サービスとしてのSOCとは

Kuldeep Bohra - 5月 6, 2024

サービスとしてのSOC (SOCaaS) はサブスクリプションベースのセキュリティモデルの1つです。サードパーティベンダーがクラウドから完全なマネージドSOCを運用、維持します。

SOCaaSは、ネットワーク監視、ログ管理、脅威の検知とインテリジェンス、インシデントの調査と対応、レポート生成、リスクとコンプライアンスなど、従来の社内SOCによって実行されていたセキュリティ機能のすべてを提供します。ベンダーは、これらのサービスを実現し、24時間365日のサポートを提供するのに必要なすべての人、プロセス、テクノロジーの責任を負います。

詳細

SOCとはセキュリティオペレーションセンター (SOC) は、企業のインテリジェンスハブとして機能します。組織のネットワーク、サーバー、エンドポイント、その他のデジタルアセットからリアルタイムでデータを収集し、インテリジェントな自動化を使用して、潜在的なサイバーセキュリティ脅威を特定し、優先順位を付け、対応します。SOCに何が伴い、SOCがどのように機能するかについては、関連投稿の「セキュリティオペレーションセンターとは」をお読みください。

SOCaaSのセキュリティスタックにおける位置付け

SOCaaSはマネージドサービスの一例です。SOCaaSは、サードパーティベンダーがスタンドアロンサービスとして提供することも可能ですが、一般的には、もっと幅広いセキュリティパッケージの一部として提供されます。また、組織のセキュリティアーキテクチャの中で、他のセキュリティツールやサービスに統合する必要があります。

SOCaaSはマネージドSIEMと同じものか

いいえ。セキュリティ情報およびイベント管理 (SIEM) は、SOCオファリングに含まれる重大なコンポーネントであるものの、SOCと同じ機能を提供するものではありません。具体的には、SIEM自体は、企業全体で発生するイベントをリアルタイムで監視しません。むしろ、他のソフトウェアによって記録されたログデータを使用して、イベントが発生したことを特定するツールです。

SOCaaSはMDRと同じものか

SOCaaSとマネージド検知と対応 (MDR) の間には、機能の点で一部重複があります。両者はともに、テクノロジーと人の専門知識を組み合わせ、脅威ハンティング、監視、対応を行うサイバーセキュリティサービスです。ただし、SOCaaSは、定義上、アウトソーシングサービスです。これはMDRには必ずしも当てはまりません。また、SOCaaSが提供するサービスの方が幅広く、MDRツールより強力で包括的な保護を提供します。

サービスとしてのSOCのメリット

SOCaaSは、従来のオンプレミスSOCと比較して、組織に多くの重要なメリットをもたらします。以下の内容が含まれます。

検知と修復の迅速化

SOCaaSの主なメリットの1つはスピードです。高度なテクノロジーと自動化に、人間による監視を組み合わせることで、SOCチームはセキュリティイベントを適切に特定、分類、優先順位付けして、修復することができます。アラートの数が増え続けているため、組織は「フォールスポジティブ」の調査に費やす時間を減らし、ビジネスにとって緊急度の高い真の脅威をもたらす問題に集中することが重要です。

侵害のリスクの緩和

従来のSOCと同様に、SOCaaSは継続的に動作し、24時間365日の監視、検知、対応機能を提供します。これにより、脅威を迅速に隔離して無力化できるため、組織は「ブレイクアウトタイム」(侵入者が最初のマシンを侵害してからネットワークの他の部分にラテラルムーブメントできるようになるまでの重大な期間)を短縮できます。

また、SOCaaSは、高度な専門知識を持つセキュリティ専門家へのアクセスを組織に提供するため、そのような人材をフルタイムで雇用したり維持したりする必要はありません。これらの個人を、特定のセキュリティイベント中に活用して、アクティビティを分析し、修復戦略の策定を支援してもらうことができます。このようなスキルセットは市場内では限られており、多くの場合、企業がそのような人材を社内に保持することは現実的ではなく不可能です。

最後になりますが、侵害の最も一般的な原因の1つは、パッチが適用されていないかまたは古いソフトウェアまたはオペレーティングシステムです。ITチームの人員の不足と過重な負担がますます高まる中、これは無視されがちな領域の1つであり、ハッカーやサイバー犯罪者になる人物に扉を開いています。SOCaaSは、誰かがこれらの重要なアクティビティに専念し、潜在的なリスクを制限することを保証します。

拡張性

他のXaaSソリューションと同様に、SOCaaSは柔軟性と適応性に優れていることが知られています。チームとサービスは、組織のニーズに基づいてまたは特定のイベントに対応して、簡単にスケールアップまたはスケールダウンできます。これに対し、従来のSOCモデルでは、リソース、特に人的リソースは有限であり、一般的に必要なときにすぐに追加することはできません。

成熟度の向上

多くの点で、SOCaaSは、評判の良いベンダーのサービスを維持している企業が、最新かつ最も高度なソリューションと高度なスキルを持つスタッフからメリットを得るという点で、「成熟への近道」と見なすことができます。これにより、より迅速で正確な検知と対応が可能になると同時に、全体的なリスクが軽減されます。

オンプレミスのSOCよりも少ないコスト

ほとんどの組織にとって、SOCaaSはオンプレミスのSOCを運用するよりも費用対効果が高くなります。これは、人件費、機器、ライセンス、ハードウェア、ソフトウェアに関連するコストなど、多くのコストが複数の顧客によって共有されるためです。これにより、各サブスクライバーの全体的な運用コストが軽減されます。

さらに、SOCaaSの多くの料金モデルは従量課金制であるため、組織は使用したサービスに対してのみ料金を支払います。

リソースの最適化

SOCaaSは、サイバー業界の人材不足により、近年特に魅力的なソリューションになっています。人材を獲得して維持することがますます困難になる中、SOCaaSは利用可能な人材に関連する課題の解決に役立つだけでなく、従業員を解放して社内の役割により適したセキュリティのユースケースに専念できるようにします。

SOCaaSの役割と責任

SOCaaSには次のような役割があります。

  • SOCマネージャー:セキュリティセンターのリーダーとして、SOC、その従業員、運用のすべての側面を監督します。
  • セキュリティアナリスト第1階層 – トリアージ:アラートを分類して優先順位を付け、インシデントを第2階層のアナリストにエスカレーションします。
  • セキュリティアナリスト第2階層 – インシデント対応担当者:エスカレーションされたインシデントの調査と修復、影響を受けるシステムと攻撃範囲の特定、脅威インテリジェンスを使用した攻撃者の発見を行います。
  • セキュリティアナリスト第3階層 – 脅威ハンター:不審な振る舞いをプロアクティブに探し、ネットワークセキュリティをテストおよび評価して高度な脅威を検知し、脆弱性のある領域や保護が不十分なアセットを特定します。
  • セキュリティアーキテクト:セキュリティシステムとそのプロセスを設計し、さまざまな技術的コンポーネントや人的コンポーネントを統合します。
  • コンプライアンス監査人:組織が内部および外部のルールや規制を遵守していることを監視します。
  • SOCコーディネーター:SOCaaSベンダーと組織の内部ITチームおよびセキュリティチームとの間の連絡役を務めます。

サービスとしてのSOCからメリットを得ることができる組織のタイプ

オンプレミスSOCを運用しているか、またはその構築を検討している組織は、機能をアウトソーシングすることで、低コストで保護を強化できる場合があります。これは、組織の成熟度レベルと現在のセキュリティポスチャよっては、賢明な決定になる可能性があります。

SOCaaSの活用が理にかなっている状況

前述したように、SOCaaSは、保護の強化、迅速な対応、コストの削減に関連するため、組織に多くの重要なメリットをもたらします。サブスクリプションモデルは、次のような場合に組織に最適な選択肢になる可能性があります。

  • ITおよび情報セキュリティのスタッフが限られている(特に、高度に専門的なサイバーセキュリティスキルや24時間365日体制の提供能力に関連する場合)
  • SOCを運用するための専用の保護された物理的スペースがない
  • オンプレミスSOCの基盤となる機能を提供するための大規模なテクノロジー投資を行っていない
  • サイバーセキュリティの成熟度が比較的低く、サードパーティのバックボーンサービスを活用することで別の意味での近道を実現したい
  • 企業内でさまざまなセキュリティニーズがあることが予想される

社内SOCの維持が理にかなっている状況

SOCaaSは通常、従来のSOCと同じサービスを低コストで提供しますが、一部の組織では、あえてオンプレミスのSOCを維持することを選択する場合があります。これは、次のような組織に最適な選択肢になる可能性があります。

  • すでに多額のテクノロジーと人的資本の投資を行っており、この分野で維持および進化し続けるためのリソースを持っている
  • 高いレベルのセキュリティ成熟度と強力なセキュリティポスチャを備え、会社が既存のセキュリティアーキテクチャを維持および強化できる強力な専門知識を持っている
  • セキュリティ制御を非常に細かく行う必要がある
  • サードパーティプロバイダーによって十分に理解またはサポートされていない重要で複雑な規制に直面している

サービスとしてのSOCソリューション

SOCaaSは通常、テクノロジーに依存せず、顧客がどのツールを選択または展開したかに関係なく、顧客のセキュリティスタックのあらゆる部分を管理します。SOCaaSプロバイダーを選択するときには、ベンダーがプラットフォーム内で統合して運用できるツールの種類と、SOCaaSオファリングに含まれるセキュリティコンポーネントを理解することが重要です。

GET TO KNOW THE AUTHOR