Array ( [0] => 356 ) 1234
Elasticsearchの導入事例が3分で分かる!
無料資料ダウンロード

SOCとは?社内のセキュリティ対策組織が求められる理由と運用ポイントを解説

セキュリティ保護

サイバー攻撃の脅威や社内のサイロ化、膨大なログ情報などにより、 SOC(ソック)の構築が急務となっている企業も少なくないのではないでしょうか。この記事では、 SOC の概要から、 SOC が求められる背景、さらにはセキュリティ体制を整備するにあたってのポイントなどを解説します。

お役立ち資料
著名企業9社から学ぶ取り組み事例

SOCとは?

SOCとは、「Security Operational Center」の略称で、 24時間 365日体制のもと、ネットワークやデバイスの監視を行う専門組織のことです。また、監視だけでなく、サイバー攻撃の検出や分析、さらには対策を立案するといった業務も行っています。

SOC が求められる主な 3 つの理由

DX推進により情報の活用が重要視されている中で、セキュリティへの意識も高まっており、 SOCの構築に取り組む企業も少なくないと考えられます。

そこで、 SOC構築が求められる主な理由を 3 つ紹介します。

理由 1:サイバー攻撃の高度化・活発化

ランサムウェアや標的型攻撃、サイバー攻撃が高度化、活発化しており、セキュリティ面での対策は必要不可欠です。

2020 年に発生したセキュリティ事故や攻撃の状況等から、 IPA が脅威候補を選出している「情報セキュリティ 10 大脅威 2021 」によると、ランサムウェアや標的型攻撃、ニューノーマルな働き方を狙った攻撃など、状況に対応した高度な攻撃が上位になっています。

また、実際にサイバー攻撃は年々増加している傾向があります。例えば、情報通信研究機構「NICTER観測レポート 2020 」では、 NICTER のダークネット観測網(約 30 万 IP アドレス)において観測されているサイバー攻撃関連通信は 2019 年には約 3,220 億パケットですが翌年の2020年には約 5,001 億パケットと急増しており、サイバー攻撃が活発化していることがうかがえます。

出典:情報通信研究機構「NICTER観測レポート2020」

このような背景もあり、セキュリティリスクを早期に検知する必要があります。

理由 2:サイロ化された環境

SOC 体制の構築が必要となる背景の 1 つが、デバイス、ネットワーク機器、アプリケーション、サービスの多様化・サイロ化です。

多様化・サイロ化によって企業内には、各部門が所有・管理するさまざまなデータやログが点在している状況です。そのような状況下では、インシデントにつながる脅威を検知することが困難になってしまいます。

例えば、社員が使用するパソコンやタブレット端末などのデバイスから発生するログがバラバラに管理されているケースは少なくありません。ログ管理が各担当者に委任されていると、インシデント発生時の対応が遅くなる可能性があります。また、ログの保存期間が不十分で必要なデータが得られなかった、といったことにもなりかねません。

このように、サイロ化された環境下では、必要なログが得られない可能性もあります。

理由 3:大量のデータから異常値が判別できない

企業によっては、セキュリティの異常検知に利用されるログ情報が大量化しているケースも少なくありません。データが大量化してしまうと、異常を即時に判定することが難しくなってしまいます。
こういった状況が引き起こされている理由の 1 つに、サイロ化同様に利用するデバイスやサービスが増えていることが挙げられます。

総務省によるとデータ量・トラフィック量は毎年増加すると予想されており、 2021 年時点では月間319 エクサバイトまでのぼると予測されています。これは実測の 2017 年の 2.6 倍の数値です。

出典:総務省「令和元年版 情報通信白書」

そのため、大量化したデータを適切に管理できず、異常に対して速やかに対応することが難しくなってきております。

以上の3つの理由に対応するためには、SOC 体制を構築することがとても重要です。

SOC運用時のセキュリティ対策で押さえておきたいポイント

企業に対するさまざまな脅威が溢れる中でセキュリティ対策の重要度は日々高くなっていると考えられます。一方で、ただ闇雲にセキュリティの強化を図っても、時間もコストもかかるうえ、十分であるかどうかもわかりません。そこで、ここでは SOC を適切に運用するために押さえておきたいポイントを紹介します。

セキュリティ対策 1:ログ解析・監視

セキュリティ対策を行ううえでは、ログ解析・監視は非常に重要です。これは、日々発生するログを監視・解析することで、インシデントの発生や予兆を早期に検知できるようになるためです。
ログ解析・監視を行うにあたっては、セキュリティエンジニアが 24 時間 365 日のシステム監視・分析を行える体制を整備し、不正アクセスに対してスピーディかつ適切に対処できるようにすることがポイントとなります。
また、ログ解析をするとなると、分析するログの量が膨大になるため、それらに対応したサービスなどの活用と専門のセキュリティエンジニアを用意するなど、二段構えが重要です。

セキュリティ対策 2:セキュリティ診断

セキュリティ診断を行い、診断を通じたセキュリティリスクへの評価を行うことも重要なポイントです。 SOCは、セキュリティ診断を行うことで、発生が想定されるリスクや脅威に対する対応優先度を明らかにすることができます。どういった対策が用意されているのか、リスクはどのくらいあるのか、対策が不十分である部分はどこなのか、といったことがわかるため、診断結果は改善策を考える際などにも活用可能です。

セキュリティ対策 3:脅威の発生をアラートで知らせ対応する

セキュリティ機器が検知したデータはもちろん、セキュリティ機器が検知しない大量に流れるデータの中からも、異常の可能性があるものについてはアラートで知らせることが重要です。アラートが設定されていれば、万が一脅威が発生したとしても、速やかに対応することができます。なお、アラートの設定を行うには、大量のデータを処理できる情報基盤が必要不可欠です。

セキュリティ対策 4:潜在的脅威の発見

既存のデータや過去の傾向などを分析することで、潜在的な脅威を事前に洗い出すことも大切です。自社に関連する脅威がどういったものなのか、あらかじめ想定できていれば、実際に遭遇したとしても、スムーズに対応することができます。

SOC構築時の課題

ここまでSOC構築のポイントを説明しましたが、実際にSOC体制を社内で構築には、課題があります。

運用リソースの確保

SOC業務では24時間365日体制でサイバー攻撃の監視を行う必要があり、社内で行うとなると担当者の運用負荷が大きくなってしまいます。

また、サイバー攻撃の監視手法やセキュリティ対策ソリューションが多様化しているため、SOCの運用にはこれらの技術を理解し、利用できるセキュリティの専門人材も必要です。しかし、日本国内では、セキュリティ人材不足が提唱されており、人材の確保は簡単ではありません。

膨大なセキュリティログ

セキュリティ監視や分析を業務の一環として行っているのが一般的ですが、企業規模や扱うシステムが増えると、セキュリティログが膨大な量になってしまいます。数千万~数億というログの中からアラートの出たシステムを確認・突合・相関分析を行うのは事実上不可能に近い状態です。

そこで、次章ではSOC構築を実現し、担当者の負荷を軽減するソリューションをご紹介します。

SOC構築ならElasticセキュリティを活用!

SOCの構築・運用は、大企業であれば内製化できる場合もありますが、外部のソリューションを活用した構築を行っている企業も多いです。上記で述べたように24時間365日体制で監視を必要とすることや、セキュリティの専門的なスキルや知識が求められること、さらに膨大なログも人手を借りずに処理する必要があることから、外部のソリューションを活用して強固なSOC運用を実現しましょう。

SOC 構築に役立つツールは各企業から展開されていますが、ここでは、Elastic セキュリティをご紹介します。「Elastic セキュリティ」は、脅威の防御、検知、対応に必要なツールで、SIEM、エンドポイントセキュリティ、脅威ハンティング、クラウド監視をはじめ、広範な目的に使える無料かつオープンなソリューションです。

Elasticセキュリティを活用した企業の事例として、ある企業では、膨大な量のセキュリティログの中から、効率的に高精度の検知をしたい、といったニーズを抱えていました。このようなニーズに対して、 Elastic セキュリティを活用したことで、これまでは抽出に時間を要していたアノマリ検知を瞬時に行うことができ、検知能力の大幅な向上が実現しています。また、アノマリ検知時などの原因究明の時間も短縮することができるため、質の高い SOC 体制構築にもつながります。

その他のElasticセキュリティ事例はこちらもご覧ください。

以下の資料では、著名企業9社における導入・取り組み事例を紹介しています。SOC構築・セキュリティ対策に興味をお持ちの方は、ぜひご覧ください。

お役立ち資料
著名企業9社から学ぶ取り組み事例

関連記事はこちら

データ検索一覧を見る

お問合せ・資料請求

Elasticsearch 製品の導入、販売に関するお問合せはお気軽にご相談下さい。

Elasticsearch 製品の導入・販売に関するご質問はこちら
※関連サイトへ遷移します
お問合せフォームから質問する
Elasticsearch 製品のサービス資料はこちら
サービス資料を読む