サービスとしてのセキュリティ オペレーションセンター(SOC as a Service, SOCaaS)は、サイバーセキュリティ企業が提供するサービスで、通常は顧客のセキュリティ オペレーションセンター(SOC)に代わる役割を全体的に果たします。人材不足、新興企業や中小企業でネットワークの安全性確保のためのリソースがないなど、特定の事情がある場合に、SOCaaSは組織の戦術的なコンソールとして機能し、セキュリティアラートの追跡、サイバー攻撃からの防御、全体的なセキュリティ態勢の改善などを行うことができます。
IDCでは、組織がSIEM、脆弱性管理、エンドポイントセキュリティ、その他の検知・対応ツールなど、一連のセキュリティ機能をSOCチームにアウトソースできるとしています。また、サービスメニュー全体を契約することもできます。ただし、クラウドサービスとしての提供のため、操作はオフサイトで行われ、クラウドでホストされます。SOCaaSプロバイダーは、顧客に代わって以下のような業務を行います:
これを念頭に、企業やセキュリティ組織が現在のセキュリティ プログラムを徹底的に分析し、その長所と短所、およびこれまで対処していなかった実践分野を特定することも重要になります。こうすることで、SOCaaSベンダー探しの焦点を自社固有の基準に絞り込むことができます。
セキュリティ上の懸念がある特定の分野をサービスプロバイダーにアウトソースすることの最大の利点はおそらく、顧客がその分野について心配する必要がなくなることでしょう。SoCaaSには上述のように多くの分野が含まれますので、その具体的なメリットをいくつか紹介します。
異常検出時のチームの対応が遅い場合、優先順位の問題から、メンバーがそれぞれ別の方向に取り組まねばならないことが原因の可能性があります。SOCaaSプロバイダーは、サイバー脅威や脆弱性に対応し、これらを停止または修復する専門のアナリストを派遣します。社内SOCの場合、状況の変化に伴うコンテキストの迅速な切り替えによりリアルタイムでの作業が困難になる可能性もありますが、検知、対応、修復のみを専門とするチームであれば、より迅速に行動できるようになります。
SOCアナリストは、あらゆる専門分野をカバーし、お客様に代わって迅速に対応することができる必要があります。 SOCaaSベンダーは、エンドポイントの封じ込め、 脅威ハンティング、マルウェアの分析と封じ込め、分散型アラートとエスカレーションの経路などに対処できるアナリストへのアクセスを提供できる必要があります。 SOCの人材、テクノロジー、経路を理解することは、信頼できるベンダーを探すのに役立ちます。
顧客セキュリティプログラムの進化が加速するメリットを過小評価することはできません。SOCは日々、多くの脅威に直面しています。セキュリティプログラムの未熟さに対処するための予算を確保することは素晴らしいことですが、社内に戦略的な人材獲得計画がない場合は、適切なSOCaaSパートナー探しに重点を移す方がより効率的な解決策となる可能性があります。
人材獲得に関して言えば、SOCをゼロから構築するには、マネージドサービスパートナーとの契約よりも多くの追加コストがかかる可能性があります。適切なテクノロジーと人材の調達には初期費用がかかるのは明白ですが、そうした人材と運用プロセスを導入した後に離職が発生するという懸念もあります。SOCアナリストの約71%が、特にアナリストが合計で7人程度しかおらず、企業のセキュリティ分野の重圧を背負うような状況で、仕事での燃え尽き感を覚えていると述べています。
企業や小規模のセキュリティ組織がSOCaaSベンダー探しを始めることを決めた場合でも、導入予定のSOCに含まれるアナリストとスタッフの役割と責任を理解しておくことが重要です。自社の環境と評判を保護する役割を担ってくれるチームですので、これは欠かせないプロセスです。
SOCを監督し、数名からなるセキュリティチームの直接管理を担当する役割です。SOCマネージャーの役割には、全社的なセキュリティ戦略の策定、具体的には人材採用、プロセスの構築、テクノロジースタックの開発に関するビジョンの作成が含まれます。技術的な指導と管理上の監督の両方が可能な人材が適任です。
プロバイダーのSOCアナリストが対応し、警告を発し、トリアージを行います。この調査中に、パッチと修復キューのどこに脅威を配置すべきかを決定します。社内のセキュリティ組織にとっては、警告の作成にはかなりの時間がかかる場合がありますが、外部のチームがトリアージプロセスを管理・自動化することで、社内チームの日常的な負担を大幅に軽減できます。
この種のアナリストは、通常、ティア1のアナリストからの警告を処理します。このユーザーのキューに入った警告は本物であると判断されたもののため、対応のための優先順位付けが必要となります。警告の詳細な調査、影響を受けるシステムの特定、対応や修復計画の作成を担う役割です。
プロセスのこの段階でハンティングが始まります。インシデントがより深刻な性質のものであると判断された場合、脅威ハンターは、攻撃者や脅威がどのようにして初期のセキュリティチェックを通過できたかを調べる。脅威ハンティングにより、セキュリティアナリストは顧客のネットワーク、エンドポイント、セキュリティテクノロジーを積極的に精査し、まだ検知されていない脅威や攻撃者を捜すことができます。
アーキテクトは通常、セキュリティアーキテクチャの構築、セキュリティシステムのエンジニアリングと実装を担当します。また、作成するアーキテクチャとシステムの要件、手順、プロトコルを文書化する役割も果たします。さらに、SOCaaSクライアントに代わり、主要な規制要件やコンプライアンス要件について検討します。
SOCは企業のサイバーセキュリティ業務のコントロールセンターであるため、その業務には複雑なものがあり、自動化されているものもあれば、人間の手作業が必要なものもあります。適切な外部パートナーを探している顧客組織は、そうした業務の一部か全部を外部委託しようとしています。企業がデジタル面での信頼を外部チームの手に委ねることを決定する際に、SoCaaSに関して発生する課題をいくつか見てみましょう。
SOCaaSプロバイダーの採用決定に続き、脆弱なフェーズが発生します。ここでは、プロバイダーは新しいクライアントの環境内で動作するよう技術スタックを構成する必要があり、クライアントは新しいプロバイダーによる監視プロトコルの展開に備えてネットワークを準備する必要があります。立ち上げ期間の次の段階では、洞察を収集し、それに基づいて対応するためのテンプレートのテストと実装が行われます。
顧客のネットワークの保護に加えて、SOCaaSプロバイダー側でのデータの安全性の確保もまた重要です。このため、顧客側で調査を行い、すべての顧客の企業データを保護するために独自の防御を強化しているプロバイダーを探すようにしましょう。これは本質的にサプライチェーンとしての問題となるため、そうしたアプローチにまつわるあらゆる考慮事項を考慮して対処する必要があります。
顧客としてプロバイダーのオペレーションへの完全なアクセスと自律性を求めると、コストが高くつく可能性があります。情報自体は技術的には顧客ネットワークによって生成されたものであっても、SOCaaSプロバイダーが行うオペレーションと対応はプロバイダーに属するものです。これを考慮すると、ログデータへの完全なアクセスの取得がセキュリティ組織にとって割高になる理由は明らかです。
考慮すべき事項として最も重要となるのが、規制基準と、セキュリティ組織の業務を外部委託する際のコンプライアンスの維持です。コンプライアンス維持のためには、社内外でのコミュニケーションと報告が主に重要となり、企業の経営陣は、特定の規制機関に対して良好なコンプライアンス状況を伝えるために継続的な報告を行う必要があります。導入候補のSOCaaSプロバイダーがコンプライアンスに対応しているのか、それともサードパーティのプロバイダーに業務を委託しているのかを確認しておくようにしましょう。
Rapid7のマネージドSOCサービスについてさらに詳しく