いまさら聞けない「セキュリティオペレーションセンター」（SOC）の3大機能：内部・外部運用を問わず必要な要件

「セキュリティオペレーションセンター」（SOC）には何が必要だろうか。自社を脅威から守るためのSOCが備えるべき、主要機能を理解しておこう。

[Johna Till Johnson，TechTarget]

　セキュリティの監視を担う「セキュリティオペレーションセンター」（SOC）を用意すべきだろうか。その答えは、ほぼ間違いなく「用意すべき」だ。

　調査会社Nemertes Researchが2019年に実施した調査では、SOCを設置している企業はセキュリティ運用に成功しやすいことが分かった。この調査では、企業が脅威を封じ込めるまでの平均合計時間（MTTC：Mean Total Time to Contain）を基に成功度を評価している。「セキュリティ運用に成功している企業」の定義はMTTCが20分未満の企業だ。

　規模が小さい企業は、SOCを社外ベンダーに委託することが有力な選択肢となる。一方規模が大きな企業ほど、自社従業員による独自のSOCによって得られるメリットが多くなる。

併せて読みたいお薦め記事

SOCの導入と運用

• SOCサービス、信頼できるベンダー選びのコツは
• 「脅威ハンティング」とは？　企業導入が進むセキュリティ新施策の効果

企業のセキュリティ対策戦略を考える

• 「サイバーセキュリティ保険」の3大タイプとは？　選定に失敗しないポイント
• 「セキュリティ人材不足」に嘆く企業が雇うべき“門外漢”に必要なスキル
• 「SDNは大企業のためのもの」という考え方はもう古い

SOCの主な技術機能

　SOCには、インシデント検出、対処、予測といったインシデント処理のライフサイクル全体をカバーする機能を組み込む必要がある。これはSOCを自社で運用する場合でも、外部委託する場合でも変わらない。具体的には次のような機能を用意するとよい。

• アラート
• SOAR（会員限定）
• 脅威ハンティング（会員限定）

1．アラート

　SOCの最も基本的な役割は、セキュリティイベントの発生をセキュリティ担当者に知らせることだ。「SIEM」（セキュリティ情報・イベント管理）製品、や「IPS」／「IDS」（不正侵入検知／防止）製品に加え、各種セキュリティ製品が備える振る舞い分析機能などがアラートの発行に利用できる。どのセキュリティ製品を選択するかは要件に応じて異なるが、SOCの構築にはアラートを重視する製品を含めることが欠かせない。

2．SOAR