が進んでいます。

しかもサイバー攻撃は24時間365日、いつ発生するかわかりません。フルタイムで対応する必要があるため、システムを管理運営する部門とは別に、セキュリティのみを集中的に業務として行う部門、すなわちSOCへのニーズが高まりつつあるのです。

CSIRT・MDRとの違い

SOCとよく似た用語として「CSIRT」と「MDR」があります。SOCとの違いは以下の通りです。

・SOC・・・Security Operation Centerの頭文字を取った言葉。セキュリティインシデントの監視、検知を専門的に行うセキュリティ部門・チームのこと。

・CSIRT・・・Computer Security Incident Response Teamの頭文字を取った言葉。マルウェア感染や情報流出など、実際に起こってしまったインシデントに対処するための部門・チームのこと。

・MDR・・・Managed Detection and Responseの頭文字を取った言葉。SOCやCSIRTの役割を代行してくれる外部のサービスもしくはその事業者のこと。

CSIRTはサイバー攻撃が起こり、被害が生じた状態への対処をするための部門・チームであるのに対し、SOCはサイバー攻撃が起こる前の予防、検知のための部門・チームです。どちらも重要ですが、未然に防いだ方が被害は生じず望ましいため、SOCへのニーズがより高まりつつあるといえます。社内でチームを用意できないときは外部のサービス、つまりMDRを活用することも重要になります。

SOCが担う業務内容とは

SOCの主な業務内容としては、以下が挙げられます。

システムアラートの監視と分析

保守対象となる社内のシステム、ネットワーク、IT機器等にはアラート機能が備え付けられていますが、それらを24時間体制でチェックし、重要・注目すべきものをピックアップして検査・分析を行います。分析の際は、ログデータ、パケットデータ、マルウェアサンプルなどをもとに、あらゆる角度から調査します。外部機関から脅威情報の提供を受けたときも、SOCが対応・検査します。

インシデント対策とその報告

インシデントが確認された場合は、所定の対応マニュアルに沿って必要な処置を行います。起こった脅威へはCSIRTが対応するのが基本ですが、SOCが携わるケースもあります。具体的にはサイバー攻撃によりどのような影響があるか、なぜ起こったのかを究明し、被害拡大への防御、復旧活動などを行います。インシデントの内容とその対策内容は、経営層・管理層に定期的に報告する必要があります。

使用しているツールの管理

SOCでは監視体制を行う上で、社内ネットワークやデバイスのログデータを集めて問題がないかを調べる「ログ収集センサー」と、脅威分析を行うSIEM、SOAR、XDRなどの「分析ツール」という2種類のツールを使用しています。これらツールが滞りなく機能するように、メンテナンスや確認を行う必要があります。

SOCを内部化するか、それとも外部サービスに任せるか？

情報セキュリティを整備する上で、企業にはSOCを社内に設けるか、それともアウトソーシング化して外部サービスに任せるかという選択肢があります。

SOCを企業内に設置するメリットとデメリット

自社が理想とするセキュリティのあり方を自由に構築できます。独自にカスタマイズした方法でサイバー攻撃への監視、対応が可能です。

しかしSOCを設置するには高額な初期投資と維持費用が必要で、専門能力のある人材を確保することも必須となります。

SOCをアウトソーシングするメリットとデメリット

自前でSOCを設置するよりも初期費用を大きく抑えられます。また専門のサービス事業者にはセキュリティに特化した能力をもつ人材がいるので、クオリティの高い監視・対応が可能です。また社内の人材をセキュリティ面に割く必要がなく、システム・ネットワークの管理・運営に集中して配置できます。

しかし自社だけにカスタマイズされたセキュリティ体制は築けません。また社内の内部情報を外部のサービス事業者と共有することにもなるため、新たなセキュリティ問題が発生する心配もあります。さらに社内に情報セキュリティのためのノウハウが蓄積されません。

まとめ

ビジネスシーンでは急速にデジタル化、情報化が進んでいますが、それに合わせてセキュリティ対策の重要性も増しています。インシデントを未然に防げるという点で、SOCへのニーズはあらゆる業種業態で高まりつつあります。

しかしSOCを社内に設置する場合、どうしてもコスト増をもたらします。とくに経営体力の乏しい中小企業・ベンチャー企業にとっては大きな負担になりやすいです。企業内にSOCを設けるのか、アウトソーシングするのかは、企業にとって慎重に検討を要する問題と言えます。

総務のお役立ち資料をまとめて紹介

総務の「業務のノウハウ」「課題解決のヒント」など業務に役立つ資料を集めました！
すべて無料でダウンロードできます。