SOCとは?

セキュリティオペレーションセンター(SOC)とは、企業のシステムの監視、セキュリティ侵害の防止、そしてサイバーセキュリティ脅威の特定、調査、緩和を実現するために共同で取り組むサイバーセキュリティアナリストからなるチームのことです。同チームは、通常、企業や組織のオフィス内にある物理的な部屋またはエリアに配置されます。

SOCは、セキュリティインシデントの処理プロセスを合理化し、アナリストがより効率的かつより効果的にセキュリティインシデントのトリアージと解決を行えるようにすることで、アナリスト同士のコラボレーションを促進します。

SOCは組織内でどのように構成されているか?

ほとんどの企業や組織にとって、サイバーセキュリティの専門部署を設置する組織も増えています。ただし、セキュリティオペレーションチームの中には、今もなおIT部門の一部として機能しているものもあれば、独自の組織へと分離されているものもあります。多くの場合、SOCは次のような形態で運営されています。

  • インフラストラクチャおよび運用チームの一部として
  • セキュリティグループの一部として
  • ネットワークオペレーションセンター(NOC)の一部として
  • CIOまたはCISOの直属部門として
  • アウトソーシングされた機能として(全体的または部分的に)

SOCに従事する3つの層のアナリストが果たす役割

簡単に言うと、すべてのサイバーセキュリティアナリストが果たす役割とは「保護」です。つまり、企業のIT資産を損失や悪意ある攻撃から保護することです。ここで、企業のIT資産とは、企業が保持しているあらゆるITハードウェア、ソフトウェア、ネットワークを意味します。

サイバーセキュリティアナリストは、セキュリティ警告システムの更新や監視をはじめ、既存システムをテストして強化するための演習の実施、そして新たな脅威インテリジェンスやデジタル脅威アクターのTTPに関する最新情報の把握に至るまで、幅広い種類の業務に携わります。

このような幅広い種類の業務を担当するために、SOC内にはいくつかの階層化されたサイバーセキュリティアナリストのポジションが必要となります。そして、それらのアナリスト全員が協力して企業のITインフラの健全性を保護することになります。アナリストの各階層(以下「Tier (ティア)」)には、アナリストの経験レベルに応じて、それぞれの役割と機能が与えられます。Tier 1からTier 3までのアナリスト階層が担う役割を下記に示します。

■Tier 1 – トリアージ:Tier 1のサイバーセキュリティアナリストは、しばしば「トリアージスペシャリスト」と呼ばれます。このアナリストの主な役割は、システムから通知された最新の脅威をレビューし、分類することです。Tier 1のアナリストは、通常、最も経験の浅いアナリストであり、その主な役割は、イベントログを監視して疑わしいアクティビティを探すことです。

Tier 1のアナリストは、新しい脅威の緊急性と関連性を評価した後、Tier 2のサイバーセキュリティアナリストによるサポートが必要であると判断したものについてはサポートチケットを作成することになります。

また、Tier 1のアナリストは、脆弱性スキャンとレポート作成も担当します。必要なスキャンを実行した上で、レポートをレビューするほか、セキュリティ監視ツールの監視と設定も行います。

■Tier 2 – 調査:Tier 2のサイバーセキュリティアナリストは、インシデント対応の役割を果たします。Tier 1アナリストから送られたサポートチケットをレビューした上で、それに対応することを任務とします。

また、Tier 2のアナリストは、送られてくる脅威インテリジェンスをレビューした上で、それに応じて対応するという責任も負っています。これは、Tier 2のアナリストが提供するユニークなスキルセットです。新たに出現した脅威インテリジェンスをすばやく分析した上で、どのシステムが攻撃の標的にされているかを特定し、影響を受けるファイルやシステムの範囲を評価します。

脅威の程度を完全に把握した後、Tier 2のアナリストは復旧作業に取り掛かります。目下の攻撃に関するより深い洞察を得るために、さまざまな情報(構成や実行中のプロセスなどに関するもの)の収集を開始します。

このような追加情報の収集とレビューが完了した時点で、Tier 2のアナリストは、復旧作業を開始します。これは、よりインパクトのあるアクティビティであるため、通常、より経験豊富なアナリストを必要とします。

■Tier 3 – 脅威ハンティング:Tier 3のサイバーセキュリティアナリストは、サイバーセキュリティ分野の専門家と見なされる人たちです。そのため、彼らを見つけるのは困難です。これらの専門家は「脅威ハンター」とも呼ばれます。なせなら、複雑なインシデント対応をサポートするだけでなく、脆弱性や資産検出データをレビューした上で、顧客のシステムに侵入した可能性のある、より複雑で見つけにくい脅威を検知する任務を担っているからです。通常、そのような脅威の例としては、既存のセキュリティプロトコルを何らかの方法で回避するような脅威が挙げられます。

Tier 3のアナリストは、最新の脅威インテリジェンスを活用した上で、侵入テストを実施するほか、セキュリティ監視ツールを最適化の提案をすることにより、組織の脅威ハンティング活動を改善します。

結論

効果的なSOCチームには、上記で紹介したすべてのタイプのアナリストが必要となります。Tier 1のサイバーセキュリティアナリストは、最初のインシデントデータを収集した後、同データを組織の「指揮系統」へと押し上げるという重要な役割を担います。このような役割を担う優秀な人材がいない場合、インシデント対応プロセス全体が誤った方向に進んでしまう可能性があります。

Tier 2のサイバーセキュリティアナリストは、素早く脅威に対応することでクライアントのファイルの損失や損害を最小限に抑えるために不可欠な存在です。これらの専門家は、データを可能な限り素早く取得することを必要としています。レスポンスと滞留時間を最小化するためには、インシデント対応の初期タスクの処理に自動化を活用することが必須となります。

そして、組織が常に複雑な脅威にさらされている場合や、組織が採用している防御システムがハッカーにより回避されているように見える場合、そのような問題を修正するためのサポートを提供するTier 3のサイバーセキュリティアナリストが不可欠となります。

サイバーリーズンのMDR(マネージド・ディテクション・アンド・レンスポンス)サービス

サイバーリーズンが提供する「Cybereason EDR」は、全世界で数多くのユーザーを持ち、確かな実績に裏打ちされたEDR製品です。ユーザーのエンドポイントから収集したデータを、クラウドの分析基盤上でAIを活用して解析し、一見すると何でもないように見えるエンドポイント上のちょっとした挙動から脅威の兆候を検知します。MDRの「検知」のフェーズにおいて、極めて強力な武器となるはずです。また弊社ではNGAV製品である「Cybereason NGAV」も提供しています。

加えてサイバーリーズンでは、Cybereason EDRをはじめとする自社製品の監視や運用を代行する「Cybereason MDRサービス」も提供しています。

製品の提供元のアナリストが自ら、機器から上がってきたアラートの内容を確認して対応するわけですから、サードパーティベンダーが提供するサービスより深い知見に基づいた対応が可能になります。また、サイバーリーズンは日本国内にSOCを設置しており、ここで日々脅威の解析に当たっている第一線のアナリストが対応に当たっています。

サイバーリーズンのEDR製品から上がってくるアラートをユーザーに代わって読み解き、もしその内容から脅威を検知したら即座にユーザーに通知します。これはまさに、MDRにおけるDetection(検知)の取り組みにほかなりません。また検知した後の対応についても、製品ベンダーとしての立場から的確なアドバイスを送ることができ、MDRのResponse(対応・復旧)を強力に支援するものです。

このようにサイバーリーズンでは製品のみならず、サービス面においてもMDRの取り組みをバックアップしています。これを機にぜひMDRの意義と、その具体的な取り組み内容についてチェックしておくことをお勧めします。

エンドポイントセキュリティ選定ガイド

次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPPEDRMDRを導入する際の押さえておくべき選定ポイントをまとめた上で、国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。

複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。
https://www.cybereason.co.jp/product-documents/brochure/6189/

エンドポイントセキュリティ選定ガイド