SOCの謎を解く (パート3): 気づかなくともあらゆる組織に存在するSOC

すでに説明したとおり、SOCのミッションとは、組織のインフラストラクチャを既知のクリーンな状態に保ち、安全に運用することにあります。現在では、どんな組織であれ、セキュリティ侵害を受けるのは時間の問題であることが認識されています。実際に侵害を受けた場合に、SOCは脅威の検出、調査と修復 (TDIR) を中心となって行い、組織を既知の正常な状態に可能な限り早期に戻します。

編集者注: この記事は最初にMedium.comで公開されました。

これまでの記事で、あらゆる組織 (御社を含め) にセキュリティオペレーションセンター (SOC) が必要な理由と予防だけでは十分でない理由について述べました。この記事では、気づかなくともあらゆる組織にSOCが存在している理由について説明します。辺りを見渡してセキュリティチームに誰もいないようなら、あなた自身がSOCなのです！

SOCの使命は組織を既知の正常な状態に保つこと

すでに説明したとおり、SOCのミッションとは、組織のインフラストラクチャを既知のクリーンな状態に保ち、安全に運用することにあります。現在では、どんな組織であれ、セキュリティ侵害を受けるのは時間の問題であることが認識されています。実際に侵害を受けた場合に、SOCは脅威の検出、調査と修復 (TDIR) を中心となって行い、組織を既知の正常な状態に可能な限り早期に戻します。

では、SOCは実際に日々何をしているのでしょうか？

• イベントとログを監視し、コンテキスト情報を使用して進行中の違反を検出します。
• 侵害が検出されると、影響範囲と根本原因を把握するための調査を行います。
• その後、IT部門と共同で侵害に対処し、組織を正常な状態に戻すための適切な措置を確実に講じ、完全にセキュリティホールが塞がれ、再発しないよう対応します。
• 社内のスタッフのリソースと専門知識ではインシデントを修復できない場合、SOCは外部のインシデント対応企業と協力し、外部の企業と組織との間で活動の調整を行うこともあります。
• より戦術的なレベルでは、関連する従業員すべてからのリクエストに対応し、法務部門からの影響を受けたファイルやデータ、これらにアクセスが可能だったユーザーに関する問い合わせに答えることも必要です。
• 最後に、SOCは経営陣に組織のセキュリティの状態、深刻なインシデント、事業に影響を及ぼしうるその他のセキュリティ関連の事象を報告します。

あなたにとってのSOC

SOCとはかつて、セキュリティアナリストのチームが物理的に一室や複数の部屋に集まって、画面を監視し、セキュリティ問題に共同で取り組む場所でした。リモートアクセス、バーチャルコラボレーションツールや新型コロナウイルス感染症の拡大でこの状況は一変し、今では、SOCチームを始めとする多くの従業員が在宅勤務し、Slack、Microsoft Teams、Instant Messengerなどのバーチャルコラボレーションツールで協業しています。また、SOCが必ずしも大人数のチームである必要もありません。

実際には、今日のSOCはもはや実体ではなく、概念のような存在となり、SOCに所属する人員の人数や物理的な拠点といった形での決まった要件はなくなりました。

セキュリティに関する多少の知識がある数人、あるいはセキュリティにちょっと詳しいパート社員がセキュリティ関連のあらゆる事項に対応している小さな会社であれば、その数人、またはその人がSOCなのです。自社のセキュリティチームに目を向けてもしあなたしかメンバーがいなければ、あなた自身がSOCなのです。

したがって、御社にもSOCは確かに存在します。ただ、御社ではSOCの効率性を適切な指標を使って測定し、追跡できているでしょうか？次のブログ記事では、このテーマを取り上げます。