セキュリティオペレーションセンター（SOC） のアウトソーシングについて知っておくべきこと

目次：

1.セキュリティオペレーションセンター(SOC)とは

2.SOC の活動と責任について

3.SOC サービスを提供する主要企業

4.サービスとしての SOC

5.アウトソーシング SOC か？社内 SOC か?

今日のデジタル主導の世界では、堅牢なサイバーセキュリティの必要性がこれまで以上に重要になっています。 あらゆる規模の組織は、進化し続けるサイバー脅威の状況から機密データとインフラストラクチャを保護する必要があります。 ここで、セキュリティ オペレーション センター (SOC) が登場します。 SOC を根本から理解し、組織にとっての SOC の必要性を評価し、適切なベンダーを選択し、効率的な SOC チームを設立したいと考えているテクノロジー チームの一員であれば、あなたのビジネスは正しい場所にいると考えてよいでしょう。

1.セキュリティオペレーションセンター(SOC)とは

セキュリティ オペレーション センター (SOC) は 情報セキュリティ オペレーション センター (ISOC) とも呼ばれ、組織の IT インフラストラクチャ全体を 24 時間年中無休で監視し、リアルタイムでサイバーセキュリティ イベントを検出する IT セキュリティ専門家の社内または外部委託チームです。 可能な限り迅速かつ効果的にイベントに対処することが求められます。 - IBM

2.SOC の活動と責任:

IBM による 3 つのアプローチ

準備、計画、予防

• 資産インベントリ: SOC は、データ センターの内外を問わず、保護が必要なすべての要素を網羅する包括的なインベントリを細心の注意を払って管理します。 これには、アプリケーション、データベース、サーバー、クラウド サービス、エンドポイント、およびそれらを保護するために使用されるファイアウォールやウイルス対策ソリューションなどのツールが含まれます。 このタスクを支援するために、資産検出ソリューションがよく使用されます。

• 日常的なメンテナンスと準備: セキュリティ対策の有効性を高めるために、SOC はメンテナンス活動を実施します。 これには、ソフトウェアのパッチとアップグレードの適用、ファイアウォール、ホワイトリスト、ブラックリスト、セキュリティ プロトコルの継続的な更新が含まれます。 さらに、SOC は、サイバーセキュリティ インシデントが発生した場合のビジネス継続性を確保するためのバックアップ ポリシーの策定にも役立ちます。

• インシデント対応計画: SOC は組織のインシデント対応計画を作成する責任を負います。この計画には、脅威やインシデントに直面した場合の対応の有効性を測定するためのアクション、役割、責任、および測定基準の概要が記載されています。

• 定期的なテスト: リソースの脆弱性と関連コストの包括的な評価を含む脆弱性評価が実施されます。 システムに対する特定の攻撃をシミュレートするために侵入テストも実行されます。 その後、SOC はテスト結果に基づいてアプリケーション、セキュリティ慣行、ポリシー、インシデント対応戦略を微調整します。

• 最新の状態を維持: SOC は最新のセキュリティ ソリューション、テクノロジー、脅威インテリジェンスを常に最新の状態に保ち、ソーシャル メディア、業界ソース、ダーク Web からの新たな脅威を積極的に監視します。

監視、検出、および対応

• 継続的なセキュリティ監視: SOC は、アプリケーション、サーバー、システム ソフトウェア、コンピューティング デバイス、クラウド ワークロード、ネットワークを含む IT インフラストラクチャ全体の監視を 24 時間 365 日実施します。 この警戒は、既知のエクスプロイトと不審なアクティビティを特定することを目的としています。

• ログ管理: ログ管理には、あらゆるネットワーク イベントによって生成されたログ データの収集と分析が含まれます。 これはベースライン アクティビティを確立し、不審なアクションを示す異常を検出し、セキュリティを維持するために重要です。 多くの SIEM ソリューションにはログ管理機能が含まれています。

• 脅威の検出: SOC チームはデータを精査して、本物のサイバー脅威やハッカーのエクスプロイトと誤報を区別します。 最新の SIEM ソリューションには、このプロセスを自動化し、時間の経過とともに脅威検出の精度を向上させるために人工知能 (AI) が組み込まれています。

• インシデント対応: 脅威やインシデントに対応して、SOC は被害を軽減するための措置を講じます。 これには、根本原因の調査、侵害された領域の隔離、侵害されたエンドポイントのシャットダウンまたは切断、ウイルス対策ソフトウェアの実行などが含まれます。 XDR ソリューションは、多くの場合、これらのインシデント対応プロセスの自動化を可能にします。

回復、改良、およびコンプライアンス

• 回復と修復: インシデントを封じ込めた後、SOC は脅威を排除し、影響を受けた資産をインシデント前の状態に復元します。 これには、ディスク、エンドユーザー デバイス、ネットワーク トラフィック、アプリケーション、プロセスのワイプ、復元、再接続が含まれる場合があります。 データ侵害やランサムウェア攻撃が発生した場合、バックアップ システムへの移行やパスワードと認証資格情報のリセットも回復プロセスの一部となる場合があります。

• 事後分析と改善: 将来のインシデントを防ぐために、SOC はインシデントから得られたデータを分析して脆弱性に対処し、プロセスとポリシーを修正し、新しいサイバーセキュリティ ツールを検討し、インシデント対応計画を更新します。 より広範なレベルでは、SOC は準備が必要な新たなサイバーセキュリティのトレンドを特定しようとする可能性があります。

• コンプライアンス管理: SOC は、すべてのアプリケーション、システム、セキュリティ ツールが GDPR、CCPA、PCI DSS、HIPAA などのデータ プライバシー規制に準拠していることを保証します。 インシデント発生後、SOC は、規制に従って、ユーザー、規制当局、法執行機関、その他の関係者に必要な通知が確実に行われるようにします。 また、証拠および監査の目的でインシデント データの保持も管理します。

要約すると、SOC の多面的な役割には、規制順守基準を遵守しながら、事前の準備、慎重な監視、効果的な対応、包括的な復旧が含まれます。

3.SOC サービスを提供する主要企業

• Microsoft: Microsoft Sentinel は、組み込み AI を使用して企業全体の大量のデータを迅速に分析するのに役立つクラウドネイティブのセキュリティ情報およびイベント マネージャー (SIEM) プラットフォームです。 また、組織のセキュリティ体制の一元的なビューを提供し、SOC チームが脅威をリアルタイムで検出、優先順位付け、対応できるようにしています。

• Symantec: Symantec Managed Security Services (MSS) は、SOC チームに年中無休の監視、脅威検出、およびインシデント対応サービスを提供します。 また、組織の特定のニーズに合わせてカスタマイズできる幅広いセキュリティ ソリューションも提供しています。

• Sophos: Sophos Managed Threat Response (MTR) は、24 時間 365 日の監視と対応機能を提供する、フルマネージド型の脅威ハンティング、検出、対応サービスです。 また、組織の特定のニーズに合わせてカスタマイズできる幅広いセキュリティ ソリューションも提供しています。

• Rapid7: Rapid7 Managed Detection and Response (MDR) は、24 時間 365 日の監視と対応機能を提供する、フルマネージド型の脅威の検出と対応サービスです。 また、組織の特定のニーズに合わせてカスタマイズできる幅広いセキュリティ ソリューションも提供しています。

• Trustwave: Trustwave マネージド セキュリティ サービス (MSS) は、SOC チームに年中無休の監視、脅威検出、およびインシデント対応サービスを提供します。 また、組織の特定のニーズに合わせてカスタマイズできる幅広いセキュリティ ソリューションも提供しています。

4.サービスとしての SOC

セキュリティ オペレーション センター (SOC) をアウトソーシングするとは、組織がセキュリティ運用を管理する専門プロバイダーと契約することを意味します。 SOC-as-a-Service プロバイダーは、脅威の検出と対応からインシデント管理に至るまで、さまざまなサービスを提供します。アウトソーシングされた SOC は社内のものよりも柔軟性が低い場合があり、データのプライバシーとセキュリティに関する懸念が生じる可能性があります 。ただし、SOC 機能をアウトソーシングすることは可能です。 経験豊富なサイバーセキュリティ専門家の専門知識を活用できる費用対効果の高い方法となります。 また、社内リソースを解放して他のビジネス分野に集中することもできます。

• アウトソーシングされた SOC プロバイダーの選択: 重要な考慮事項です。適切なアウトソーシング SOC (セキュリティ オペレーション センター) を選択する場合、注意が必要な重要な要素がいくつかあります。

• 組織の規模と複雑さ: 選択したプロバイダーに、貴社と同様の規模と複雑さの組織と協力した実績があることを確認してください。

• カスタマイズされたサービス: プロバイダーがお客様の特定のニーズに合ったサービスを提供していることを確認します。 データ セキュリティが主な懸念事項である場合は、この分野を専門とするプロバイダーを探してください。

• 評判が重要: プロバイダーの評判を確認します。 一流で高品質のサービスを一貫して提供することで知られるプロバイダーを選択してください。

• 堅牢なポリシーと手順: プロバイダーが貴重なデータを保護するための堅牢なポリシーと手順を確立していることを確認してください。

• 応答性の高い顧客サービス: プロバイダーの顧客サービス能力を評価します。 スムーズな運用を確保するために、対応が早く親切なカスタマー サービス チームがいるプロバイダーを選択してください。

アウトソーシングされた SOC プロバイダーを探す場合、これらの考慮事項は、情報に基づいた効果的な決定を下すのに役立ちます。

5.アウトソーシングSOC か？社内 SOC か？

内部 SOC チームとアウトソーシング SOC サービスのどちらを選択するかは、組織の規模、予算、特定のセキュリティ ニーズ、戦略的優先事項などの要因によって異なります。

SOC について有意義な会話をするには、Citynow Asia にご連絡ください。