セキュリティ オペレーション センター (SOC) とは
セキュリティ オペレーション センター チームで潜在的なサイバー攻撃を迅速に検出し、優先順位付けし、トリアージする方法について説明します。
SOC とは
SOC は、組織の サイバーセキュリティ 態勢を改善し、脅威を阻止し、検出し、応答する責任を負う集中管理機能またはチームです。SOC チームはオンサイトまたはアウトソーシングで、ID、エンドポイント、サーバー、データベース、ネットワーク アプリケーション、Web サイト、その他のシステムを監視し、潜在的な サイバー攻撃 をリアルタイムで検出します。また、最新の脅威インテリジェンスを活用して脅威グループやインフラストラクチャを常に最新の状態に保ち、攻撃者に悪用される前にシステムやプロセスの脆弱性を特定して対処することで、先回り型のセキュリティ対策を行っています。ほとんどの SOC は 24 時間無休で運用されており、複数の国にまたがる大規模な組織では、グローバル セキュリティ オペレーション センター (GSOC) に依存して、世界規模のセキュリティ脅威を常に最新の状態に保ち、複数のローカル SOC 間で検出と応答を調整する場合もあります。
SOC の機能
SOC チーム メンバーは、攻撃の予防、応答、復元をサポートするために、次の機能を担っています。
資産とツールのインベントリ
カバレッジの盲点やギャップをなくすには、SOC で保護される資産を視覚化し、組織を防衛するために使用するツールを把握する必要があります。これは、オンプレミスと複数のクラウドにまたがるすべてのデータベース、クラウド サービス、ID、アプリケーション、エンドポイントの構成を意味します。このチームは、ファイアウォール、マルウェア対策、ランサムウェア対策、監視ソフトウェアなど、組織内で使用されているすべてのセキュリティ ソリューションも把握しています。
攻撃面の縮小
SOC の重要な責務は、組織の攻撃面を縮小することです。SOC は、すべてのワークロードと資産のインベントリを管理し、ソフトウェアとファイアウォールにセキュリティ更新プログラムを適用し、構成ミスを特定し、新しい資産をオンラインに追加することでこれを行います。チーム メンバーは、新たな脅威の調査や露出の分析も担当し、最新の脅威よりも先を行きます。
継続的な監視
セキュリティ情報エンタープライズ管理 (SIEM) ソリューション、セキュリティ オーケストレーション、オートメーション、および応答 (SOAR) ソリューション、または拡張検出と応答 (XDR) ソリューションのようなセキュリティ分析ソリューションを使用して、SOC チームはオンプレミス、クラウド、アプリケーション、ネットワーク、デバイスの環境全体を 24 時間無休で監視します。これらのツールはテレメトリを収集し、データを集約し、場合によってはインシデント応答を自動化します。
脅威インテリジェンス
また、SOC は、データ分析、外部フィード、製品の脅威レポートを使用して、攻撃者の行動、インフラストラクチャ、動機を取得します。このインテリジェンスは、インターネット上で発生していることの全体像を把握し、チームがグループの運用を理解するのに役立ちます。この情報を使用して、SOC は迅速に脅威を検出し、新たなリスクに対して組織を強化できます。
脅威検出
SOC チームは、SIEM と XDR ソリューションで生成されたデータを使用して脅威を特定します。これは、実際の問題から偽陽性を除外することから始まります。その後、脅威の重大性とビジネスへの潜在的な影響によって優先順位付けします。
ログ管理
インシデント応答
サイバー攻撃が特定されると、SOC は迅速に対策を講じ、ビジネスにできるだけ支障のないよう、組織への被害を最小限に抑えます。手順には、影響を受けたエンドポイントやアプリケーションのシャットダウンや隔離、侵害されたアカウントの停止、感染したファイルの削除、アンチウイルス ソフトウェアやアンチマルウェア ソフトウェアの実行などが含まれる場合があります。
復旧と修復
攻撃を受けたら、SOC は会社を元の状態に復旧する責任があります。チームは、ディスク、ID、メール、エンドポイントのワイプと再接続、アプリケーションの再起動、バックアップ システムへの切り替え、データの復旧を行います。
根本原因の調査
同様の攻撃が再び発生しないようにするため、SOC は徹底的な調査を行い、インシデントの原因になった脆弱性、セキュリティ プロセスの不備、その他の学習の機会を特定します。
セキュリティの洗練化
SOC は、インシデント発生時に収集したインテリジェンスを使用して、脆弱性を対処し、プロセスとポリシーを改善し、セキュリティ ロードマップを更新します。
コンプライアンス管理
SOC の責任の重要な部分は、アプリケーション、セキュリティ ツール、プロセスが、グローバル データ保護規則 (GDPR)、カリフォルニア州消費者プライバシー法 (CCPA)、医療保険の携行性と責任に関する法律 (HIPPA) などのプライバシー規制に準拠していることを確認することです。チームは、コンプライアンスを確保するために定期的にシステムを監査し、データ侵害後に規制当局、法執行機関、顧客に通知されることを確認します。
SOC の主なロール
組織の規模にもよりますが、一般的な SOC には次のようなロールが含まれます。
インシデント対応ディレクター
このロールは通常、非常に大規模な組織でのみ見られるもので、セキュリティ インシデント発生時の検出、分析、封じ込め、復旧の調整を担当します。また、適切な関係者との通信も管理します。
SOC マネージャー
SOC を監督するのはマネージャーで、通常は最高情報セキュリティ責任者 (CISO) に報告します。職務には、担当者の監督、運営、新入社員のトレーニング、財務管理などが含まれます。
セキュリティ エンジニア
セキュリティ エンジニアは、組織のセキュリティ システムを常に最新の状態に維持し、実行します。これには、セキュリティ アーキテクチャの設計、セキュリティ ソリューションの研究、実装、維持が含まれます。
セキュリティ アナリスト
セキュリティ インシデントの第一応答者であるセキュリティ アナリストは、脅威を特定し、優先順位付けし、被害を食い止めるためにアクションを取ります。サイバー攻撃時には、感染したホスト、エンドポイント、ユーザーを隔離する必要があります。組織によっては、セキュリティ アナリストは担当する脅威の重大度に応じて階層化されています。
脅威ハンター
組織によっては、最も経験豊富なセキュリティ アナリストを脅威ハンターと呼ぶ場合があります。脅威ハンターは、自動化されたツールでは検出されない高度な脅威を特定し、対応します。これは、既知の脅威に対する組織の理解を深め、攻撃が行われる前に未知の脅威を検出するための先回り型のロールです。
フォレンジック アナリスト
大規模な組織では、侵害後にインテリジェンスを収集して根本原因を特定するフォレンジック アナリストを雇用する場合もあります。システムの脆弱性、セキュリティ ポリシーの違反、サイバー攻撃のパターンなど、将来同様の侵害を回避するために役立つ可能性のあるものを探します。
SOC の種類
組織が SOC を設定する方法はいくつかあります。フルタイムのスタッフと専用の SOC を構築することを選択する場合もあります。この種の SOC は、オンプレミスに物理的な拠点を置く内部的なものから、デジタル ツールを使用してスタッフがリモートで調整する仮想的なものまであります。多くの仮想 SOC は、契約スタッフとフルタイム スタッフの組み合わせです。アウトソーシングされた SOC は、マネージド SOC またはサービスとしてのセキュリティ オペレーション センターとも呼ばれ、マネージド セキュリティ サービス プロバイダーが運用し、脅威の防止、検出、調査、対応を担当します。また、社内スタッフとマネージド セキュリティ サービス プロバイダーを併用することもできます。このバージョンは、共同管理 SOC またはハイブリッド SOC と呼ばれます。組織では、自社のスタッフを強化するためにこの方法が用いられます。たとえば、脅威調査者がいない場合、社内で人員を確保するよりも、第三者を雇った方が簡単な場合があります。
SOC チームの重要性
強力な SOC は、企業、政府、その他の組織が進化するサイバー脅威の状況の先を行くのに役立ちます。これは簡単なことではありません。攻撃者も防衛コミュニティも頻繁に新しいテクノロジや戦略を開発しており、すべての変化を管理するには時間とフォーカスが必要です。SOC は、より広範なサイバーセキュリティ環境に関する知識だけでなく、社内の弱点やビジネスの優先事項を理解することで、ビジネスの長期的なニーズに沿って組織がセキュリティ ロードマップを開発するサポートを行います。SOC は、攻撃が発生した場合のビジネスへの影響も抑えることができます。SOC は継続的にネットワークを監視し、アラート データを分析しているため、他の複数の優先事項に分散しているチームよりも早く脅威を検出できる可能性が高まります。定期的なトレーニングと文書化されたプロセスを使用して、SOC は極度のストレス下でも、現在のインシデントに迅速に対処できます。これは、毎日 1 日中セキュリティ オペレーションに集中していないチームにとっては困難な場合があります。
SOC の利点
SOC は、脅威から組織を保護するために使用される人材、ツール、プロセスを統合することにより、組織がより効率的かつ効果的に攻撃や侵害を防御するサポートを行います。
強固なセキュリティ態勢
組織のセキュリティ向上は、決して終わりのない仕事です。脆弱性を検出し、変化するテクノロジを常に把握するには、継続的な監視、分析、計画が必要です。優先順位を競い合うと、緊急性の高い仕事を優先して、この作業がおろそかになりがちです。
一元化された SOC は、プロセスとテクノロジを継続的に改善し、攻撃成功のリスクを低減するためのサポートを行います。
プライバシー規則の遵守
業種、州、国、地域によって、データの収集、格納、使用に関する規制は異なります。多くの組織では、データ侵害を報告し、コンシューマーの要求に応じて個人データを削除することが要求されます。適切なプロセスと手順の導入は、適切なテクノロジの導入と同じくらい重要です。SOC のメンバーは、テクノロジとデータ プロセスを常に最新の状態に維持する所有権を持つことで、組織のコンプライアンス遵守をサポートします。
迅速なインシデント対応
サイバー攻撃をいかに早く検出し、シャットダウンするかで大きな違いになります。適切なツール、人材、インテリジェンスを使用して、多くの侵害は被害を受ける前に食い止めることができます。しかし、悪質な行為者は、隠れて大量のデータを盗んだり、誰にも気づかれないうちに特権を昇格させたりすることにも長けています。セキュリティ インシデントは、特にインシデント対応の経験が浅い人にとっては、非常にストレスを感じるイベントでもあります。
統合された脅威インテリジェンスと十分に文書化された手順を使用することで、SOC チームは攻撃の検出、対応、復旧を迅速に行うことができます。
侵害で減少するコスト
侵害されると、組織にとって非常に高くつきます。復旧はしばしば大幅なダウンタイムにつながり、多くの企業がインシデント発生直後に顧客を失ったり、新規アカウントの獲得に苦戦したりします。攻撃者の先を行き、迅速に対応することで、SOC は組織が通常業務に戻るまでの時間と費用を節約するのに役立ちます。
SOC チームのベスト プラクティス
多くの責任を負う SOC は、成果を上げるために効果的に組織化され、管理される必要があります。強力な SOC を持つ組織では、次のようなベスト プラクティスを実施しています。
ビジネスに沿った戦略
最も潤沢な資金を持つ SOC でさえ、時間と資金の投入先を決断する必要があります。組織は通常、リスク評価から開始し、ビジネスにおける最大のリスク領域と最大の機会を特定します。これは、保護が必要な内容を特定するのに役立ちます。また、SOC は資産が置かれている環境を理解する必要があります。多くの会社では、データやアプリケーションの一部をオンプレミスに配置し、一部を複数のクラウドに配置するという複雑な環境を構築しています。戦略は、セキュリティの専門家が 24 時間常に対応する必要があるか、SOC を社内に配置するべきか、専門サービスを利用するべきかを決断するのに役立ちます。
優秀でよくトレーニングを受けたスタッフ
効果的な SOC に重要なのは、継続的に改善を続け、高いスキルを有するスタッフです。まずは優秀な人材を見つけることですが、セキュリティ スタッフの市場は競争が激しいため困難です。スキルのギャップを避けるために、多くの組織では、システムやインテリジェンスの監視、アラート管理、インシデントの検出と分析、脅威ハンティング、倫理的ハッキング、サイバー フォレンジック、リバース エンジニアリングなど、さまざまな専門知識を持つ人材を見つけようとしています。また、タスクを自動化するテクノロジをデプロイすることで、少人数のチームがより効率的に活動できるようにし、若手アナリストの生産性を高めます。定期的なトレーニングへの投資は、組織が重要なスタッフを維持し、スキルのギャップを埋め、キャリアを育成するのに役立ちます。
エンドツーエンドの可視性
攻撃は単一のエンドポイントから始まる可能性があるため、SOC はサードパーティによって管理されているものを含め、組織の環境全体を可視化することが重要です。
適切なツール
セキュリティ イベントは非常に多く、チームは圧倒されがちです。効果的な SOC は、連携して動作する優れたセキュリティ ツールに投資し、AI と自動化を使用して重大なリスクを昇格します。相互運用性は、カバレッジのギャップを避けるために重要です。
SOC のツールとテクノロジ
セキュリティ情報イベント管理 (SIEM)
SOC で最も重要なツールの 1 つは、複数のセキュリティ ソリューションとログ ファイルからデータを集約するクラウドベースの SIEM ソリューションです。これらのツールは、脅威インテリジェンスと AI を使用して、SOC が進化を続ける脅威を検出し、インシデント対応を迅速化し、攻撃者の先を行くのに役立ちます。
セキュリティ オーケストレーション、オートメーション、および応答 (SOAR)
SOAR は、反復的かつ予測可能なエンリッチメント、対応、および修復タスクを自動化し、より詳細な調査やハンティングのための時間とリソースを確保します。
拡張検出と応答 (XDR)
XDR は、総合的で最適化されたセキュリティを実現するサービスとしてのソフトウェア ツールであり、セキュリティの製品とデータをひとつにまとめるシンプルなソリューションです。組織は、これらのソリューションを使用して、マルチクラウド環境やハイブリッド環境全体で、進化する脅威の状況や複雑なセキュリティ課題に効率的に先回りして対処します。エンドポイントでの検出と対応 (Endpoint Detection and Response: EDR) のようなシステムとは対照的に、XDR はセキュリティのスコープを拡大して多様な製品に保護を統合します。これには組織のエンドポイント、サーバー、クラウド アプリケーション、メールなどが含まれます。ここから、予防、検出、調査、応答を結合する XDR によって可視化、分析、相互関連付けられたインシデント アラート、自動応答が実現し、データ セキュリティを強化して脅威と戦うことができます。
ファイアウォール
ファイアウォールは、ネットワークへのトラフィックとネットワークからのトラフィックを監視し、SOC によって定義されたセキュリティ規則に基づいてトラフィックを許可またはブロックします。
ログ管理
多くの場合に SIEM の一部として含まれるログ管理ソリューションは、組織内で実行されているすべてのソフトウェア、ハードウェア、エンドポイントからのすべてのアラートをログに記録します。これらのログでは、ネットワーク アクティビティに関する情報が提供されます。
これらのツールはネットワークをスキャンし、攻撃者に悪用される可能性のある弱点を特定するのに役立ちます。
ユーザー/エンティティ行動分析
多くの最新のセキュリティ ツールに組み込まれているユーザー/エンティティ行動分析では、AI を活用してさまざまなデバイスから収集したデータを分析し、すべてのユーザーとエンティティの通常のアクティビティのベースラインを確立します。あるイベントが基準値から逸脱すると、詳細の分析のためにフラグが設定されます。
SOC と SIEM
SIEM なしで、SOC がその使命を果たすことは極めて困難です。最新 SIEM では、次の機能が提供されます。
- ログの集約: SIEM は、アナリストが脅威の検出やハンティングに使用するログ データを収集し、アラートを関連付けます。
- 背景状況: SIEM は組織内のすべてのテクノロジにまたがるデータを収集するため、個々のインシデントの点と点を結びつけ、巧妙な攻撃を特定するのに役立ちます。
- アラートの削減; 分析と AI を使用してアラートを関連付け、最も重大なイベントを特定することで、SIEM はレビューと分析が必要なインシデント数を削減します。
- 応答の自動化: 組み込みルールを使用して、SIEM は可能性の高い脅威を特定し、人の手を介さずにブロックできます。
また、SIEM だけでは組織を保護するのに不十分であることにも注意が必要です。SIEM を他のシステムと統合し、ルールベースの検出のパラメーターを定義し、アラートを評価するには人材が必要です。そのため、SOC 戦略を定め、適切なスタッフを雇用することが重要です。
SOC ソリューション
SOC が組織を保護するために利用できるソリューションは多岐にわたります。最も優れたものは、オンプレミスと複数のクラウドにまたがる完全なカバレッジを提供するために連携します。Microsoft Security は、SOC がカバレッジのギャップをなくし、環境を全方面見渡せるようにする包括的なソリューションを提供します。Microsoft Sentinel はクラウドベースの SIEM であり、Microsoft Defender の拡張検出と応答ソリューションと統合し、アナリストや脅威ハンターがサイバー攻撃を検出して阻止するために必要なデータが提供されます。
Microsoft Security の詳細情報
よく寄せられる質問
-
ネットワーク オペレーション センター (NOC) は、ネットワーク パフォーマンスとスピードに焦点を当てています。障害に対応するだけでなく、ネットワークを先回りで監視し、トラフィックを低下させる可能性のある問題を特定します。SOC はネットワークやその他の環境も監視しますが、サイバー攻撃の証拠を見つけます。セキュリティ インシデントが発生すると、ネットワーク パフォーマンスが低下する可能性があるため、NOC と SOC はアクティビティを調整する必要があります。組織によっては、SOC を NOC 内に設置し、コラボレーションを促進しています。
-
SOC チームはサーバー、デバイス、データベース、ネットワーク アプリケーション、Web サイト、その他のシステムを監視し、潜在的な脅威をリアルタイムで検出します。また、最新の脅威を常に最新の状態に保ち、攻撃者に悪用される前にシステムやプロセスの脆弱性を特定して対処することで、先回り型のセキュリティ対策も行います。組織が攻撃に成功した場合、SOC チームは脅威を除去し、必要に応じてシステムやバックアップを復元する責任を負います。
-
SOC は、サイバー攻撃から組織を保護するための人、ツール、プロセスで構成されています。その目標を達成するために、すべての資産とテクノロジのインベントリ、定型的なメンテナンスと準備、継続的な監視、脅威の検出、脅威インテリジェンス、ログ管理、インシデント応答、復旧と修復、根本原因の調査、セキュリティの洗練化、コンプライアンス管理などの機能を実行します。
-
強力な SOC は、防御担当者、脅威検出ツール、セキュリティ プロセスを統合することで、組織のより効率的かつ効果的なセキュリティ管理をサポートします。SOC を導入している企業は、導入していない企業と比較して、セキュリティ プロセスを改善し、脅威に迅速に対応し、コンプライアンスをより適切に管理できます。
-
SOC とは、組織をサイバー攻撃から防御する責任を負う人、プロセス、ツールのことです。SIEM とは、SOC が可視性を保つとともに攻撃に対応するために使用する多数のツールの 1 つです。SIEM によってログ ファイルが集計され、分析と自動化を使用して確かな脅威が明らかにされるので、SOC のメンバーがこれを見て対応方法を決定します。
Microsoft をフォローする