発展段階別、SOCの3分類

 当社コンサルタントとエンジニアが、企業・組織の管理者の方へ向けて新しいサイバーセキュリティ動向をわかりやすく解説します。

title1

 攻撃の早期検知と対処を目的に、システムおよびネットワークを監視するSOC(ソック、Security Operation Center)を構築・運用する企業が増えています。


 しかし、ひとくちにSOCと言っても、その内容は若干異なります。業界で決定された基準があるわけではありませんが、SOCは発展段階別に大きく下記3つの類型に分けることができます。サービス利用時の参考としていただければ幸いです。


1. 従来型 SOC~攻撃検知から遮断

 まず最初に挙げられるのがIDS(Intrusion Detection System、不正侵入検知システム)と、IPS(Intrusion Prevention System、不正侵入防御システム)をベースに侵入を検知して、対策を行うSOCサービスです。後出の次世代SOCなどと比較して「従来型SOC」などとも呼ばれる通り、さまざまな機能や運用ノウハウは、ここから現在のSOCへと引き継がれています。


2. 進化型SOC ~WAFと Sandbox への対応

 では、SOC サービスはどこから「従来型」と呼ばれなくなるのでしょう。これも明確な基準は存在しませんが、業界やユーザー企業の間では、アプリケーションレイヤを監視する「WAF(Webアプリケーションファイアウォール)」と、IDS/IPSと違って既存のパターンファイルにない攻撃を検知することができる「Sandbox 製品」のふたつの取り扱いがラインナップにあれば、進化したSOCであると見なされるようです。現在のSOC事業者のほとんどは進化型SOCに属すると思われます。


3. 次世代型SOC~SIEM の導入

 本稿執筆時点で、SOC の最も進んだ形態とみなされているのが、主に企業内のネットワークを分析する監視・検知システム「SIEM(シーム、Security Information and Event Management)」を用いた統合ログ管理・監視体制を構築しているSOCです。SIEMを導入したSOCが「SOC 2.0」「次世代 SOC」などと呼ばれていることは以前本欄でご紹介した通りです。


なぜCSIRTやSOCはSIEMを導入するのか(MBSDサイバーレポート)


 こうした発展の次の形態として近年、企業内でSOC運営を内製する「PSOC(Private SOC)」の構築の動きも本格化してきました。これについてはまた別の機会に解説したいと思います。


発展段階別類型 主な違い 特徴
従来型SOC IDS/IPSをベースに検知・対策 数千件程度の攻撃パターンを検知し、一部の攻撃は遮断も可能
進化型SOC WAFとSandboxを取り扱い アプリケーションレイヤの監視の他、既存のパターンファイルにない攻撃を検知、遮断が可能
次世代型SOC SIEMによる分析と検知 相関分析を行い、数十万件の攻撃パターンを検知可能


【関連情報】
セキュリティ監視
WAF監視
統合ログ監視

ページトップにページトップへ


  • セキュリティインサイト
  • メディア掲載
  • 導入実績
  • お問い合わせ
  • 採用情報
  • MBSD SIRT
  • MBSD Blog

所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ

所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172