セキュリティオペレーションセンター (SOC) とは?

セキュリティオペレーションセンター (SOC) は、ランサムウェアなどのサイバーセキュリティの脅威から企業のITインフラストラクチャ、アプリケーション、データを可能な限りリアルタイムで保護するセキュリティ専門家チームです。SOCの運用は、サイバーレジリエンス戦略の一環としてのベストプラクティスです。SOCチームは社内 (一般的にはIT部門内) に配置することも、サードパーティのサービスプロバイダーに委託することもできます。

セキュリティオペレーションセンターの主な機能とは?

SOCの主な機能は、サイバー攻撃から保護することです。これを実現するため、SOCチームには次のような職務があります:

• ITインフラストラクチャのリアルタイムかつ継続的なモニタリング: SOCチームは手動や自動のシステムとプロセスを使い、デジタル環境でのアクティビティを把握します。
• 実際のサイバーセキュリティインシデントの識別: SOCチームは多くのアラートを受け取りますが、すべてのアラートが実際の攻撃を示しているわけではありません。チームは結果から擬陽性を排除するため、潜在的なインシデントを分析します。
• インシデントのトリアージ: インシデントが確認されると、より重大なものから対処できるよう、SOCの専門家がこれらをトリアージして優先順位を付けます。
• 対応の管理: SOCチームは、脅威の対応と是正プロセスに関わる多数の関係者すべてをまとめ、調整して管理する必要があります。
• サイバーセキュリティの継続的な強化: 既存のサイバーセキュリティ戦略の強化は、SOCチームの重要な役割のひとつです。
• 脅威とテクノロジーに関する最新情報の入手: サイバーセキュリティのリスク環境は、攻撃や組織の保護に使用される技術を含め、変化し続けています。SOCチームは悪意のある行為者、脅威アプローチ、修復のためのソリューションや戦略に精通し、そのすべてを把握しておく必要があります。
• コンプライアンスの維持: SOCチームは、組織の効率化と政府や業界の規制遵守に役立てるため、ISO 27001、GDPR (一般データ保護規則)、NISTのサイバーセキュリティフレームワークといった基準を熟知している必要があります。

なぜSOCが重要なのか?

24時間365日稼働するSOCは、多くの理由から、今日のサイバーセキュリティと災害復旧 (DR) 戦略の成功に欠かせません。

インフラストラクチャ、アプリケーション、データを常に利用可能な状態に保つため、SOCは通常の営業時間外も含めて毎日1秒も欠かさず継続的に運用を監視し続けています。企業ネットワークはますます複雑化しているため、完全な可視化の実現はこれまで以上に難しくなっています。オンプレミスやクラウドアセット、モノのインターネット (IoT) 、リモートやモバイルのデバイスを含めた多様なネットワークのセキュリティを保つためには、SOCが司る一元化された場所からの高度な可視性が必要です。

また、SOCはインシデントに迅速に対応する立場でもあります。SOCはインシデントの検知から緩和までの時間を短縮し、根本原因の分析と将来の類似する攻撃の防止に欠かせない要員として機能します。SOCを設置することで、組織は目標復旧時点 (RPO) と目標復旧時間 (RTO) の達成に欠かせないアジリティが得られます。

ビジネス全体でのコラボレーションが欠かせない中で、組織を脅かしかねないランサムウェア攻撃やその他のサイバーインシデントが発生した際に、人、プロセス、テクノロジーを結びつけて効果的なコラボレーションを実現するのに適しているのがSOCです。SOCはチームワークを促し、ランサムウェアからの復旧とランサムウェアの除去に対する成功率を高めます。また、ビジネスオペレーションとセキュリティ実践に精通しているSOCは、データの流出、法的措置、評判の低下といった漏洩時のコストダウンにも役立ちます。

セキュリティオペレーションセンター (SOC) のフレームワークとは?

SOCのフレームワークは、テクノロジーとベストプラクティス、組織のプロセスを含む、運用ツールとガイドラインのポートフォリオです。SOCチームはこれを使ってサイバー攻撃からビジネスを守るという任務を遂行します。このフレームワークには、SOCチームが日常業務の実施に使用するシステムとサービスのアーキテクチャが記載されています。SOCのフレームワークは通常、デジタル、人、組織の機能を統合した組み合わせです。例えば、人工知能 (AI) と機械学習 (ML) を組み込んだ自動化ツールは、インフラ、アプリケーション、データの安全を維持するためにSOCの専門家がベストプラクティスを適用する上で役立ちます。

SOCのフレームワークには通常、次の5つの活動が記載されています:

1. 監視: これはSOCのフレームワークの最も基本的な側面です。監視は、攻撃が進行中かどうか、いつ進行しているのかを特定するため、組織のデジタル活動のすべてを把握することを目的としています。つまり、Security Orchestration, Automation, and Response (SOAR) やセキュリティ情報とイベント管理 (SIEM) システムといった自動モニタリングツールやプラットフォームからのアラートに対応するということです。
2. 分析: 次のステップの分析では、実際に漏洩が発生しているかどうかを判断するため、異常または想定外の活動 (通常は自動アラートでフラグが立てられる) を確認します。アラートの数は非常に多くて擬陽性のアラートも多いため、このステップは非常に重要です。
3. 対応: 次はインシデント対応ですが、ここではインシデントの優先順位付けと管理を行います。これには、システムを隔離して適切な人に通知することで攻撃を阻止する初期対応に留まらず、漏洩が発生した脆弱性を確実に解決するための修復や根本原因の分析も含まれます。
4. 報告:ロギングと監査セキュリティインシデントのためのツールとプロセスは、SOCのフレームワークにおけるもうひとつの重要な側面です。事後の結論を報告または実施することは、サイバーセキュリティの防御とコンプライアンスを強化するひとつの手段です。
5. 脅威に関する学びと検索: 攻撃に対して積極的に対応していない場合でも、SOCのフレームワークには脅威インテリジェンスサービスからの学習や攻撃の試行パターンの発見が含まれています。サイバーセキュリティリスクの性質が進化し続ける中では、このような脅威ハンティングに対するプロアクティブなアプローチが欠かせません。また、組織は警戒し続ける必要があります。

SOCのメリットとデメリットとは?

社内外いずれにしろSOCを設置するメリットは、企業の環境とそのアプリケーションやデータを監視し、脆弱性や脅威から組織を保護できる能力が得られることです。長期的に見て、サイバー攻撃の被害を受けた場合のコストと労力を鑑みれば、SOCの投資対効果 (ROI) は十分に見合う価値があります。

SOCが持つもうひとつの重要なメリットは、SOCが組織のセキュリティツール、実践、サイバーセキュリティインシデントに対する対応をすべて取りまとめるという点です。また、SOCによって顧客からの信頼が高まり、業界、国、国際的な規制に対する遵守がシンプルになったり強化されたりする場合もあります。

デメリットとしては、今日の労働市場でSOCチームの経験が豊富なスタッフを採用して維持することが難しい点や、人、プロセス、テクノロジーに対する初期投資コストが高い点が挙げられます。

Cohesityと自動化されたセキュリティオペレーションセンター (SOC)

CohesityはSOCの構築と自動化をシンプルにします。これにより、規模や業界に関わらず、特にランサムウェアが蔓延する時代において、どの企業もサイバーレジリエンスを強化しながら、デジタルアセットと環境に対する保護を強化することができます。

サイバーレジリエンスの実現は、従来のサイバーセキュリティでインシデントを防ぎ、効果的な復旧ができるかどうかにかかっています。復旧の成功には、数日ではなく数時間で、組織が自信を持ってビジネスプロセスとデータを復旧できることも含まれます。

Cohesityのデータセキュリティとデータ管理プラットフォームにはサイバーセキュリティコントロールやデータの異常検知機能が搭載されており、ランサムウェア攻撃を早い段階で警告します。Cohesity Data CloudはAIとMLを活用し、組織ができる限り早く影響を修復するマスリストア機能を使って、ランサムウェア攻撃とオンサイトやクラウドにあるイミュータブルバックアップを迅速に特定できるよう、積極的に支援します。ランサムウェア攻撃は、データを使用不能にする暗号化を使って本番データを狙っています。そこでCohesityの異常検知は水面下で機能し、データパターンの変化を見つけて、SOCがインサイトを活用してアクティブなランサムウェアの脅威に対する可視性を高められるようにします。

また、Cohesityはデータセキュリティをリードする企業とも提携し、組織が1か所からランサムウェアのインシデントの関連付け、トリアージ、調査、対応が行えるようにしています。これにより、チームはランサムウェア攻撃の迅速な識別、調査、修復を行い、影響を受けたデータを自動的に復旧することができます。脅威インテリジェンスと自動化されたSOCとの統合で、組織は既存のセキュリティ管理とプロセスをインシデントの対応と修復の強化に活用できます。