攻撃の検知と対処を目的として、社内ネットワークとシステムを監視するSOC(ソック、Security Operation Center)の構築・運用が珍しくなくなってきました。

 前回のコラムでは、IDS/IPS中心の「従来型」、WAFやSandboxに対応する「進化型」、SIEMを導入する「次世代型」というSOCの三類型についてご説明しました。今回は、セキュリティ業界内でいくつかに分かれている「検知精度」のお話をしようと思います。

 前回定義したような、一定規模の技術者を擁し、攻撃検知時のアラートの送信や、月一回の報告書提出を行うなどのSOCサービスを提供する企業は、現在国内に約50社程度存在すると推測されます。

 このうち数社は、IDS/IPSやWAFなどのセキュリティデバイスが持つ、攻撃を検知するための定義ファイル（シグネチャ）をほとんどすべてオンにして運用していると思われます。たとえばIDS/IPS、WAFのシグネチャは数千から数万くらいあるのですが、国内の数社のSOCサービスはシグネチャのほとんどをオンにして監視していると推定(※)されます。

 一方で、残りのSOCサービス提供企業は、定義ファイルのうち、危険度の高いものだけをオンにして監視を行っていると推定(※)されます。これは、攻撃を検知してクライアント企業に報告するためだけであれば、数十から数百のシグネチャで充分だからです。

 では、なぜ数社のSOCは、他と比べて何倍ものシグネチャをオンにして監視しているのでしょうか。

 実は、サイバー攻撃のほとんどは一度の攻撃で成功することはまずありません。偵察や情報収集が行われてから、本番の攻撃が行われるという、一連の流れが存在します。

 数十から数百のシグネチャでは、本番の攻撃が行われたことを検知しますが、一方ですべてのシグネチャをオンにして監視していれば、偵察や情報収集、攻撃実行までの一連の流れを知ることができますから、攻撃の経緯や次にどんな攻撃が来るのか、どんな目的があるのか、などの攻撃被害の調査や対策に必要な情報を収集する可能性が高まります。

 こうしたSOCの検知精度の違いは、サイバー攻撃によるリスクが企業によって異なるために生まれています。

註：SOCスタッフの人数や運用ポリシーなどによる当社推定