編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ
CSIRT構築の最前線

CSIRT構築の最前線--SOCをどのように活用するのか

岩本高明

2016-02-01 10:44

 実効性のあるCSIRTを構築する上で必要となる3つのリソースのうち、第1回では、CSIRTに求められる「プロセス(業務)」、第2回では、CSIRTに求められる「人(組織体制と要員)」について解説した。最終回となる本稿では、CSIRTを支えるIT基盤として、特にセキュリティオペレーションセンター(Security Operation Center:SOC)について解説する。

SOCとは何か

 SOCとは何か。SOCとは、端的に言えば、組織で発生するセキュリティアラートを統合的に監視する部隊である。その目的のためにはIT基盤が必要であり、監視のためのセンサや分析エンジンを有する。

SOCの導入パターン

 まずSOCの導入方法だが、自社とアウトソースでまかなう範囲により、いくつかのパターンがある。

導入形態メリットデメリット
オンプレ型
(自社SOC)
自社で監視装置を設置、運用・高度な監視(自社に応じたカスタマイズ)
・機密性の確保
・比較的高価
・SOC要員の調達
リモート型
(MSS)
SOCベンダーが監視装置を設置、運用・SOC運用の委託
・テンプレートを用いた短期・安価導入
・カスタマイズ困難
・現状把握が困難
ハイブリッド型自社で監視装置を設置、運用はSOCベンダー・高度監視とSOC運用性の両面を確保 ・対応可能なSOCベンダーはまだ少ない

 (注) MSS:Managed Security Serviceの略称

 事前の要件定義により、企業のビジネス要件や、保有する情報の質と量などに応じてリスクを検討した上で、導入形態を選択することが重要だ。

SOCの監視ソリューション

 SOCで用いられる代表的な装置装置としては以下が挙げられる。

監視装置 主な検知対象 主な分析方法
IPS 不正侵入検知システム トラフィック シグネチャーとの照合
NG-Firewall 次世代型ファイアウォール トラフィック 不正通信、挙動分析
SIEM製品 SIEM(統合ログ管理システム) ログ 各種デバイスログの相関分析

 ただし、SIEM(セキュリティ情報イベント管理)製品の中にはトラフィック解析機能を有する製品が登場するなど、これらの境目はあいまいになってきている点は付け加えておく。

 SOCを考える際には、これら監視装置のどのサービスやサービスが正解か、残念ながら決定打となるものがないのが現状と考える。不正なイベントを検知するために活用できる元データとしては、大きくはトラフィック(パケット)と各種デバイスが出力するログが存在する。

 この2つはそれぞれ長所と短所がありセキュリティを確保する上で補完関係にあるとも言えるため、企業は両面から分析手法を検討し、監視体制を構築することが望ましい。特に外部からの攻撃に加え、内部不正の監視も視野に入れる必要がある企業にとっては、SIEMのような手段が必要になってくるだろう。

 多様化するサイバー攻撃に対処していくためには、各製品やサービスの長所を組み合わせて、多層的な対策をとることが推奨される。

トラフィックとログの特徴

検知対象主な特徴
監視ポイント通信の向き分析期間主な分析手法主な分析対象
トラフィックゲートウェイ(定点監視)入口/出口短期挙動分析 パケット全体(データ部も含む)
ログ各種デバイス(多点監視)入口/内部/出口中長期傾向、相関分析ヘッダー情報

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]