実効性のあるSOCを立ち上げるには

2019年10月30日

少し前までは、セキュリティオペレーションセンター(Security Operations Center:SOC)とはどういうものか、大企業のお客様に対して説明する必要がありました。現在では、すでに大企業の3分の1以上がSOC部門を有し、SOCの立ち上げを検討中の企業も多数あります。しかし、SOCを立ち上げるにあたっては、スキルのあるプロフェッショナル人材の不足という、サイバーセキュリティ業界における大きな問題に直面します。SOCに影響する要因は人材以外にもあるとはいえ、これは根本に関わる問題です。

サイバーインシデントに備えるためには、当然ながら、機器やソリューションの購入、脅威データフィードの契約、これら機器に目を配る監視チームの結成などに着手することになります。しかし、こうした施策をただ打っただけでは、遠からず多くの問題に直面することになります。自動化がなされていなければ監視チームに余分な負荷がかかりますし、セキュリティソリューションを既存のシステムやソリューション、データフィードなどにうまく統合できない場合もあります。また、何百万というインジケーターを目前にすれば、アラートの優先度を付けるのも容易ではありません。何よりも、アナリストが燃え尽き症候群に陥る可能性があります。

このほか、SOCを初めて立ち上げる場合には予期しにくいポイントですが、どの部署が担当するかという部分で生じがちな誤解、という問題もあります。具体的にはIT部門かセキュリティ部門かということになりますが、両者は優先度もターゲットも異なるため、同じ人々がITとセキュリティの双方を担当することは現実的ではないのです。セキュリティのソリューションやプロセスの導入は、IT担当の日々の業務を圧迫しますし、業務を著しく複雑化しかねません。反対に、プロセスを簡素化しようと、IT部門がセキュリティシステムに干渉する場合もあります。ITとサイバーセキュリティを等しく優先することは不可能であり、必ずどちらか一方を優先させることになります。

要は、SIEMシステムを導入してセキュリティ部門に「SOC」の名を与えるだけでは十分ではないのです。SOCの立ち上げとは、関連するプロセスを構築することであり、当社がお手伝いできるのもその部分です。

Kasperskyが提供するもの

SOCには機器が必要であり、それにも増して重要なのは、導入と運用に関する専門技能です。Kaspersky for Security Operations Centerは、当社の積み重ねてきた経験と、当社の実績あるソリューションおよびサービスとを組み合わせた、SOCの運用を支援し企業の防御態勢を強化するためのサービスです。

本サービスにより提供されるものには、脅威インテリジェンスフィード、そしてKaspersky Anti Targeted AttackやKaspersky EDRといった実績あるソリューション、さらにペネトレーションテストによるセキュリティ運用評価などがあります。セキュリティ運用評価について、少しご説明しましょう。既存の攻撃シナリオに関する知識を持ち合わせたエキスパートが、お客様の業界、地域、市場の特性に基づいて、お客様の企業ネットワークに侵入しようとする者がどういった行動を取る可能性があるかを判断します。ここで得られた情報を基に、SOCおよびインシデントレスポンスチームが緊急事態に対してどれほどの準備ができているか(攻撃を検知・防止する能力とも言い換えられる)ペネトレーションテストを通じて評価し、現存するセキュリティギャップに関する詳細なレポートを提供し、セキュリティプロセスを強化するための推奨事項を提示します。

本サービスの詳細については、Kaspersky for Security Operations CenterのWebページをご覧ください。