これまでのおさらい
はじめに
みなさんの組織では、セキュリティアラートの対応などを行うチームをどのように呼んでいますか。SOCやCSIRTという名称で運用している企業は多いと思いますが、それらの役割や業務内容はかなりばらつきがあると感じます。元々、SOCは専門的なスキルが必要で外部委託が一般的であり、CSIRTは社内組織として運用されていたため、両者は別々の概念でした。しかし、近年はどちらも社内に置くことが普及しており、境界が曖昧になっている部分があります。
対象読者
- 基本的には誰でも読めることを目指していますが、ある程度ITセキュリティがわかっている人(※エンジニア歴2年目以降向けの内容です)。
SOCとは何者か? その役割を理解する
SOC(Security Operation Center)は、ネットワーク機器やサーバー機器、それらから出力されるログを監視・分析し、組織のセキュリティ脅威を検出して組織内の担当部門や顧客にエスカレーションを行う部門や施設です。SOCでは、サイバーセキュリティの異常を24時間体制で監視し、リアルタイムで脅威を検知して分析します。そのために専門的な拠点が必要でした。こうした昔ながらのSOCは、専門設備と高度な人材を備えた「ディープSOC」と呼ばれます。
昔は専門的な設備や人材がいなければSOCができなかったのですが、EDR(Endpoint Detection and Response)などのソフトウェアの登場によってSOCを外注せず内製化することが広まりました。これを「プライベートSOC」(自社で運用するSOC)と呼びます。ディープSOCほどの手厚い対応はできませんが、コストを抑えてSOCを実現できることと、ノウハウが社内にたまることから一気に普及しました。
プライベートSOCの登場によって、SOC対応のハードルは大きく下がりました。脅威の特定やフォレンジック調査などが、EDRが備えている機能でできるようになりました。しかし、それでも多様化する製品のログを監視するのは大変ですし、現実的に24時間対応となると内製化できる企業は限られます。夜間対応のみを外注する企業もあります。あるいは苦手な製品だけ外注する使い方もあります。こうして、プライベートSOCも内製と外注が共存するようになりました。
