SOCを強化し、サイバー攻撃に備えた組織作りを！

はじめに

近年、有名企業がサイバー攻撃で被害を受けたという報道を耳にすることが多くなりました。セキュリティ対策が万全に行われていそうな大企業でも避けることができないサイバー攻撃は、手口が多様化し、巧妙化しつつあり、対策も難しくなっています。このような状況下で企業はサイバー攻撃の被害を最小限に抑える必要性があり、そのための組織体制構築が急務となってきています。しかしながら、高度なセキュリティ知識を持つ人材を自社で確保することは非常に難しく、SOCをアウトソースする企業も少なくありません。本記事ではセキュリティ対策として、近年必要不可欠となってきているSOCについて詳しく解説していきます。

SOCとは何か

SOCの読み方は「ソック」で、Security Operation Center（セキュリティ・オペレーション・センター）の略称です。セキュリティ体制を監視し、セキュリティに関する責任を担う専門組織のことを指します。通常24時間365日体制でネットワーク、サーバなどのあらゆるシステムを監視し、サイバー攻撃やその予兆の検出や分析を行い、その対応策のアドバイスなどを行います。
セキュリティに関する組織としてはCSIRT（Computer Security Incident Response Team）があります。その違いは、インシデントに対してどこに重点を置いているかということです。CSIRTではインシデントが発生した時の対応に重点を置いているのに対し、SOCはインシデントの検知に重点を置いています。CSIRTに関する解説はこちらCSIRTとは？サイバー攻撃に備えた組織作り！SOCとの違いも解説をお読みください。

国内のSOCの設置状況

2020年12月に総務省が発表した「我が国のサイバーセキュリティ人材の現状について」によると、55.2％の企業ではサイバーセキュリティ対策が構築されていないと報告されています。特に従業員数が1000人以下の中小企業では、CISO、CSIRT、SOCの設置が進んでいない状況です。

▼設置されているサイバーセキュリティ体制

出典：「我が国のサイバーセキュリティ人材の現状について」（平成30年12月）（総務省）5頁

また、IDCの調査報告によると、2019年時点で従業員数が1000人以下の企業ではSOCの設置が進んでいないものの、3000名以上の企業では50%以上がすでに設置済みであるという調査結果もあり、現在はSOCの設置割合はさらに増加していると考えられます。

SOCの必要性と体制構築が求められる理由

本章ではSOCやセキュリティ対策の体制構築が必要とされる理由について解説します。

サイバー攻撃の巧妙化

近年のワークスタイルの多様化に伴い、その隙を狙ってサイバー攻撃の手法も巧妙化しつつあり、もはやセキュリティソフトだけでは対応が困難になってきています。
2021年3月にトレンドマイクロ株式会社が発表した「日本と海外の脅威動向を分析した「2020年年間セキュリティラウンドアップ」」によれば、2019年以降、企業のVPNの脆弱性を狙ったサイバー攻撃が急激に増加していることがわかります。

▼主なVPNの脆弱性を狙う攻撃の検知数（全世界：2019年8月～2020年12月）

また、トレンドマイクロ株式会社の同報告によれば、ランサムウェアによる被害も拡大しつつあることがわかります。

▼ランサムウェアの暴露サイト上で確認した組織ののべ件数推移

出典（グラフ）：トレンドマイクロ株式会社「日本と海外の脅威動向を分析した「2020年年間セキュリティラウンドアップ」」

セキュリティ対策の複雑化

サイバー攻撃が高度化すれば、当然企業側がすべき対策や対応も高度化し、複雑化します。また、セキュリティ対策製品も複雑化しつつあるため、セキュリティ対策を講じるためには専門的な知識だけではなく、最新の知識や情報も習得する必要があります。

SOCの役割と業務内容

SOCの主な役割はセキュリティインシデントとその予兆を検知することです。インシデントとは、直接的な問題ではないものの、放置していると重大な問題を引き起こす要因につながる事象のことです。では、SOCの具体的な業務内容についてみてみましょう。SOCの業務は多岐にわたるため、本章では代表的な業務について解説します。

インシデント検知（ログ監視・解析）

サーバ、セキュリティ対策ソフト、ファイアウォールなどのログを常に監視し、解析することでリスクを事前、または早期に検知します。その結果、セキュリティインシデントやシステム障害を防ぐことにつながります。そして異常を検知した場合は、内容を分析し、重要度、優先順序、影響する範囲などを調査します。サイバー攻撃であることが判明した場合は、企業の体制によって異なりますが、CSIRTに報告し、CSIRTが主体となり対応を行います。

システム・ツールのサポート

SOCはセキュリティ対策に関するツールだけではなく、様々なソフトウェアの管理・運用をします。例えばWindowsOSやワードプレス等のCRMツールを最新版にしたり、パッチを当てたりすることもセキュリティ対策となります。このようにシステムやツールなどを管理することで、常に最新の状態を保ち、正常にシステムを動作させることもSOCの業務の一つです。そのため、常に最新の情報を収集する必要があります。また、トラブルが起きた際の対応も必要となります。

ヘルプデスク

ヘルプデスクは問い合わせ窓口のことを指します。セキュリティリテラシーは従業員によって異なるため、様々な問い合わせに対して対応できる能力が必要とされます。そのためには常に最新、かつ専門的な情報収集が必要です。

その他

セキュリティインシデントは必ずしも外部からの要因とは限らず、内部犯行の場合もあります。その場合、SOCは監査や内部調査が行えるように、監査データの収集や書類作成をはじめ、調査などの対応も行います。その他にも脆弱性診断や侵入テスト（ペネトレーションテスト）などのセキュリティシステムに関する診断や評価、外部との連携などがあります。このようにSOCの業務は非常に多く、多岐に渡ります。

SOC運用の課題

SOCが必要不可欠となってきている近年ですが、SOCを設置・運用する際には大きな課題があります。本章ではSOC運用における課題をみてみましょう。

セキュリティの専門知識

SOCを運用していくためには第一にセキュリティに関する知識が必須です。しかし、2021年4月に経済産業省が発表した「IT人材需給に関する調査（概要）」による試算では、2018年では22万人のIT人材が不足しており、今後も人材不足は解消されず、さらに不足していくと推移しています。特にSOCには欠かせないSOCアナリストには、セキュリティに関して高度な技術や知識を必要とされ、育成に時間もかかるため、確保が難しいという大きな課題があります。

出典：「IT人材需給に関する調査（概要）」（平成31年4月）（経済産業省）2頁

人的リソースの確保

これまで解説したように、SOCの業務内容は多岐に渡るうえに、分析すべきログの量も増えつつあります。そのための人員の確保が重要ですが、前述したようにIT人材の確保は難しいことが現状で、大きな課題といえるでしょう。

システム導入・運用・教育コスト

SOCを自社内で設置する場合、セキュリティ対策製品の購入・運用費や人件費が必要です。人材を育成する場合、1年間の研修や講座などの受講費用だけでも数百万円におよぶケースも少なくありません。さらに、24時間365日体制での監視や運用にかかる人件費はコストの多くを占めています。

注目されるSOC運用のアウトソーシング

社内でSOCの体制を整える場合、前述した課題を解決するには担当者の負担も大きく、非常に難しくなってきているといえます。そのため、SOCをベンダーに委託する企業が多くなってきています。SOCをアウトソーシングすれば、自社で人材を育成する必要もなく、24時間365日体制で最新の情報を高度なセキュリティ技術と知識を持った専門家に任せることができます。また、個々の企業に応じたセキュリティサービスを即座に利用することができ、初期費用も抑えることが可能です。

まとめ

本記事では、常に高度化し続けるサイバー攻撃を事前、または早期に発見するSOCの重要性や課題について解説しました。SOCに関して、リソースが足りない、適切に運用できる人材がいないなどのお悩みがある場合はセラクにお任せください。セラクでは、これまで多くの企業にSOCとして、サイバー攻撃に対する被害の最小化に努めてきた実績があります。高度な専門性を持つセキュリティ技術者によるSOC（セキュリティ・オペレーション・センター）運用やセキュリティ診断などを通じて、お客様のIT資産を強固に守ります。また、社内でCSIRTがうまく機能出来るようなセキュリティ対策も講じます。24時間365日体制での運用や外部からの攻撃対策も含めた多種多様なシステムの運用実績を持つセラクにお任せください。