セキュリティー・オペレーション・センター(SOC)

セキュリティー・オペレーション・センターは、すべてのサイバーセキュリティー・テクノロジーとオペレーションを統合し調整することで、組織の脅威検出機能、脅威対応機能、脅威防止機能を改善します。

セキュリティー・オペレーション・センター・ルーム
セキュリティー・オペレーション・センター(SOC)とは

セキュリティー・オペレーション・センター(SOC)は、インフォメーション・セキュリティー・オペレーション・センターまたはISOCと呼ばれることもありますが、組織のITインフラストラクチャー全体を24時間年中無休で監視し、リアルタイムでサイバーセキュリティー・イベントを検出し、可能な限り迅速に効率よく対処する社内または外部委託チームのITセキュリティーの専門家です。

SOCはまた、組織のサイバーセキュリティーテクノロジーを選択し、運用し、維持し、データを継続的に分析して、組織のセキュリティー体制を改善する方法を見つけます。

SOCを運用する、または外部委託することの主なメリットは、SOCが組織のセキュリティー・ツール、プラクティス、セキュリティー・インシデントへの対応を統合し、調整することにあります。 これにより、通常、予防措置とセキュリティー・ポリシーの改善につながり、脅威検出がより速くなり、セキュリティー脅威に対してより効果的でより費用対効果の高い対応がより迅速にできるようになります。 SOCは顧客の信頼度を向上し、組織における業界、国内、世界規模のプライバシー規制への準拠を強化します。


セキュリティー・オペレーション・センター(SOC)で行われていること

SOCの活動と責任は、3つのカテゴリに分類されます。

準備、計画立案、予防

資産インベントリー。 SOCは、インベントリーは、データセンター(アプリケーション、データベース、サーバー、クラウド・サービス、エンドポイントなど)と、保護のために使用されるすべてのツール(ファイヤウォール、ウイルス対策ツール、マルウェア対策ツール、ランサムウェア対策ツール、ソフトウェア監視など)の内部または外部にある保護が必要なすべてのものをまとめた包括的なインベントリーを保守する必要があります。 多くSOCは、この作業に資産ディスカバリー・ソリューション使用します。

日常のメンテナンスと準備。 セキュリティー・ツールとセキュリティー測定の有効性を最大化するために、SOCはソフトウェアのパッチや更新の適用、継続的にファイヤウォール、ホワイトリストとブラックリスト、セキュリティー・ポリシーと手順を更新するなどの予防メンテナンスを実行します。 SOCはシステム・バックアップを作成したり、バック・アップ・ポリシーやバック・アップ手順を作成する支援を行い、データ侵害、ランサムウェア攻撃、その他のサイバーセキュリティー・インシデントなどのイベントが発生しても事業の継続性を保証します。

インシデント対応計画 SOCは組織のインシデント対応計画を開発する責任があり、インシデント対応計画は脅威やインシデント発生中の活動、役割、責任を定義し、あらゆるインシデント対応の成功メトリックを測定します。

定期的なテスト。 SOCチームは、脆弱性評価を実行します。脆弱性評価とは、各リソースの潜在的な脅威に対する脆弱性や関連コストを特定する包括的な評価です。 また、別のシステム上で特定の攻撃をシミュレートする侵入テストを行います。 チームは、これらのテストの結果に基づき、アプリケーション、セキュリティー・ポリシー、ベストプラクティス、インシデント対応を修復、または細分化します。

最新の状態を維持。 SOCは、最新のセキュリティー・ソリューションとテクノロジーを維持し、ソーシャルメディア、業界筋、ダーク・ウェブから集められた、サイバー攻撃やサーバー攻撃を仕掛けるハッカーに関するニュースや情報などの最新の脅威インテリジェンスを維持しています。

監視、検出、応答

24時間体制のセキュリティー監視 SOCは、アプリケーション、サーバー、システム・ソフトウェア、コンピューター・デバイス、クラウド・ワークロード、ネットワークなどの拡張ITインフラストラクチャー全体を、365日24時間、漏えいやあらゆる疑わしい活動の兆候を見つけるために監視します。

多くのSOCにとって、監視、検出、応答の中核のテクノロジーは セキュリティー情報とイベント管理、またはSIEMです 。 SIEMは、リアルタイムでネットワーク上のソフトウェアとハードウェアからアラートとテレメトリーを監視および集約し、データを分析して脅威を特定します。 最近、一部のSOCは、拡張型検出および応答(XDR)テクノロジーも採用しています。これは、より詳細なテレメトリーと監視、およびインシデントの検出と応答を自動化する能力を提供します。

ログ管理 ログ管理(すべてのネットワーク・イベントにより生成されたログ・データ分析を収集したもの)は、そのパラグラフを取得するのに重要なモニタリングのサブセットです。 ほとんどのIT部門がログ・データを収集しますが、それは、正常または基本的な活動を確立し、疑わしいと思われる異常を明らかにする分析です。 実際、多くのハッカーは、企業が常にログ・データを分析してはいないという事実に目をつけます。なぜなら、ウイルスやマルウェアが被害者のシステム上で、数週間または数ヶ月も検出されないまま実行できるからです。 ほとんどのSIEMソリューションは、ログ記録管理機能を備えています。

脅威の検出。 SOCチームは、ノイズ(実際のサイバー脅威の兆候と誤検出からのハッカーのエクスプロイト)からの信号を分類し、次に、重大度によって脅威を選別します。 最新のSIEMソリューションはこれらのプロセスを自動化する人工知能(AI)を備えていて、AIは、データから「学習」して、時間が経つにつれて疑わしい活動をより特定できるようになります。

インシデント対応。 脅威や実際のインシデントへの対応について、SOCは損害を抑えようとします。 以下のような対処を含みます:

•インシデントにつながった、ハッカーにシステムへの権アクセス限を与えた技術的な脆弱性やその他の要因(悪いパスワード衛生またはポリシーが十分に適用されていない)を判断する根本原因調査

•侵害されたエンドポイントをシャット・ダウン、またはネットワーク接続から切り離す

•ネットワークの侵害された領域を分離する、またはネットワーク・トラフィックのの再ルーティング

•侵害されたアプリケーションまたはプロセスを一時停止または停止

•破損または感染したファイルを削除

•ウイルス対策ソフトまたはマルウェア対策ソフトを実行

•内部および外部ユーザーへのパスワードを廃止

多くのXDRソリューションは、このようなインシデント応答やその他インシデント応答を自動化し加速

復旧、改良、コンプライアンス

復旧と修理。 インシデントが発生すると、SOCは脅威を根絶し、影響を受けた資産をインシデント前の状態に戻します(例、ディスク、エンド・ユーザー・デバイス、その他のエンドポイントをワイプ、復元、再接続やアプリケーションとプロセスの再起動)。 データ侵害またはランサムウェア攻撃が発生した場合には、復旧には、バックアップ・システムへの移行、パスワードと認証のリセットが含まれる場合もあります。

事後分析と改良。 再発を防ぐために、SOCは、インシデントから得た新しいインテリジェンスを使用して、脆弱性により良い対処をし、プロセスとポリシーを更新し、新しいサイバーセキュリティー・ツールを選択するか、インシデント対応計画を改訂します。 さらに高位レベルでは、SOCは、そのインシデントが、チームが準備を必要とするような新たな、または変化したサイバーセキュリティー傾向を明らかにするものかどうかを判断します。

コンプライアンス管理。 すべてのアプリケーション、システム、セキュリティー・ツール、プロセスが、GDPR(EU一般データ保護規則)、CCPA(カリフォルニア州消費者プライバシー法)、PCI DSS(クレジットカード業界データ・セキュリティー・スタンダード)、HIPAA(医療保険の積算と責任に関する法律)などのデータ・プライバシー規制に準拠しているかを確認するのがSOCの仕事です。 インシデントの発生に続いて、SOCは、規制に従って、必要なインシデント・データが証拠と監査のために保持されていることがユーザー、規制当局、法執行機関、その他の関係者に通知されていることを確認します。


主要なセキュリティー・オペレーション・センター(SOC)チーム・メンバー

一般的に、SOCチームにおける主な役割には以下が含まれます:

•チームを運営し、すべての運用部門を監督し、組織のCISO(最高情報保護責任者)に報告を行うSOC管理者。

•組織のセキュリティー・アーキテクチャーを構築し管理するセキュリティー・エンジニア。 この作業の多くは、セキュリティーツールとテクノロジーの評価、テスト、推奨、実装、保守に関わります。 また、セキュリティー・エンジニアは、組織のセキュリティー・アーキテクチャーがアプリケーション開発サイクルに含まれていることを確認するために、開発チームまたはDevOps/DevSecOpsチームと協力して作業します。

基本的に、サイバーセキュリティー脅威またはサイバーセキュリティー・インシデントに最初に対応する•セキュリティー・アナリスト(セキュリティー調査担当者またはインシデント対応者とも呼ばれる)。 セキュリティー・アナリストは、脅威を検出、調査、選別(優先順位付け)します。次に、影響を受けるホスト、エンドポイント、ユーザーを特定し、適切なアクションを実行して、影響、脅威、またはインシデントを軽減し、封じ込めます。 (一部の組織では、調査担当者とインシデント対応者は、ティア1およびティア2アナリストとして、それぞれ区別されています。)

•脅威ハンター(エキスパート・セキュリティー・アナリストとも呼ばれる)は、拡張脅威の検出と封じ込めを専門としています。拡張脅威とは、自動防御を超えて管理する新しい脅威または脅威バリアントです。

SOCチームには、組織の規模や事業を行う業界によって、別のスペシャリストがいることもあります。 大企業には、インシデント対応のコミュニケーションと調整を担当するインシデント対応ディレクターがいます。 また、SOCの中には、サイバー・セキュリティー・インシデントによって損害を受けた、または侵害されたデバイスから手がかりとなるデータを取得することを専門にした科学捜査官が含まれていることもあります。

DevOps

DevSecOps


セキュリティー・オペレーション・センター(SOC)とIBM

IBM Security QRadar XDRは、エンドポイントの検出と対応(EDR)、ネットワークの検出と対応(NDR)、SIEM機能を1つのワークフローに統合するオープン・スタンダードと自動化を使用して構築された、ITセキュリティー業界初の包括的なXDRです。 QRadar XDRを使用すると、洞察を結び付け、ワークフローを合理化し、AIを自動化対応に活用することで、SOCは貴重な時間を節約でき、脅威をより迅速に排除できます。

IBM Security QRadar XDRソリューションのスイートには以下が含まれます。

•セキュリティー・ツールを統合し、ワークフローを合理化し、セキュリティー・チームのスキルとニーズに適応し、SOCを自動化するQRadar XDR Connect。

• ネットワーク上の何千ものデバイス、エンドポイント、アプリのログとフロー・データを自動的に分析し、フロー・データインテリジェントは、ネットワーク上の何千ものデバイス、エンドポイント、アプリからのビーコンデータとログに記録セキュリティーデータを自動的に分析し、最も重大な脅威に対して実行可能な洞察を提供するQRadar SIEM。

• リアルタイムのネットワーク・トラフィック分析提供を提供し、SOCチームが手遅れになる前に隠れた脅威を検出する深い可視性を実現するQRadar Network Insights。

•インシデント対応プロセスを、セキュリティー・チームが自信を持って対応し、インテリジェントに自動化し、一貫してコラボレーションするのに役立つ動的プレイブックに体系化するQRadar SOAR(セキュリティー・オーケストレーション、自動化、対応QCへの対応)。

Gartner社がIBMをSIEMの2021年のマジック・クアドラント・リーダーに任命

IBM Securityを始めましょう