セキュリティオペレーションセンター

セキュリティオペレーションセンター (英: Security Operation Center) とは、顧客または自組織を対象とし、情報セキュリティ機器、サーバ、コンピュータネットワークなどが生成するログを監視・分析し、サイバー攻撃の検出・通知を行う組織である^[1]。

概要編集

組織のITシステムに対するネットワーク不正侵入、DDoS攻撃、ワームなどのサイバー空間の脅威に対応するために、その組織内に構成されるか、外部に委託（アウトソーシング）される。

企業などの組織では、従来はサーバ・ネットワーク分野の技術者が脅威に対応していたが、近年のサイバー攻撃の高度化に伴い、情報セキュリティに特化した技術者が対応するようになってきた。

SOCは、その監視対象によって次の二つに分類できる。

MSS（Managed Security Service）- ファイアウォール (FW)、侵入検知システム (IDS)、侵入防止システム (IPS)、Webアプリケーションファイアウォール (WAF) を中心としたセキュリティ機器のログを監視対応組織の外部機器に転送し、セキュリティイベントの監視・分析を行うもの。
ディープSOC - サーバ、オペレーティングシステム (OS)、コンピュータネットワーク (NW)、データベース (DB) のログの監視・分析を行うもの。

MSSは主に顧客向け商用サービス、ディープSOCは組織内での対応または被害が顕在化した際のスポット契約として実施されてきた。これはサーバ、OS、NW、DBのログには顧客情報や営業上の秘密が記録されていて、社外に提示することがリスクとなるからである。

しかし、近年ではMSSをする企業がディープSOC分野に進出したり、組織内ディープSOCがMSSを開始したりして、区別があいまいになっている。

自組織だけにサービスを提供するSOCをプライベートSOC、商用またはグループ企業群に対してサービスを提供するものをパブリックSOCという。

近年、SOCは組織において必要なものとの認識が広がり、主に大企業を中心に自社内にプライベートSOCを組織する流れが加速している。ただし、次節に示す課題があるので、SOCを組織して継続的に運営していくのは、コンサルティングサービスを利用しても難しい。

SOCをアウトソーシングする場合には、次の課題がある。

コスト：　監視ポイントあたり年間数百万円の費用が生じる。SOC提供側がセキュリティ強化提案を実施すれば、情報セキュリティインシデントが起きにくくなる。幸いにしてインシデントがないとき、サポート費用と同様にムダ金と捉えられて削減の対象となりやすい。
情報管理：　守秘義務契約を契約に盛り込むとはいえ、顧客情報・営業上の秘密が間接的・直接的に外部の人間に参照されてしまう。委託元が別契約で顧客と守秘義務契約内で第三者への情報開示を禁じているときに、この問題が顕在化する。
業務範囲：　一般的なSOC商用サービスはMSSなので、脅威情報の通知は受け取れるが、対応は顧客が行うことになる。顧客自身が受け取った脅威情報への対処が難しい場合、別の外部企業（構築を請け負った企業）に対応を依頼する必要があり、要求の伝達が難しいことがある。

SOCを自組織内で組織する場合には、次の課題がある。

人材育成：　情報システムサービスを主な生業としていない企業のとき、セキュリティ人材の育成は困難を極める。セキュリティ機器に精通していることはもちろん、OS、NW、DBなどの要素技術とコード・スクリプトについての知識が要求される上、最新の脅威に対応するために幅広い教育が継続的に必要となる。
キャリア：　商用サービスを提供する企業以外では、SOCをするという前提で入社する社員はいない。一般企業では、通常はセキュリティアナリストなどのポストはなく、SOCを経験した後のキャリアパスを描くことが社員側・管理職側ともに困難である。
人材流出：　サイバー攻撃は目に見えず、攻撃数の推移などは外部要因によるので、評価が困難になる。金銭的・身分的なインセンティブを与えることも困難である。体力が要求される365日24時間対応によって疲弊して退社するか、高給なセキュリティ企業への転職をせざるをえないことがある。