セキュリティオペレーションセンター (SOC) とは
セキュリティオペレーションセンター (SOC) について理解する
サイバーリスクは、拡大しているアタックサーフェスの至る所に存在します。 事業運営が広範になればなるほど、セキュリティチームで対処する時間やインサイトがなく軽減措置が取られない脆弱性や設定ミス、セキュリティ上の問題が増える可能性が高まることを攻撃者は知っています。 彼らはそれを見込んで、いつでも攻撃できるように準備しています。 大規模な組織の中には、社内にセキュリティオペレーションセンター (SOC) を設置して対応するところがありますが、サイバーセキュリティ業界の専門家 (マネージドセキュリティサービスプロバイダー (MSSP) やマネージド検出対応 (MDR) プロバイダーなど) に SOC の運用を外部委託する組織もあります。 SOC とは、事前対策型および事後対応型のあらゆるサイバー防御が存在する拠点の中央のハブであるとお考えください。 つまり、サイバーセキュリティ運用の中枢なのです。 SOC についてのこのリソースでは、SOC とは何か、サービスとしてのセキュリティオペレーションセンター (SOCaaS) はどのように機能するのか、そしてサイバーセキュリティと業界の専門家の知識を SOC に適用することで、あらゆる規模の企業をサイバー攻撃からどのように守れるのかについて深く掘り下げて解説します。
取り上げる内容は以下のとおりです。
Tenable Connect Community
Tenable Connect コミュニティでは、SOC に関心のある他のサイバーセキュリティの専門家たちとつながることができます。
詳細はこちらからセキュリティオペレーションセンター (SOC) とは
根本的にセキュリティオペレーションセンターは中央のハブであり、専門家からなる高度に専門化されたチームが、24 時間体制でサイバー攻撃の検出、調査、緩和、阻止に当たります。 SOC は、最先端の技術、複雑なプロセス、業界のさまざまな専門家の知恵を駆使して、サイバー脅威を防ぎます。
多くの組織では、セキュリティツールがばらばらに使用されているほか、設置された IT、セキュリティ、コンプライアンスの各チームはサイロ化されていて個別の目標をそれぞれが重視しているため、アタックサーフェス全体のエクスポージャーは見逃されがちです。 組織が資産を増やせば増やすほど (たとえばアプリ、クラウドサービス、ノートパソコン、タブレット、スマートフォンなど)、すべてのサイバーリスクの特定は難しくなり、ましてや最も重大な影響を及ぼす可能性のあるリスクを優先順位付けし、軽減する時間を確保することなどできません。
SOC は、リスクの特定、脅威の検出、インシデント対応を 24 時間体制で一元管理します。 SOC の活動例には、ネットワークトラフィックの監視、ログデータの分析、侵害の徴候の積極的な探索などがあります。
たとえば、SOC アナリストはペネトレーションテストなどによってサイバーセキュリティ脅威を発見すると、すぐさま行動を起こして、その脅威の性質や範囲の特定、脅威の封じ込め、被害を最小限に抑えるための迅速な対応を実施します。 SOC はまた、各イベントから教訓を得てサイバーレジリエンスを継続的に強化するために、インシデント後の分析も行います。
ID およびアクセス管理システムの監督には、IT とセキュリティ運用の専門家、リスク、コンプライス、ガバナンスが関与します。
— Tenable の委託により Forrester Consulting が実施した 2023 年の調査
SOC の専門家は、サイバーセキュリティの高度な訓練を受けているほか、 さまざまな独自のスキルを持ち、脅威を深く理解しています。 SOC の専門家の例としては、セキュリティアナリスト、インシデント対応担当者、脅威ハンター、セキュリティエンジニアなどが挙げられます。 彼らは協力して攻撃を阻止し、サイバー犯罪者の一歩先を行くためにセキュリティ上の問題を先行的に特定します。
あらゆる規模の組織が SOC サービスの恩恵を受けることができますが、それぞれの SOC が厳密に何から構成されるかは、組織の規模、所在地、業種、資産の種類と量、データの種類などの要因によって決まります。 SOC をオンプレミスで管理する組織もあれば、サイバーセキュリティの専門チームに外部委託する組織もあります。 サービスとしての SOC の市場は成長しており、2028 年には 110 億ドルを超えると予想されています。
SOC には、サイバーセキュリティのあらゆる側面を管理するものもあれば、既存のサイバーセキュリティ業務の延長といえるものもあります。 どちらもセキュリティの取り組みを一元化し、IT、コンプライアンス、法務などの他部門と密接に連携しています。 また SOC は、セキュリティ対策を経営目標、コンプライアンス、規制要件と合致させるのにも役立ちます。
SOC は一元管理されていますが、その成長や発展が止まっているわけではありません。 変化する脅威環境に追随するために絶え間なく進化し、訓練や教育内容を更新しているほか、最新のサイバーセキュリティツール、研究結果、リソース、戦略を活用しています。
IT、セキュリティ、コンプライアンス全体の包括的な可視性を確保
Tenable One で重要な資産と脆弱性を迅速に特定、調査、優先順位付けすることで、セキュリティとコンプライアンスのリスクを評価して分析できます。
SOC をアイデンティティ認識型にする
SOC チームは、アタックサーフェスを侵害の可能性から保護する最前線にいます。 しかし、DX 時代のアタックサーフェスが拡大して複雑さが増すにつれ、攻撃者の一歩先を行けるように、チームが資産を特定して脆弱性の修正に優先順位を付けることは難しくなっています。 特に、攻撃者がセキュリティ情報イベント管理 (SIEM) システムによくあるギャップを突いてシステムに侵入し検出を逃れられるようなエクスポージャーを探ろうとして、Active Directory (AD) への強引な攻撃を続けるときにはいっそう困難になります。
SIEM は重要な SOC ツールですが、AD セキュリティのために設計されたものではありません。 その結果、セキュリティチームはアクティブな脅威を十分可視化できないため、侵害への対応が遅れ、リアルタイムの攻撃を検出できず、セキュリティアナリストが過労に陥っています。
このホワイトペーパーをダウンロードして、以下の詳細をご覧ください。
- SIEM がもたらす一般的な課題
- セキュリティの防御を強化し、SOC の効率を高める方法
- 一般的な SIEM のギャップを明らかにして解消する方法
SOC のインサイト
効果的な SOC に欠けているもの
多くの SOC チームでは SIEM ソリューションを使用したネットワークリスクの監視に成功していますが、その一方で、多くの組織がサイバー攻撃者に Active Directory (AD) という付け入る隙を与えていることは見逃されがちです。 AD のアタックサーフェスが拡大しているため、SOC チームは AD セキュリティの重要性を見過ごすことはできません。 AD に重点を置いたセキュリティソリューションを使用する SOC では、より適切に AD セキュリティの複雑性を管理する態勢が整っています。
この詳細なインフォグラフィックでは、SOC チームが AD をサイバー脅威から保護して防御するために SIEM の前段階のソリューションを選択する際に役立つ 4 つのチェックリストを概説しています。
サイバーセキュリティ企業が直面している 3 つの実世界の課題
DX 時代のアタックサーフェスが複雑化し、相互接続されるシステムやユーザーが増えているため、多くのセキュリティチームは、あらゆるセキュリティシステムや IT システムから送られてくるすべてのデータに遅滞なく対応するのに苦労しています。 くわえて、同チームではクラウド設定、ウェブアプリケーション、アイデンティティシステムなどを調べて脆弱性を探しています。 すべてのデータを効果的に分析することはほぼ不可能であり、ましてや、実際に引き起こされるリスクを根拠に最初に注意すべきものを優先順位付けすることなど到底できません。
サイバーエクスポージャー管理プログラムを導入することで、SOC チームは時間とリソースをより効果的に配分して、サイバーリスクを低減する対策に集中できます。 このガイドは、現代のサイバーセキュリティ組織が実際に直面する 3 つの課題と克服方法について詳しく説明しており、自組織や SOC が管理する組織でのサイバーエクスポージャー管理プラットフォームの構築と導入に関するインサイトが含まれています。
Tenable Connect Community: SOC の頼れる情報源
セキュリティオペレーションセンター (SOC) について質問がある方や、さらに学びたいと考えている方は、Tenable Connect コミュニティに参加して、同じ関心を持つメンバーと交流しましょう。
SOC 環境でダッシュボードを表示するためのオプションは?
当社にはあらゆる種類の運用情報を表示する液晶画面が多数あるのですが、自社環境のセキュリティ状態がわかるダッシュボードを大画面に表示したいと考えています。
続きを読むMicrosoft Exchange Server の未確認のゼロデイ脆弱性が実際に悪用されたとの報告
GTSC Cybersecurity Technology Company Limited が、Microsoft Exchange Server の未確認のゼロデイ脆弱性を発見したことについてブログ記事 (英訳版) を公開しました。
続きを読むクラウド採用プロセスにおける意思決定者の主要な課題についての意見
調査対象となったクラウドの意思決定者の大半は複数の役割を担っており、DevSecOps、脆弱性管理、さらにはセキュリティオペレーションセンター (SOC) など、他のいくつかの重要な分野の最終的な意思決定者であると自認しています。
続きを読むSOC についてよくあるご質問
セキュリティオペレーションセンターについてご質問があり、どこから始めたらよいか分からない場合は、 まずよくあるご質問をご覧ください。
セキュリティオペレーションセンター (SOC) とは何ですか?
セキュリティオペレーションセンター (SOC) は、サイバーセキュリティの脅威やインシデントの監視、検出、対応を行うチームのことです。人員、プロセス、テクノロジーを組み合わせて、デジタル資産やアタックサーフェスの保護と防御を担います。
マネージド SOC とは何ですか?
マネージド SOC、または SOCaaS (サービスとしての SOC) は、サードパーティが 24 時間 365 日の監視、脅威の検出、インシデント対応、セキュリティインフラ管理を提供するサイバーセキュリティソリューションです。社内のリソースが解放されて、より包括的な保護に取り組めるようになります。
仮想 SOC とは何ですか?
仮想 SOC とは、リモートで運用され、クラウドベースのツールとリモートアクセス技術を使用して、ネットワークやシステムの監視と保護を行う SOC です。
分散型 SOC とは何ですか?
分散型 SOC は、複数の拠点がセキュリティに責任を持つ SOC です。各拠点は SOC の機能を備えていることがありますが、それらがサイバーセキュリティ態勢を強化するために協力し、情報を共有します。
専用 SOC とは何ですか?
専用 SOC は、1 つの組織のセキュリティに特化した SOC です。ベストプラクティスのサイバーセキュリティアプローチですべての資産を監視して保護するための人員と設備を備えています。
コマンド SOC とは何ですか?
コマンド SOC は、大企業や重要インフラ向けの高度な SOC です。サイバー脅威への対応を調整するために、集中管理されたコマンド & コントロール機能とセキュリティ機能が統合されています。
サービスとしての SOC (SOCaaS) とは何ですか?
サービスとしての SOC (SOCaaS) は、SOC の機能、セキュリティ監視、脅威の検出、インシデント対応を管理するサイバーセキュリティサービスです。
セキュリティオペレーションセンターは何をするところですか?
セキュリティオペレーションセンターでは、ネットワークやシステムの監視、不審な活動やセキュリティ侵害の特定、インシデントの調査、迅速な対応による脅威の軽減を行います。
セキュリティオペレーションセンターにはどのような種類がありますか?
SOC の種類には、社内型、マネージド型 (SOCaaS)、仮想型、分散型、専用型、コマンド型などがあります。 ニーズや運用目的はそれぞれ異なります。
セキュリティオペレーションセンターの主な構成要素は何ですか?
SOC の主な構成要素には、熟練したアナリスト、高度なサイバーセキュリティツール、インシデント対応手順、脅威インテリジェンス、監視やロギングのダッシュボード、協調性のあるコミュニケーションなどがあります。
SOC の機能にはどのようなものがありますか?
SOC の機能には、継続的な監視、脅威の検出、インシデント分析、インシデント対応、脆弱性管理、脅威インテリジェンスの統合、セキュリティ意識向上トレーニングなどがあります。
セキュリティオペレーションセンターを必要とするのは誰ですか?
SOC が行う資産やデータの保護、事業継続性の維持により、規模や業種を問わず、あらゆる組織がメリットを享受できます。
セキュリティオペレーションセンターはなぜ必要なのですか?
SOC は、サイバーリスクを特定してサイバーセキュリティの脅威に先行的に対応するので、データ漏洩、金銭的損失、業務の中断、評判の悪化などの可能性を減らし、進化するサイバー脅威に対する防御を固めることができます。
SOC のメリットは何ですか?
SOC のメリットには、脅威の迅速な検出、インシデント対応の改善、セキュリティリスクの低減、コンプライアンスの遵守、セキュリティ意識の向上、新たな脅威の出現への適応性などがあります。
SOC のデメリットは何ですか?
SOC のデメリットには、高い設置コスト、リソース要件、誤検出の特定、継続的なトレーニングとテクノロジーアップデートの必要性などがあります。
CSOC とは何ですか?
CSOC (サイバーセキュリティオペレーションセンター) は SOC の別称であり、サイバーセキュリティリスクを管理、軽減する役割を強調したものです。
SOC と CSOC は同じものですか?
はい。SOC と CSOC は、同じサイバーセキュリティオペレーションセンターに対して意味の区別なく使用されることがよくあります。
ネットワークオペレーションセンター (NOC) とは何ですか?
ネットワークオペレーションセンター (NOC) は、ネットワークインフラの管理、ネットワークの可用性と性能の確保、ネットワーク問題のトラブルシューティングに重点を置いています。 主にセキュリティを扱う SOC とは異なるものです。
NOC と SOC は同じものですか?
いいえ。NOC と SOC は異なるものです。 NOC はネットワークインフラを管理しますが、SOC はサイバーセキュリティに特化しており、脅威を監視してセキュリティインシデントに対応します。
RSOC とは何ですか?
RSOC (地域セキュリティオペレーションセンター) は、脅威の検出と対応を現地に合わせるために、特定の地域にサービスを提供します。
GSOC とは何ですか?
GSOC (グローバルセキュリティオペレーションセンター) は世界的に展開され、組織の世界各地の運用全体でセキュリティインシデントを監視して対応します。
ISOC とは何ですか?
ISOC (産業セキュリティオペレーションセンター) は、産業プロセスの信頼性と安全性を確保するために、重要インフラと産業用制御システムのサイバーセキュリティに重点を置いています。
SOC は社内に設置すべきですか、それともサードパーティに委託すべきですか?
SOC を社内に設置するかサードパーティに委託するかの選択は、リソース、専門知識、予算によって異なります。 社内の SOC は制御がしやすい一方で、サードパーティの SOC では専門的なスキルが提供され、コストの節約になります。
SOC アナリストとは何をする人ですか?
SOC アナリストは、SOC におけるサイバーセキュリティの専門家であり、セキュリティアラートの監視、インシデントの調査、脅威への対応を担当します。
セキュリティオペレーションチームの中心メンバーは誰ですか?
SOC チームの中心メンバーには、アナリスト、インシデント対応担当者、脅威ハンター、セキュリティエンジニア、運用管理者が含まれます。
SecOps とは何ですか?
SecOps とは、セキュリティオペレーションの略です。セキュリティの手法を DevOps プロセスに統合することで、ソフトウェア開発とデプロイメントの中核にセキュリティを据えて協調するアプローチです。
DevSecOps とは何ですか?
DevSecOps は、開発 (Dev)、セキュリティ (Sec)、運用 (Ops) を組み合わせたものです。安全なアプリケーションを構築するためにソフトウェア開発ライフサイクル全体を通じてセキュリティを統合することを強調した体制です。
CSIRT とは何ですか?
CSIRT (コンピューターセキュリティインシデント対応チーム) は、サイバーセキュリティインシデントの管理と対応を受け持ち、多くの場合 SOC と密接に連携するチームのことです。
CIRC とは何ですか?
CIRC (サイバーインシデント対応センター) は、CSIRT のようにサイバーセキュリティインシデントの処理と軽減を行うチームのことです。
CERT とは何ですか?
CERT (コンピューター緊急対応チーム) は、サイバーセキュリティインシデントに対応し、脅威インテリジェンスを共有して、ベストプラクティスを指導するチームのことです。
SOC と CSIRT には関係がありますか?
はい、SOC と CSIRT には関係があります。 両者とも、包括的なサイバー脅威の防御を確実化できるように、サイバーセキュリティインシデントの検出、対応、コラボレーションに重点を置いています。
SIEM とは何ですか?
SIEM (セキュリティ情報イベント管理) ソリューションは、サイバー脅威の検出と対応のために、さまざまな情報源からセキュリティインシデントデータを収集して分析するソリューションのことです。
SIEM と SOC の違いは何ですか?
SIEM は SOC の 1 ツールです。 SIEM がセキュリティデータを収集、分析するのに対し、SOC は包括的なサイバーセキュリティに必要な人員、プロセス、テクノロジーを網羅しています。
SOC に取り入れるべき主要なテクノロジーには何がありますか?
SOC の主要なテクノロジーには、SIEM システム、侵入検出システム、脅威インテリジェンスのフィード、エンドポイント検出対応ツール、高度な分析プラットフォームなどがあります。
SOC に役立つフレームワークにはどのようなものがありますか?
SOC に役立つフレームワークには、NIST サイバーセキュリティフレームワーク、MITRE ATT&CK、ISO 27001、CIS Critical Security Controls などがあり、サイバーセキュリティ態勢を強化するためのガイドラインを提供しています。
セキュリティオペレーションセンターフレームワークの利用
SOC はそれぞれ異なるものですが、SOC の設置や SOC チームでの作業が初めてであれば、正しい方向に確実に進むために利用できるベストプラクティスがいくつかあります。 Open Web Application Security Project (OWASP) は、SOC の戦略、設計、設置、運用、管理、ガバナンス、改良、イノベーションを支援するために、セキュリティオペレーションセンターフレームワークのプロジェクトを立ち上げました。
フレームワークごとに仕様に違いはありますが、その目的は、コントロール、プロセス、役割、ガバナンスなどに関する推奨事項を提供し、SOC チームがより効果的にサイバーイベントに対応できるようにすることです。 SOC フレームワークは一般的に、以下の活動を支援します。
- 監視
- 分析
- 対応と修正
- 封じ込め
- 監査とログ
- プロアクティブな脅威ハンティング
OWASP の SOC フレームワークは、以下の事項を網羅しています。
モデル (SOC の種類)
- 分散型
- 集中型
- 協調型
- 専任型
- マネージド型
- ハイブリッド
人材とスキル
- SOC アナリスト
- インシデント対応担当者
- SOC の専門家
- 管理者
- SOC 管理者
プロセスフロー
- 特定
- 統合
- 関連付け
- インテリジェンス
- 監視
- アラート
- 報告
- ダッシュボード
- 検出 (シグネチャ / 挙動)
- 分析
- 伝達
- 優先順位付け
- エスカレーション
- 機関
- 対応 (手動 / 自動 / アクティブ / パッシブ)
- 封じ込め
- フォレンジック調査
- 復旧
- 学習
- 最適化 (ブラックリスト / ホワイトリスト)
- メトリクス
また、SOC に特化して設計されたものではありませんが、SOC チームは次のようなその他のフレームワークも利用してサポートすることができます。
セキュリティオペレーションセンター (SOC) のブログ記事
SOC を Identity-Aware にして効率化する方法
SOC チームは、サイバーセキュリティの脅威やインシデントを検出して防止し、対応するために 24 時間体制で取り組んでいます。 脅威環境があまりにも急速に進化し、組織がアタックサーフェスを拡大するペースが速いという状況では特に、この取り組みはますます困難になっています。 最初にすべきことの 1 つは Active Directory (AD) を攻撃から保護することですが、これは見落されがちです。 この記事では、攻撃者に悪用される前に AD のリスクを特定し、軽減する方法について詳しく説明しています。
エクスポージャー管理によりペネトレーションテストをより効果的にする
ペネトレーションテストは、SOC チームのメンバーがセキュリティオペレーションセンターでよく使用するツールです。セキュリティ上の弱点を見つけ出して、攻撃者に悪用される前に修正できるようにします。 効果的なペネトレーションテストには、アタックサーフェスの変化の特定や、セキュリティの有効性を高めるためのプロセス調整のために、日常的な脆弱性スキャンを含める必要があります。
マルチクラウドコンプライアンスの課題
クラウドベースのサービス、インフラ、アプリケーションの爆発的な増加は、すでに SOC チームが抱える膨大な作業負担に拍車をかけています。 さらに、組織がさまざまなクラウドサービス (オンプレミス、パブリック、プライベート、ハイブリッド) を取り合わせて利用している場合、チームの仕事量は一段と増します。 それぞれのサービスにはコンプライアンス上の課題もあります。 この記事では、マルチクラウド環境におけるコンプライアンス確保の一般的な課題と、SOC チームでの課題克服に役立つ推奨事項について詳しく説明しています。
SOC のオンデマンドウェビナー
アイデンティティファーストおよびゼロトラストセキュリティの時代にアイデンティティセキュリティを運用
Active Directory (AD) や類似の脆弱性によって、組織は以前にも増してサイバーリスクにさらされます。 そのため、DX 時代のアタックサーフェス全体でリスクの修正をより効果的に評価して優先順位付けするのに必要な文脈を得られるように、アイデンティティファーストのセキュリティを SOC 内で運用する方法を理解することが重要です。
このウェビナーでは、以下について詳しく説明します。
- 実際の攻撃の分析
- アイデンティティに関するインサイトがリスク評価にどのように活かされるか
- アイデンティティセキュリティのベストプラクティス
- ゼロトラストを使用してサイバーハイジーンを成熟させる方法
最近のサイバーセキュリティ脅威を解読: 攻撃者から見たアタックサーフェス
攻撃者とその動機や戦術を理解することで、SOC チームのメンバーは、より適切にサイバーインシデントを検出して防止する態勢を整えられます。
このウェビナーでは、以下について詳しく説明します。
- 攻撃者はアタックサーフェスをどのように見ているか
- 3 つのサイバーインシデントから得られた実際の教訓と、セキュリティ運用への適用方法
- 優先順位付けとコラボレーションによって修正を改善する方法
重要資産と脆弱性を調査して優先順位付けする
SOC チームは、アタックサーフェス全体の潜在的な脅威に関するアラートなどの情報が、データとして次々と流れてくることに慣れてしまっています。 そのデータ数が非常に多いため、すべてを整理して必要なものを見つけることはほとんど不可能です。 また、SOC チームがすべてのノイズをかき分けて、セキュリティ上の問題を効果的に特定できたとしても、実際にリスクをもたらす脅威を優先順位付けするためのツールやリソースを備えているところはほとんどありません。 このようなチームは、重点化した効果的なセキュリティ対策ではなく、アクションをきっかけとする対応のループに陥ってしまいます。
Tenable One を通じて利用可能な Tenable Security Center では、アタックサーフェスをリスクベースで表示されるので、すべての資産の特定、どのリスクが最も重要であるかの予測、リスクを軽減するための計画立案と先行的な脅威ハンティング支援の両立が可能です。
Tenable One を使用して SOC の効率を高める方法をいくつかご紹介します。
すべての脆弱性、設定ミス、その他のセキュリティ問題をリスクベースで表示
ネットワークを包括的にリアルタイムで可視化
修正を優先順位付けするための実用的なインサイトが得られるデータ
リスクスコアと脅威インテリジェンスを活用して、絶えず脅威の特定と脆弱性の優先順位付けを実施
資産の重要度を把握
サイバーエクスポージャー管理
インシデント対応を迅速化
十分な情報に基づいたデータ主導型のビジネス上の意思決定
- Tenable Identity Exposure
- Tenable One
- Tenable Security Center