SOCの謎を解く (パート1): 気づかなくともあらゆる組織が必要とするSOC

編集者注: この記事は最初にMedium.comで公開されました。

この記事は、セキュリティオペレーションセンター (SOC) に関するいくつかのテーマを扱う「SOCの謎を解く」シリーズの最初の記事です。このシリーズでは、私がGartnerでSOC担当テクノロジーアナリストとして勤務していた際に数千回にわたる顧客との会話で耳にした数多くの迷信を払拭し、質問に答えることを目的としています。

Gartnerでセキュリティオペレーションセンター (SOC) 分野を担当していた際、侵害を発表した後で嫌々ながらSOCの設立を検討したり、監査後にセキュリティ情報およびイベント管理 (SIEM) ソリューションの購入を考える組織との間で無数の議論を交わしてきました。「無駄じゃないですか？」「当社はウィジェットを販売している中堅企業です。ハッカーの標的になるとも思えないのですが」といった声を耳にしました。

ご存知のとおり、自社が標的にならないと決め込むのは非常に危険です。幸いなことに、SOCの設置にあたり、何も米国防総省のような作戦指令室に多数のセキュリティ専門家が始終画面を監視しているような環境を想定する必要はありません。

実際、パート3でもご説明しますが、SOCは社内にすでに存在している可能性が高いのです。この記事では、SOCが必要な理由についてご説明したいと思います。

どんな企業も標的になりうる

セキュリティオペレーションセンター (SOC) のミッションは、組織のインフラストラクチャを既知のクリーンな状態に保ち、安全に運用することにあります。組織が内部関係者の脅威、マルウェア攻撃やデータ抽出の試みなどのセキュリティインシデントに遭遇した場合、SOCはインフラストラクチャが既知の正常な状態に戻るまで、そうした脅威の検出、調査と修復 (TDIR) を行う責任を負います。

ではなぜ、あらゆる組織 (御社を含め) にSOCが必要なのでしょうか。まず、標的となるかどうかに企業の規模は全く関係ないためです。Verizonの『2020 Data Breach Investigations Report (DBIR)』によれば、2019年に発生したセキュリティ侵害の28%が従業員数1,000名未満の企業を標的としたものでした。さらに、IBMの『2020 Cost of a Data Breach Report』によれば、従業員数500名以下の企業におけるデータ侵害の平均合計コストは264万ドルに上ります。

組織や市場カテゴリーの性質上、機密性の高いデータが国家やハッカーの標的となりにくいだろうという思い込みもありがちですが、だからといって決して安全なわけではないのです。

「当社は安全」ではない

自社が直接の標的にならなかったとしても、ハッカーが御社のインフラストラクチャを使用して、はるかに規模が大きな組織を狙うこともありえます。これには、他社のネットワークへの分散型サービス拒否攻撃を開始するボットネットとして、またはより強固に保護されている大企業への入口として利用する形などが考えられます。例えば、悪名高い2013年のTarget攻撃は、全国展開する大規模小売業者のHVAC請負業者に対するメールベースのマルウェア攻撃として始まりました。ハッカーは、小規模で保護が手薄なHVAC企業のネットワークに侵入し、Targetのセキュリティ侵害に悪用するための資格情報を盗みだし、その結果、1億1000万人を超える消費者のクレジットカード情報と個人情報が公開されました。

また、より大きな標的に対する攻撃の巻き添えを食う形でサイバー攻撃に遭う可能性もあります。2017年の悪名高いNotPetya攻撃は、ウクライナの金融機関を標的としたものでしたが、感染したソフトウェアアップデートを使用していた世界の無数の他組織にも巻き添え被害をもたらしました。標的でなかった企業に対する被害も大きく、製薬大手Merckの損害額は8.7億ドルに上り、他の小規模な企業も多数が被害を受けました。

最近発生したSolarWindsへの攻撃も、広範なキャンペーンで組織が巻き添え被害を受けた例のひとつです。

必要な予防ツールをすべて用意しているのでそうしたシナリオは考えにくいとお考えですか？次の記事では、予防では十分でない理由について説明します。脅威の検出、調査と対応に加え、組織を既知の正常な状態に戻す必要があります。その上では、本当にSOCが必要なのです。