社内SOCとMDRを徹底比較 セキュリティ体制の最適解は?:両者のメリット、デメリットを示す
24時間365日の監視体制を自社で維持すべきか、MDRへ外注すべきか。セキュリティ人材の枯渇とコスト増に悩む情シスにとって、この選択は組織の命運を左右する。本記事では、両者のメリット、デメリットを徹底比較。コスト、専門性、ガバナンスから見て、自社に最適な防御体制を導き出すための決断基準を提示する。
現代のあらゆる組織は、ネットワークを継続的に監視し、不審な活動や悪意のある活動に迅速かつ効果的に対応しなければならない。そのための基本的な選択肢は2つある。社内セキュリティオペレーションセンター(SOC)を設置する方法と、MDR(マネージド検知・対応)サービスを利用する方法だ。両方を併用する組織もある。
以下では、SOCとMDRサービスを比較し、組織にとって最適な選択肢を特定するための主要な検討事項を確認する。
SOCとMDRの概要
「SOCとMDR」に関する編集部お薦め記事
従来、多くの企業ではSOCがセキュリティ監視、検知、対応の基盤となってきた。SOCのアナリストは24時間365日の交代制で勤務する。スタッフはアラートメッセージを精査し、組織のシステム全体から危険信号(レッドフラグ)を特定する訓練を受けている。インシデントの可能性や発生を察知すると、インシデント対応担当者に通知して対応を依頼する。
SOCのアナリストが扱う情報は、脆弱(ぜいじゃく)性、エクスプロイト、データ侵害、内部脅威の詳細など、機密性が高い。そのため通常、SOCは専用の安全な物理スペースに設置される。SOCはアナリストに、膨大なサイバーセキュリティイベントに対応するためのさまざまなツールやダッシュボードを提供する。
一方MDRは、複数のクライアントでSOCとして機能するサードパーティープロバイダーだ。MDRは自社施設に1つ以上のSOCと専任アナリストを擁している。彼らは顧客のセキュリティイベントやアラートをリモートで監視し、インシデントの可能性を調査する。
SOCとMDRの比較
SOCとMDRサービスは、同じイベントデータを監視し、同様の活動を追跡するが、以下の点で重要な違いがある。
- 人員配置と労働力:社内SOCは、オフィスが閉まっている時間帯も24時間体制で人員を配置する必要がある。デジタルサービスは常にオンラインで、無監視の状態にはできないからだ。継続的な監視と分析にかかる人件費は非常に高くなる。特にセキュリティイベントが少ない組織では、スタッフの稼働率が下がり、コスト効率が悪くなる傾向がある。MDRプロバイダーを利用すれば、コストを抑えられる可能性がある
- 優先順位:社内SOCは自組織のことだけを考えるが、MDRプロバイダーは複数の組織をサポートしている。必ずしも特定の組織を最優先するとは限らない
- 脅威の認識:MDRプロバイダーは、社内SOCよりも早く新しい脅威を察知できる可能性が高い。MDRは全顧客のデータに常にアクセスできるのに、社内SOCは自組織のデータしか見ることができないためだ
- 経験:MDRプロバイダーは、社内SOCよりも経験豊富なアナリストを多く擁している傾向がある
- パーソナライズ:社内SOCのアナリストは、MDRのアナリストよりも自組織のシステム、ネットワーク、アプリケーション、データなどの背景(コンテキスト)を深く理解している
平日は社内SOCで対応し、週末や祝日はMDRに頼るなど、両方を併用する組織もある。
検討すべき事項
社内SOCかMDRサービスか、選択が明白な場合もあるが、判断が難しいケースも多い。CISO(最高情報セキュリティ責任者)やセキュリティリーダーは、以下の項目を検討する必要がある。
コストと人員配置
長期的に見れば人件費とトレーニング費用がコストの大半を占める。社内SOCの構築、人員確保、維持にどれほどの費用がかかるかを見積もる必要がある。アナリストの離職率も考慮に入れるべきだ。これとMDRサービスの利用コストを比較する。MDRを利用する場合でも、社内の人件費やシステム連携のための技術コストが発生することを忘れてはならない。
サードパーティーリスク
外部の第三者がセキュリティイベントデータや機密情報にアクセスすることによるサイバーセキュリティ、プライバシー、法的コンプライアンスへの影響を評価する。これらのリスクに十分対応できるかどうかを判断しなければならない。
脅威分析
潜在的な脅威の特定、詳細な分析、迅速な保護活動で、どちらがより優れた成果を上げられるかを検討する。社内アナリストは自組織に精通しており、外部のアナリストは最新の脅威動向に精通している。
著者紹介
カレン・ケント(Karen Kent)氏はTrusted Cyber Annexの共同創設者である。組織でサイバーセキュリティの研究および出版サービスを提供しており、以前はNIST(米国国立標準技術研究所)のシニアコンピュータサイエンティストを務めていた。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
3万7000台監視という“絶望” テネシー大学を救った「MDR」とは
サイバー攻撃が巧妙化する中、限られたIT人材で数万台の端末を24時間監視することは不可能に近い。脅威の処理という難題に直面したテネシー大学システムは、どのような手段でこの危機を脱したのか。
SOCのセキュリティアラートを誰も本気で見ていない問題
セキュリティ監視ツールの導入が進む一方、SOCのアラートが十分に活用されず、インシデントにつながる事例が後を絶たない。背景には何があるのか。対策は?
現場が迎えた「人がアラートを見る」運用の終焉
Sysdigが公開した調査レポートによると、AIを悪用した攻撃の高速化を背景に、クラウドセキュリティ運用は人手中心からAIによる自律的な防御へ移行し始めている。企業は具体的にどのような運用を実施しているのか。
「SOCアナリスト大切にされない問題」の深刻度
SOCアナリストが「アラート処理要員」となり退職していく企業はどのような問題を抱えているのか。逆に定着している企業は何をしているのか。Forresterの分析から読み解く。
24時間のセキュリティ監視を外注――「SOCaaS」主要5社を比較する
サイバー攻撃の高度化と深刻な専門人材不足を背景に、セキュリティ監視を外部委託する「SOCaaS」への注目が高まっている。本稿は、主要なSOCaaSベンダー5社の特徴と販売モデルを整理し、選定基準を提示する。
最短6分でデータ流出 AI vs. AIの戦いに勝つためのセキュリティ戦略とは
サイバー攻撃のスピードが急激に加速している。侵入から横展開までが「数分」で完了するケースもあり、従来の防御体制では対応が追い付かない。セキュリティ構成を再設計する際のポイントは。