これまで本コラムでは、ひとくちにSOCと言っても大きく3つの類型に分けられることや、運用にあたってIDS/IPSやWAFなどのシグネチャ（攻撃を検知するための定義ファイル）をどこまでオンにするかSOCサービス提供企業によって姿勢がかなり異なることなどを解説しました。

 今回は、SOCサービス提供企業でもある当社が、SOCサービス契約時にお客様からよくいただく質問についてふれたいと思います。サービス選びの参考になるかもしれません。

１．カスタムシグネチャの有無

 メーカーシグネチャだけではカバーできない攻撃があるため、SOCサービス事業者の多くがカスタムシグネチャを作成しています。当社ではカスタムシグネチャを緊急性が高い脆弱性が公表され、メーカーシグネチャが提供されるまでの補完として適用する場合とメーカーシグネチャよりも精度の高い検知が必要な場合に適用していますが、企業によって目的が異なります。

２．第一報連絡までの所要時間

 重大インシデントの可能性がある攻撃が検知された場合、連絡が何分以内になされるかは、ほとんどのSOCサービスで15分以内が標準的時間かと思います。当社では危険度や影響範囲など第一報の報告で完結するよう、内容の精度を上げるかわりに、ご連絡を30分以内と設定しています。

３．監視対象のデバイス数や契約企業名

 もっとも質問を受けるのがこの項目ですが、契約中のお客様との秘密保持契約があるため、残念ながらお答えすることはできません。

４．機器のバージョンアップ対応の有無

 IDS/IPSやWAFなどのバージョンアップ対応をどこまでやってくれるのかも気になる点です。シグネチャの自動アップデートのみなど、企業によって差がある部分のひとつです。

５．月次レポートのサンプル

 下記が当社SOCの月次レポートの掲載項目です。

 グラフなどで視覚的に見せるかどうかなどの違いはありますが、レポートに本質的な差はないと言っていいでしょう。あとは自社にとって見やすいかどうか、欲しい情報が載っているかどうかになります。当社では、お客様によって月次レポートをもとに社内報告をするため、エグゼクティブサマリを要望いただくことがあります。

 最後に、いざSOCの運用が開始すると、たとえ最初に考えていたイメージと違っていても後から変えることは難しくなります。SOCに期待することは会社毎に異なります。あくまで上記は代表的な5つの質問であり、少しでも疑問があれば納得いくまでとことん質問をすることをお勧めします。