サービスとしてのセキュリティ オペレーション センター(SOCaaS)は、マネージド脅威ディテクション&レスポンスのためクラウドベースのサブスクリプション モデルです。これには既存のセキュリティ チームのギャップを埋めるのに役立つ、クラス最高のSOCソリューションと機能が含まれます。
従来のオンプレミスSOCと同様に、SOCaaSにもインターネット トラフィック、企業ネットワーク、デスクトップ、サーバー、エンドポイント デバイス、データベース、アプリケーション、クラウド インフラ、ファイアウォール、脅威インテリジェンス、侵入防御、セキュリティ情報イベント管理(SIEM)システムなどのアタック サーフェスの24時間365日の監視、脅威検出、防御と分析が含まれます。
サイバー脅威には、ランサムウェア、サービス拒否(DoS)、分散型サービス拒否(DDoS)、マルウェア、フィッシング, スミッシング、内部関係者による脅威、認証情報の窃盗、ゼロ デイなどがあります。
Enterprise Strategy Groupが作成した調査レポート、SOC Modernization and the Role of XDR,によると、半数以上(55%)がセキュリティ担当者を戦略的なセキュリティ活動に専念させるために、セキュリティ サービスを必要としていることがわかりました。その他の企業は、マネージド サービス プロバイダは自社ができないことを達成できると考えています。52%がサービス プロバイダは自社よりも優れたセキュリティ運用を提供できると考えており、49%がマネージド サービス プロバイダはSOCチームを強化できると回答、42%が自社にはセキュリティ運用のための適切なスキルがないと認めています。
出典: -SOC Modernization and the Role of XDR, Enterprise Security Group (ESG)
セキュリティ運用と情報セキュリティ管理を外部委託すると、以下に示すような、いくつかのメリットが得られます。
逆に、従来のSOC環境が抱える問題には、以下のようなものがあります。
SOCaaSのその他の主要なメリットについて、以下に概説します。
セキュリティ アナリストは、アラート、イベントおよびセキュリティ侵害インジケータ(IoC)を監視できます。精度の高い脅威インテリジェンスと実用的な脅威・影響レポートを統合します。全データ ソースに対する分析と脅威検出を通じて、精度の高い脅威ハンティングの手掛かりを入手します。
レスポンス時間の短縮は、潜伏期間を短縮し、平均調査時間(MTTI)と修復までの平均時間(MTTR)の両方を改善するのに役立ちます。
SOCaaSにより、チームは環境で攻撃者の手法、戦術、手順(TTP)をプロアクティブに調査し、インフラに存在する可能性のある新たな脆弱性を特定できます。
SOCはさまざまな形をとることができますが、SOCリーダー、インシデント レスポンダー、第1~3層のアナリストなどの役割と責任で構成できます。その他の専門的な役割には、セキュリティ エンジニア、脆弱性管理者、脅威ハンター、フォレンジック調査担当者、コンプライアンス監査担当者などがあります。
企業のコンプライアンスには(特にGDPRやCCPAなど、セキュリティ監視機能やメカニズムが必要な規制に従うには)、主要なSOC監視機能が不可欠です。
医療、金融、小売などの業種には、リスクをプロアクティブに管理し、規制の変化に対処するための、独自のコンプライアンスがあります。これには、データと個人情報の完全性を侵害から守るHIPAA、FINRA、PCIなどがあります。
成功するSOCにとって最も重要なのは、セキュリティ ソリューションやツールへの投資より人的要素です。
特に低レベルの反復作業については、機械学習や自動化を導入することで、対応時間、精度、対処などの成果全体が必ず改善されますが、エンジニアやセキュリティ アナリスト、アーキテクトを含むセキュリティ人材の募集やトレーニング、確保は一貫したSOC変革戦略に組み込まれる必要があります。
SOCの設計および運用には、多くの方法があります。ホワイトペーパー、Security Operations Center: A Systematic Study and Open Challenges(Manfred Vielberth, Fabian Böh, Ines Fichtinger and Günther Pernul)では、SOC運用モデルに影響を与えるいくつかの要素、およびSOCの実装時に影響を及ぼす多様な要素について概説します。
オンプレミスSOCやハイブリッドSOCと同様に、マネージドSOCにも多様なタイプがあります。マネージドSOCも、組織の脅威環境を監視して、既知および新たな脆弱性、脅威、リスクがないかどうかを確認できます。脅威環境には、ITネットワーク、デバイス、アプリケーション、エンドポイント(アタック サーフェス)、データが含まれます。
マネージドSOCサービスには通常、次の2つのモデルがあります。
特に中小規模企業の場合、マネージドSOCオプションを選択すると、内部SOCを管理および維持する複雑さを低減できます。
同じことが、プロのセキュリティ スタッフを見つけて、増え続けるITセキュリティの要件と義務に対応するSOCを構築し、運営する場合にも当てはまります。外部のセキュリティ専門家を雇用することで、組織は直ちにカバー範囲を拡大し、脅威モニタリングや調査データベースにアクセスして、セキュリティ体制を強化できます。これにより、自社で新設したSOCよりも高い投資利益率(ROI)を達成することができます。
脅威アクターが独自のデジタル変革を導入し、自動化を利用する中、組織にはそれについて行くためのセキュリティ運用が必要です。マネージド セキュリティ プロバイダは、サービスレベル契約(SLA)を介して中断のないカバレッジと保証されたサービスを提供できます。SLAは、必要なソフトウェア更新やパッチが利用可能になる場合や、新たな脅威への対策を導入できる場合など、サービスの範囲と提供を定義します。
セキュリティ運用を外部委託することには多くのメリットがありますが、課題や制限も存在します。そのため、サービス、ソリューション、SLAを比較する際は、デュー デリジェンスを実施することが重要です。
マネージドSOCプロバイダは通常、独自のセキュリティ スタックを使用します。そのため、プロバイダがサービスの提供を開始する前に、これらのソリューションを顧客の環境内で設定し、導入する必要があります。オンボーディング プロセス中の移行は時間がかかり、この脆弱なフェーズで潜在的なリスクにさらされる可能性があります。
組織のサービスとしてのSOCプロバイダは、潜在的なリスクを特定して対応するために、組織のネットワークに関する見識を収集するためのアクセスを必要とします。そのために、組織は大量の機密データとインテリジェンスをサービス プロバイダに送信する必要があります。しかし、機密情報の制御を手放すと、企業のデータ セキュリティとリスク管理がより困難になり、このフェーズで脆弱性が露呈する可能性があります。
機密性の高い脅威データや分析結果を外部に保存すると、SOCのサイバー防御が侵害された場合やサービス プロバイダと離別した場合に、データ漏洩とデータ損失の両方の潜在的リスクが生じます。通常、脅威アラートは社内で追跡できますが、ほとんどのデータは境界の外部で処理されるため、検出された脅威や潜在的なデータ侵害に関する履歴データを保存および分析する機能は制限されます。
サービスとしてのSOCプロバイダは一般に、顧客のネットワークからのデータ フィードやネットワーク タップを使用して、オンサイトでサイバーセキュリティ ソリューションを運用します。つまり、ログ ファイルやその他のアラート データが、プロバイダのネットワークやシステムで生成され、保存されます。マネージドSOCプロバイダから完全なログ データにアクセスすることは、組織にとって高くつく可能性があります。
役割、責任、職務範囲は組織によって異なるため、各クライアントの微妙な違いのある独自の環境やインフラに精通したチームを編成する場合に比べて、画一的なアプローチを適用すると分断が生じる恐れがあります。一部のサービスが複数の顧客間で共有されているために、外部SOCチームがサービスのカスタマイズを提供しない可能性があります。これは効率に悪影響を及ぼします。
複数の顧客にサービスを提供し、SOCリソースを共有する際、マネージドSOCプロバイダが環境内の潜在的なギャップを見落とすことがあります。それらを適切に防ぐための組織のビジネス プロセスや手順を十分に把握していないためです。
法規制の状況は急速に複雑化しており、組織はコンプライアンスを達成し、実証するためのセキュリティ コントロールやポリシーを導入する必要があります。マネージドSOCプロバイダは法規制遵守をサポートするかもしれませんが、サードパーティ プロバイダの利用はコンプライアンス要件を複雑にする可能性があります。また、コンプライアンス関連の職務を実施するサービス プロバイダを信頼する必要があります。
提供するサービスは複数の顧客間で共有されるため、外部SOCが完全なカスタマイズを提供することはめったにありません。カスタマイズ オプションが限定されていることで、組織の部門全体の効率が低下し、特定のエンドポイント、ネットワーク、およびセキュリティ インフラのその他の部分を適切に保護できない可能性があります。
総合的に考えると、継続的なネットワーク監視、一元的な可視性、サイバーセキュリティ コストの削減、コラボレーションの改善など、組織に複数のメリットをもたらす専用SOCを選べば間違いはありません。サイバー犯罪者が休むことはありませんが、セキュリティ担当者も歩みを止めることは許されていないのです。
セキュリティ オペレーション センター(SOC)については、What is a SOC? (セキュリティ オペレーション センター(SOC)とは?)をご覧ください。