検索
特集/連載

いまさら聞けない「セキュリティオペレーションセンター」(SOC)の3大機能内部・外部運用を問わず必要な要件

「セキュリティオペレーションセンター」(SOC)には何が必要だろうか。自社を脅威から守るためのSOCが備えるべき、主要機能を理解しておこう。

Share
Tweet
LINE
Hatena

 セキュリティの監視を担う「セキュリティオペレーションセンター」(SOC)を用意すべきだろうか。その答えは、ほぼ間違いなく「用意すべき」だ。

 調査会社Nemertes Researchが2019年に実施した調査では、SOCを設置している企業はセキュリティ運用に成功しやすいことが分かった。この調査では、企業が脅威を封じ込めるまでの平均合計時間(MTTC:Mean Total Time to Contain)を基に成功度を評価している。「セキュリティ運用に成功している企業」の定義はMTTCが20分未満の企業だ。

 規模が小さい企業は、SOCを社外ベンダーに委託することが有力な選択肢となる。一方規模が大きな企業ほど、自社従業員による独自のSOCによって得られるメリットが多くなる。

SOCの主な技術機能

 SOCには、インシデント検出、対処、予測といったインシデント処理のライフサイクル全体をカバーする機能を組み込む必要がある。これはSOCを自社で運用する場合でも、外部委託する場合でも変わらない。具体的には次のような機能を用意するとよい。

  • アラート
  • SOAR(会員限定)
  • 脅威ハンティング(会員限定)

1.アラート

 SOCの最も基本的な役割は、セキュリティイベントの発生をセキュリティ担当者に知らせることだ。「SIEM」(セキュリティ情報・イベント管理)製品、や「IPS」/「IDS」(不正侵入検知/防止)製品に加え、各種セキュリティ製品が備える振る舞い分析機能などがアラートの発行に利用できる。どのセキュリティ製品を選択するかは要件に応じて異なるが、SOCの構築にはアラートを重視する製品を含めることが欠かせない。

2.SOAR

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る