セキュリティオペレーションセンター(SOC)とは?

セキュリティオペレーションセンター(SOC)は、脅威を特定し、調査し、修復することで、組織への攻撃回避を支援します。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 「セキュリティオペレーションセンター」の定義
  • SOCが脅威から組織を守る仕組みを知る
  • SOCとNOCの機能の対比

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

セキュリティオペレーションセンター(SOC)とは?

セキュリティオペレーションセンター(SOC)は、情報セキュリティオペレーションセンター(ISOC)とも呼ばれ、セキュリティ専門家が潜在的なサイバー脅威を監視、分析、軽減するための専用施設です。現代の組織は分散型であるため、これらの機能を担うセキュリティエンジニアやアナリストのチームを「SOC」と表現することが多くなっています。

SOCのアーキテクチャは組織によって異なりますが、いくつかの重要な機能を果たしています。

  • ネットワーク、サーバー、データベース、デバイスにまたがるアクティビティのトラッキング
  • 脅威の調査および対応
  • コンプライアンスの確保とセキュリティ体制の改善

通常、組織は脅威の管理と修復のために単一の社内SOCを持ちますが、大企業では、異なる国に複数のSOC(グローバルセキュリティ・オペレーションセンターGSOCとも呼ばれる)を維持したり、セキュリティアナリストやエンジニアのサードパーティーグループを雇用したりすることもあります。

SOCはどのように脅威から組織を守るのですか?

SOCは様々な方法で構成することができ、組織のニーズや能力に応じて変化する可能性があります。一般的に、その責任は3つの分野に分けられます。

予防

資産目録:組織を脅威から守り、セキュリティの問題を特定するために、SOCはシステム、アプリケーション、データ、そしてそれらを保護するセキュリティツールのすべてを可視化する必要があります。インベントリプロセスを実行するために、アセットディスカバリーツールが使用される場合があります。

脆弱性評価:攻撃の潜在的な影響を測るために、SOCは組織のハードウェアやソフトウェアに対して定期的にテストを行い、その結果をセキュリティポリシーの更新やインシデント対応計画の策定に利用することがあります。

予防保守:SOCが組織のインフラの脆弱性を突き止めた後は、セキュリティ体制を強化するための措置を講じることができます。これには、ファイアウォールの更新、許可リストとブロックリストの管理、ソフトウェアのパッチ適用、セキュリティプロトコルと手順の改良が含まれます。

検出

ログの収集と解析:SOCは、ファイアウォールや侵入防御・検知システムなど、組織内のネットワークで発生したイベントのログデータを収集し、そのログを解析して異常や不審な動きがないかどうかを確認します。組織のインフラの規模や複雑さによっては、リソース集約型のプロセスとなり、自動化されたツールを使って行う場合もあります。

脅威の監視:SOCは、ログデータを使用して、疑わしい活動やその他の安全性が損なわれたことを示す兆候(IOC)に対する警告を作成します。IOCとは、データの異常、すなわちネットワークトラフィックの不規則性、予期せぬシステムファイルの変更、不正なアプリケーションの使用、奇妙なDNSのリクエスト、その他の挙動など、漏洩またはその他の悪意のあるイベントが発生する可能性があることを示すものです。

セキュリティ情報およびイベント管理(SIEM):SOCは、SIEMソリューションと連携して、脅威の防御と修復を自動化することが多くなっています。SIEMの一般的な機能としては、以下のようなものがあります:

  • ログデータ集計
  • アラートモニタリング
  • 高度な脅威インテリジェンス
  • セキュリティインシデントの分析
  • コンプライアンス報告

保護

インシデントレスポンスと修復:攻撃が発生すると、SOCは多くの場合、被害を軽減し、影響を受けたシステムを修復するためにいくつかの手順を踏みます。感染した端末の隔離、感染したファイルの削除、マルウェア対策ソフトの実行、根本的な原因究明などです。SOCは、これらの知見を既存のセキュリティポリシーの改善に役立てることができます。

コンプライアンス報告:SOCは、攻撃を受けた後、漏洩した保護データの量と種類を関係当局に通知することで、企業がデータプライバシー規制(GDPRなど)に引き続き準拠していくよう支援します。

一般的なSOCのタイプは何ですか?

SOCを作成する際、組織にはいくつかの選択肢があります。SOCの代表的なカテゴリーとしては、以下のようなものがあります。

  • 社内SOC、または専用のSOCは、それを使用する組織が所有・運営します。インハウスSOCの利点は、迅速なインシデントレスポンス、カスタマイズされたセキュリティ検知・対応能力などですが、他のSOCに比べて維持費が高く、リソース負担が大きくなる場合があります。
  • マネージドSOC、またはSOC-as-a-serviceでは、組織がSOCの責任をサードパーティーのセキュリティプロバイダーに委託することができます。ほとんどのマネージドSOCは、マネージドセキュリティサービスプロバイダー(MSSP)マネージド検出・対応(MDR)の2つのカテゴリーのいずれかに分類されます。
  • MSSPは、システムやデータの監視を行うマネージドSOCサービスです。MSSPの主な役割は、悪意のある活動が検出されたときに組織に警告することです。ネットワークイベントをカタログ化し、異常を検出することで実現します。
  • MDRは、MSSPの鑑識機能を拡張したマネージドSOCサービスです。ネットワークアクティビティの追跡やアラートの作成に加え、潜在的な脅威の調査、アラートからの誤検知の除去、高度な分析と脅威インテリジェンスの提供、セキュリティインシデントの修復を支援します。

ネットワークオペレーションセンター(NOC)とは?

ネットワークオペレーションセンター(NOC)は、ネットワークの活動や脅威を監視する施設です。NOCチームは、組織のネットワークの健全性を監視し、障害の予測と予防、攻撃からの防御、さまざまなシステムやソフトウェアの定期的なメンテナンスチェックを行う役割を担っています。

組織のインフラ全体にわたる悪意のある活動を追跡し、軽減するSOCとは異なり、NOCは、ネットワークセキュリティとパフォーマンスにのみ焦点を当てます。

CloudflareはSOCサービスを提供していますか?

Cloudflare Security Operations Center-as-a-Serviceは、検知・監視機能と、Webアプリケーションファイアウォール(WAF)ボット管理ソリューション、DDoS攻撃防止などの主要セキュリティ技術を組み合わせています。SOCの責務をCloudflareに委ねることで、企業はインフラを可視化し、侵入してくる脅威を追跡して軽減し、全体的なセキュリティコストを削減することができます。