セキュリティ オペレーション センター(SOC)の役割と責任

セキュリティ運用センター(SOC)は、セキュリティ運用の中心で活動する組織または事業単位であり、組織全体のセキュリティ体制の管理と向上を担います。基本職務は、脅威やインシデントなどのサイバーセキュリティ イベントの検出、分析、レスポンスや、人材、プロセス、技術の採用です。チームは、セキュリティ インフラストラクチャの管理や、多様なセキュリティ ソリューション、ツール、製品の設定や展開を担当します。組織のその他の部署と同様に、SOCには、ティア1アナリストや脅威ハンターのような専門的な役割など、いくつもの多様な役割があります。

 

SOCチーム: 役割と責任

SOCチームの中心的な役割を構成するのは、通常、多様な階層のSOCアナリストと専任マネージャーです。Manfred Vielberth、Fabian Böhm、Ines Fichtinger、Günther Pernulが実施した調査では、SOCチームにおけるこれらの主な役割と、それぞれに特有のスキル セットを特定しています。

ティア1 — トリアージ スペシャリスト: ティア1アナリストは、主に生データの収集と、アラームやアラートの確認を担当します。そして、アラートの重要度の確認、判断、調整を行い、関連データで補強する必要があります。アラートのたびに、トリアージ スペシャリストはそれが正当なものか、誤検知かを識別しなければならず、アラート疲れが実際に問題になっています。このレベルではさらに、その他の高リスク イベントや潜在的なインシデントの特定も担います。これらすべてを、重要度に沿って優先順位付けする必要があります。発生している問題をこのレベルで解決できない場合は、ティア2アナリストへのエスカレーションを行わなければなりません。さらに、トリアージ スペシャリストは多くの場合、監視ツールの管理と設定も行います。

ティア2 — インシデント レスポンダー: ティア2レベルでは、トリアージ スペシャリストがエスカレーションを行った優先度の高いセキュリティ インシデントをアナリストが確認し、脅威インテリジェンス(セキュリティ侵害インジケータ、更新版ルールなど)を使用してさらに詳しく評価します。アナリストは、攻撃範囲を理解し、影響を受けるシステムを把握する必要があります。ティア1で収集された生の攻撃テレメトリ データは、ティア2では実用的な脅威インテリジェンスに変換されます。インシデント レスポンダーは、インシデントを封じ込め、そこから復旧するための戦略の策定と実施を担当します。ティア2アナリストが攻撃の特定または軽減で大きな問題に直面した場合は、別のティア2アナリストにも意見を聞くか、ティア3へのインシデントのエスカレーションを行います。

ティア3 — 脅威ハンター: ティア3アナリストは、SOCで最も経験豊富な職員です。インシデント レスポンダーによりエスカレーションされた大規模なインシデントに対処します。また、脆弱性評価や侵入テストを実行するか、少なくとも監督して、可能性のある攻撃ベクトルを特定します。最も重要な責務は、未知の可能性がある脅威、セキュリティ ギャップ、脆弱性を未然に特定することです。また、システムを侵害する可能性がある脅威について妥当な知識を得て、展開済みのセキュリティ監視ツールの最適化方法を推奨する必要もあります。さらに、重大なセキュリティ アラート、脅威インテリジェンス、およびティア1やティア2のアナリストから提供されたその他のセキュリティ データは、この階層でレビューを行う必要があります。

SOCマネージャー: SOCマネージャーは、セキュリティ運用チームを監督します。必要に応じて技術的ガイダンスを提供しますが、最も重要なことは、チームの適切な管理を担っているということです。これには、チーム メンバーの採用、トレーニング、評価、プロセスの作成、インシデント レポートの査定、必要なクライシス コミュニケーション計画の策定と実装が含まれます。また、SOCの財務面の監督、セキュリティ監査のサポート、最高情報セキュリティ責任者(CISO)や各最上級管理職への報告も行います。

階層化された役割に加えて、以下のように複数の技術的・専門的な役割があります。

  • マルウェア アナリストまたはリバース エンジニアは、マルウェアのリバース エンジニアリングを行うことで、インシデント調査に必要な情報の提供、SOCへの脅威インテリジェンスの提供、将来のディテクション&レスポンス作業の向上を支援して、高度な脅威への対応をサポートします。
  • 脅威ハンター(ティア2に該当)は、組織内部の脅威を未然に探し出します(つまりハンティング)。これはティア3アナリストも行いますが、専門職の場合は、公開済みの脅威インテリジェンスを分析することで、ログのレビュー、脅威の予防的ハンティング、組織外部の調査も実施できる可能性があります。
  • フォレンジック専門家またはアナリストは、情報テクノロジ(IT)システム、ネットワーク、デジタル エビデンスに関するサイバー イベントや犯罪を調査します。
  • 脆弱性管理者は、エンドポイント、ワークロード、システム全体で、脆弱性を継続的に特定、評価、報告、管理、修復します。
  • コンサルティング職: このグループで最も重要な2つの役割は、セキュリティ アーキテクト(SA)とセキュリティ コンサルタントです。SAは会社内の堅牢なセキュリティ インフラストラクチャの計画立案、調査、設計を行います。SAは定期的にシステムおよび脆弱性のテストを実行し、改善の実施または実施の監督を行います。また、復旧手順の確立も担っています。セキュリティ コンサルタントは多くの場合、セキュリティ基準、セキュリティのベストプラクティス、セキュリティ システムを調査します。業界全体の概要を組織に提供し、現在のSOC機能を競合他社と比較することが可能です。また、堅牢なセキュリティ アーキテクチャの計画立案、調査、設計を支援できます。

 

セキュリティ オペレーション センター(SOC)の役割とは?

SOCは、セキュリティ担当者間のコラボレーションを促進するために設置され、主にセキュリティ監視とアラートに注目します。これには、疑わしい活動の特定や、組織のセキュリティの向上のためのデータの収集・分析が含まれます。

SOCはセキュリティ インシデント処理プロセスを合理化するほか、アナリストがセキュリティ インシデントのトリアージおよび解決をより効率的かつ効果的に行うのに役立ちます。現在のデジタルの世界では、SOCを社内やクラウド(仮想SOC)に設置したり、職員を社内や社外から配置したり(例: MSSPまたはMDR)、さらにそれらを組み合わせたりすることができます。

SOCは、途切れなく監視を行って継続的保護を提供し、アタックサーフェス全体で重要資産を可視化することができます。侵害が最初に発生してから検出までの平均時間が短くなるので、迅速で効果的なレスポンスを提供できます。

 

 

SOCチームの成功のベストプラクティスとは?

セキュリティが取締役レベルのトピックになり、組織では、自社にとってSOCが必要かどうか、必要なSOCの種類は何か、SOCにはどのような構成要素を含める必要があるかについて議論されています。組織の意思決定に役立つガイドラインは特にありませんが、コンプライアンス規制の確実な順守など、多様な選択肢を調べるためのベストプラクティスがいくつか存在します。

物理的にSOCを構築するか、クラウドとオンプレミスのハイブリッドにするか、サードパーティと提携するかについては、いくつか一般的な基準を考慮する必要があります。確実に成功するためには、開始する前に重要な注意事項があります。それはプロジェクトに役員レベルのスポンサーまたは"チャンピオン"がいるだけでなく、強力なビジネス ユースケースと長期的予算があることです。セキュリティ チームが、どのような形態であれ、SOCを成功に導く方法はいくつかあります。

スタッフと職員を重視することによるセキュリティ チームの最適化

成功するSOCにとって最も重要なのは、セキュリティ ソリューションやツールへの投資より人的要素です。特に低レベルの反復作業については、機械学習や自動化で、対応時間、精度、対処などの成果全体が必ず改善されますが、エンジニアやアナリスト、アーキテクトを含むセキュリティ人材の募集やトレーニング、確保は、一貫したSOC戦略に組み込まれる必要があります。

自動化と機械学習によるチームの増強

自動化と機械学習を最大限に活用して、セキュリティ人材を増強し、補完します。高度な分析とAIを使用すると、チームが組織内の大量のデータの処理にかける時間を大幅に削減して、重要なセキュリティの洞察を得ることが可能になります。現在の機械学習では、複数のデータ ソースから異常なパターンを自動検出し、コンテキスト付きでアラートを自動発信することで、調査の高速化と盲点の排除に関する期待に応えることができます。

ワークフローの自動化

セキュリティ リーダーは、人間の意思決定と相性のよい反復可能で低レベルの作業を特定して、インシデント調査を迅速化できます。数多くの脅威フィードの監視など、セキュリティ運用やインシデント レスポンス(IR)で手作業のプロセスが多すぎる場合、SOARソリューションなどの自動化機能への投資は、製品スタック全体で作業を調整して、迅速で拡張性に優れたIRを実現するために役立ちます。

運用環境を監査して、ツールの散在に関するリスクを低減

買収や合併、類似セキュリティ製品の標準化が進まないことが原因で、統一されないままのツールを多くの企業でセキュリティ スタック全体に多数かかえています。散在したツールによるセキュリティへの影響を低減するために実行できる最初のステップの1つは、保護対象となるシステムとエンティティの監査であり、ここで保護対象と防御する攻撃の内容を正確に特定します。それは知的財産でしょうか。顧客の個人情報でしょうか。ソフトウェア資産であっても物理資産であっても、できるだけ特定することで、価値の高いデータやリスクの高いデータを保護する優先順位を付けることができます。このエンドツーエンドの可視性を備えることで、ギャップや潜在脅威ベクトルの特定に役立てることができます。

セキュリティ オペレーション センターの基本情報については、弊社のSOCについての記事をご覧ください。

 

SOCの役割と責任についてのよくある質問

SOCマネージャー: SOCの運用を監督し、効果的なインシデント管理を確実に実施します。
セキュリティ アナリスト: ネットワーク トラフィックの監視と分析、脅威の検出、インシデントへのレスポンスを行います。
インシデント レスポンダー: セキュリティ インシデントの際に、被害を軽減し、通常の運用を復旧するための対処を行います。
脅威ハンター: ネットワーク内の隠れた脅威を未然に探索します。
セキュリティ エンジニア: セキュリティ ツールとインフラストラクチャのメンテナンスと最適化を行います。
SOCチームの管理: 適切なリソース、トレーニング、パフォーマンスの確保。
セキュリティ ポリシーと手順の策定と実装: インシデント レスポンス、脆弱性管理、セキュリティ コンプライアンスの手順の策定。
インシデント レスポンス作業の調整: セキュリティ インシデントへのレスポンスのリードと監督。
規制要件へのコンプライアンスの確保: 関連するセキュリティ基準や規制の順守の維持。
SOCの活動と実績の報告: SOCの運用と有効性について、上級管理職に最新情報を定期的に提供。
セキュリティ アラートの分析とその妥当性の判断: セキュリティ イベントの重大度と潜在的な影響の評価。
セキュリティ インシデントの調査とレスポンス: 根本原因の特定、脅威の封じ込め、通常の運用の復旧。
脆弱性評価の実施と緩和策の推奨: セキュリティ脆弱性の特定と、それらに対処するためのソリューションの推奨。
脅威インテリジェンスを最新に維持: 新たに台頭する脅威や攻撃手法について、最新情報を常に取得。
インシデントの文書化とレポートの作成: セキュリティ イベントの詳細記録を維持し、包括的なレポートを関係者に提供。
検出されたセキュリティ インシデントへの迅速な対応: 脅威を封じ込め、緩和する行動を迅速に実施。
インシデントの影響とスコープの分析: 被害の規模を評価し、影響を受けるシステムを特定。
脅威の封じ込めと根絶を行うため、他のチームと連携: 社内外の人材と連携して、効果的なインシデント解決を確実に実施。
インシデント後の分析とレポート作成の実施: 根本原因、得られた教訓、改善のための推奨事項の特定。
インシデント レスポンス計画の策定と改善: 多様な種類のセキュリティ インシデントに対処するための手続きと手順の策定。
サイバー脅威と攻撃手法についての高度な知識: 多様な脅威アクター、その動機、攻撃手段についての理解。
脅威ハンティング ツールやテクノロジを使用する腕前: 脅威を未然に検出し、分析するための専門ツールの活用。
強力な分析・問題解決スキル: パターン、異常、潜在的な侵害の兆候の特定。
フォレンジック分析とマルウェア リバース エンジニアリングの経験: 疑わしい活動の調査と、侵害されたシステムからの重要情報の抽出。
優れたコミュニケーション能力と報告能力: 調査結果や推奨事項を、技術系および非技術系の相手に効果的に伝える能力。