SOC（セキュリティ・オペレーション・センター）サービス

企業などのITシステムは常に不正侵入やDDoSなどのさまざまな攻撃に晒されています。これらの攻撃に対応するために組織されるのがSOC（セキュリティ・オペレーション・センター）です。ここではSOCを、それが提供するサービスの観点から解説します。

セキュリティ技術専門家のチームがSOC

セキュリティに対応するための組織としては、他にもCSIRT（コンピュータ・セキュリティ・インシデント・レスポンス･チーム）などがありますが、 SOCはCND（コンピュータネットワークの防御活動）に範囲を絞った、常時活動する、セキュリティの専門エンジニアによるチームです。

SOCの提供するサービス

SOCと認められるためには、少なくとも次のようなサービスの提供が必要で、一般的にはいくつかのグループで分担して提供します。

1. サイバーセキュリティに関して、疑わしいインシデントを報告する手段を提供
2. インシデントの取り扱いについてのサポート
3. インシデントに関係した情報を内部および外部の関係者に周知

「ティア1グループ」は常時、リアルタイムのサービスを提供

利用者（ここでは顧客）からの問い合わせや報告を受け付けるコールセンターのサービスを提供します。また、対象となるIT資産に対してSIEM（セキュリティ・インフォメーション・アンド･イベント･マネジメント）などのツールを利用して、常時セキュリティに関するイベント監視と一次分析を行って、インシデントを見つけ出します。インシデント発生時には対応優先順位を付け、必要な場合にはティア2+のインシデント分析・対応チームに情報を渡してより深い分析を行います。

これらのサービスはリアルタイムに処理し、限られた時間で対応する必要があるため、専任グループを構成することが普通です。一般に最前線で対応するこのグループのことを「ティア1」と呼びます。

「ティア2+グループ」はより専門的で高度なサービスを提供

ティア1からインシデント対応を引き取り、その重要度に応じて記録されたメディア情報やパケットキャプチャなどの通信記録も参考にして、より深い解析を行うのが「ティア2+」グループです。ティア2+グループにはリアルタイム監視の責任は持たせず、より経験値の高い分析エンジニアが担当して一連のアクティビティの集まりを完全に解析し、追加情報を集めて顧客との調整に集中します。

「その他のグループ」による広範なサービスを提供

さらに、SOCはセキュリティ認知訓練やIT資産のリストアップと脆弱性評価のような一連のサービスを提供します。また、サイバーニュースや文献情報を収集し、インシデントの傾向や脅威の分析を行ってSIEMなどのツールのチューニングに反映させたり、SOC自体のIT環境の構築やツールの開発、自動化の推進などを行う必要があります。

これらは組織のサイズや陣容に応じて、独立したグループにより運用されます。

SOCが利用できるサービスを開発

このようにSOCのエンジニアが行うべき仕事は多岐にわたり、要求されるスキルも異なるため、各企業がすべて自前で行うことは容易ではありません。当社は、お客様にSOCの機能の一部またはすべてを提供するサービスメニューを適宜開発しております。

図：SOCの役割とインシデントの流れ