サイバー攻撃の対策として、さまざまなログを収集し、分析するには、ツールを使用したとしても、セキュリティやシステムに関するある程度の専門知識が必要です。しかしながら、ログ管理の需要は高まるばかりで、人材の確保は簡単ではありません。
サイバーセキュリティをITの専門知識がない従業員に任せると、会社のシステムがセキュリティ上危険にさらされます。
そうした問題を解決するために、外部のSOC(Security Operation Center)サービスを利用するという方法があります。
ログを収集していても、知識がなければどんなログに対してアラームを上げたらよいのかわからず適切な検知が行えません。ログ分析にしても、どんなログを合わせて関係性を調べるべきかが分かっていなければ適切な相関分析はできません。
SOCサービスを使用すれば、自社で所有しているシステムであっても、SOCセンターからのリモート監視により、ログをもとにした検知、分析、そして場合によっては対処についても、外部の専門家のサポートを受けることができます。
リモート監視というと、サーバやネットワークなどのハードウェアを中心としたITインフラの運用監視のイメージが強いですが、SOCサービスは、サイバーセキュリティなどを目的にSIEM(Security Information and Event Management)を外部委託するような内容となります。これにより、SIEMで実現することと同様に、さまざまなシステムやセキュリティツールから出力されるログを一元的に集約し、それらのデータから相関分析を行って、サイバー攻撃によるマルウェア感染など、セキュリティインシデントを検知し対処することをSOCサービスによる監視によって実現します。
一般的なSOCでは、ネットワーク通信のトラフィックや、PCなどのエンドポイントデバイス、サーバ、データベース、アプリケーションなど多岐に渡るシステムについて、セキュリティインシデントの兆候がないか24時間体制で監視され、疑わしいものは継続的に検査、分析が行われ、インシデントやその兆候をユーザへ報告します。契約内容によっては、分析よって導かれたインシデントの対処方法を支援してくれます。
既にSIEMの体制が社内で構築できている場合など、もちろん環境によっては、SOCサービスが不要であったり、コストメリットが見いだせない場合があります。SOCサービスのメリットは、それを提供している会社の多くがデーターセンターを運営しており、多くのユーザについてインシデント対応の経験があるということです。また、一般の企業に比べ、セキュリティ監視や、分析、対処を行うスタッフの人数も多く、対応している案件数も多いため、それだけセキュリティインシデントに関する膨大な知識ベースが蓄積されており、1つの企業では得ることができないノウハウを持っています。セキュリティの性格上、既に他社で発生した事象が自身の会社でも狙われる可能性があり、最新情報が求められるマルウェアの攻撃方法などについて常に情報を入手しインシデント レスポンスを実践している会社を選択できれば、そうした経験と知識が、SOCサービスを受けるアドバンテージとなります。
また、いくつかのSOCサービスではデータセンターを運営している都合上、数多くのメーカーのセキュリティソフトなども対応しているため、特定のメーカーのセキュリティソフトの使用を限定されるようなベンダーロックインによるリスクは少なく、その時代にあったツール選択も可能です。
データーセンターのセキュリティサービスは、センター内で運用しているシステムが限定のイメージが強いですが、SOCサービスは、ユーザ側の現行のシステムの運用場所は変更せず開始できます。そのため、まずはセキュリティ監視から外部委託を始めてみるという点では、SOCサービスは、ログ管理の運用を効率化する手法のひとつとしてとても有効な手段となります。
SOCサービスは、ログの検知、分析を外部委託できる
