セキュリティオペレーションセンター(SOC)は、組織の情報システムを守るための専門チームや施設です。SOCの役割は、セキュリティインシデントを発見し、対応し、解決することで、組織の情報を安全に保つことです。

本記事では、EDR運用に強みを持つおすすめのベンダーを紹介し、SOCサービスを選ぶ際のポイントや中小企業が注目すべき点について詳しく解説します。

SOCとは?

セキュリティオペレーションセンター(SOC)は、組織の情報システムを守るための専門チームや施設です。SOCの役割は、セキュリティインシデントを発見し、対応し、解決することで、組織の情報を安全に保つことです。

EDR運用の対応範囲で選ぼう!

おすすめベンダー2選

「センチネルワン」「サイバーリーズン」「クラウドストライク」のEDRライセンスを提供するベンダーの中から、SOC(運用サービス)に強みのある2つのベンダーをご紹介します。自社のリソースに応じて、どのベンダーが最適かを検討してみましょう。

株式会社アクト

24時間体制での監視・対応はもちろん、ホワイトリストやブラックリストの登録、感染影響の排除までを包括的に対応します。情シス担当者は作業完了の報告を受けるだけで済むため、自社にリソースが不足している企業に特におすすめです。

対応サービス一例

24時間365日の監視
危険度が高い場合の自動隔離
アラート内容の精査
⼀次調査+⼆次調査
(レポート含む)
ホワイトリスト/ブラックリスト登録
(能動的)
感染影響の排除
(マルウェア・不正ファイルの削除など)
(能動的)

導⼊できるEDR

  • センチネルワン
  • サイバーリーズン
詳しく見る

クロスポイントソリューション
株式会社

日々のアラートはアナリストが精査・分析し、その結果を通知します。情シス担当者は、その通知に従って指示やアドバイスを受けながら対応するだけで済みます。自社のリソースをある程度活用しながら運用を進めたい企業におすすめです。

対応サービス一例

24時間365日の監視
危険度が高い場合の自動隔離
アラート内容の精査
⼀次調査+⼆次調査
(レポート含む)
ホワイトリスト/ブラックリスト登録
(受動的)
感染影響の排除
(マルウェア・不正ファイルの削除など)
(推奨対応を提示)

導⼊できるEDR

  • サイバーリーズン
  • クラウドストライク
詳しく見る


Google検索で「EDR 導入」を調査し、ヒットした40社の中から「センチネルワン」「サイバーリーズン」「クラウドストライク」のいずれかのEDRライセンスを提供する企業を選びました。以下の理由で、2つのベンダーを選定しました(2023年2月15日時点の調査結果)

  1. 株式会社アクト

    国内で唯一、センチネルワンの公認IRパートナー(2023年2月時点)であり、SOC運用を全般的に任せられる企業です。(※1)

  2. クロスポイントソリューション株式会社

    セキュリティ運用・監視サービスを提供するメーカー認定を取得しており、「24時間365日の監視」「アラート内容の精査」「一次調査+二次調査」の能動的な対応が唯一可能な企業です。

1参照元:センチネルワン公式HP(https://jp.sentinelone.com/press/act-co-ltd-signs-an-incident-response-partner-agreement-with-sentinelone-the-first-company-based-in-japan/)

SOCサービスを選ぶ際のポイント

1
専門知識と経験

SOCサービスプロバイダは、最新の脅威、攻撃手法、防御戦略、およびベストプラクティスに関する広範で深いセキュリティの知識と経験を持っていることが重要です。

2
適応性

ビジネスや技術の環境は常に変化しています。SOCサービスプロバイダがこれらの変化に対応し、必要に応じてサービスを調整する能力を持っているかどうか確認しましょう。

3
応答時間

インシデントが大きな問題に発展するのを防ぐために、迅速な対応は不可欠です。プロバイダが問題にどれだけ迅速に対応するか、または24/7の監視を提供するかを確認してください。

4
コンプライアンスとレポート

組織が特定の規制要件を満たす必要がある場合、SOCサービスプロバイダはこれらの要件に準拠したサービスを提供し、適切なレポートとドキュメンテーションを提供できることが必要です。

5
費用対効果

企業の予算内で必要なセキュリティ対策を提供するサービスプロバイダを選びましょう。ただし、低価格だけを追求するのではなく、サービスの質と範囲も考慮することが重要です。

6
信頼性と評判

組織のセキュリティを任せるパートナーとして、信頼性と評判は重要な要素です。過去のクライアントからの評価や評判を調査し、参考にしてください。

7
BCP対策の有無

SOCがBCP(事業継続計画)に対応していることは、災害や大規模なサービス妨害が発生した場合でも、SOCの機能が継続され、企業がセキュリティ対策を続けられることを意味します。

これらのポイントを考慮し、組織のニーズに最適なSOCサービスプロバイダを選定しましょう!

セキュリティ人材が不足している
中小企業が注目すべきポイント

セキュリティ専門の人材がいない中小企業では、監視とアラートの提供だけでなく、インシデントに対する一次対応も含むサービスを選ぶことが重要です。これにより、担当者のセキュリティ業務の負担を減らし、対策の不足によるマルウェア感染を防ぐことができます。

SOCサービス一覧5選

監視から運用までがノンストップ
01
アクト

引用元HP:https://act1.co.jp/lp/edr_soc/

ハイコストパフォーマンスを実現

自社の国際資格取得者が対応
BCP対策として国内3都市に拠点を構築
アクトの公式サイトへ

アクトのSOCの特徴

1
セキュリティ人材が不足している中小企業でも安心
「監視から運用までの一貫体制」

SOCはアラートを出すだけではなく、その後の対応が重要です。対応が不十分だと、単なるアラート転送サービスに過ぎなくなってしまいます。
アクトのSOCサービスは、ホワイト/ブラックリストの登録や感染影響の排除まで対応します。これにより、企業は作業完了の報告を受けるだけで済むため、セキュリティ人材が不足している中小企業でも効果的にセキュリティを維持できます。

2
自社の国際資格取得者が対応

SOCサービスの中には、外部に依頼している場合もあり、万が一のインシデント時に対応や連絡が遅れることがあります。
しかし、アクトの場合は自社のエンジニアが対応します。SOCアナリスト区分のTier1からTier3に対応し、法律的な観点や攻撃者視点を持つCEH(認定ホワイトハッカー)やCISSPといった国際資格を取得したエキスパートが対応するため、安心して任せることができます。

3
3都市のSOC部隊による災害時の万全なフォロー体制

自然災害の混乱を狙ったサイバー攻撃が増加する中、サイバーセキュリティ業界でもBCP対策の重要性が高まっています。
アクトは札幌・東京・福岡の3都市にSOC部隊を配置しています。
これにより、特定のエリアが機能停止しても、他のエリアが継続して監視を行うことができ、災害時でも万全なフォロー体制を提供します。

アクトの会社情報

所在地東京都文京区小石川1-3-25 小石川大国ビル6階
お問い合わせお問い合わせ
アクトの公式サイトへ
エンドポイント脅威対策サービス
02
CylancePROTECT

引用元HP:https://www.nec-solutioninnovators.co.jp/press/20180703/index2.html

エンドポイントの管理から
セキュリティまでカバー

エンドポイント領域での脅威対策
運用負担軽減をサポート

NECソリューションイノベータ

エンドポイント脅威対策サービス with CylancePROTECTの特徴

1
エンドポイント領域での脅威対策

次世代エンドポイント対策製品「CylancePROTECT」とNECネッツエスアイのSOCサービスを組み合わせた「エンドポイント脅威対策サービス with CylancePROTECT」を提供しています。

2
運用負担軽減をサポート

セキュリティオペレーションセンター(SOC)が検知・防御アラートを監視し、脅威の深刻度を通知します。24時間365日のセキュリティ監視と運用サービスにより、運用負担を軽減します。

NECソリューションイノベータの会社情報

所在地東京都江東区新木場一丁目18番7号
電話番号03-5534-2222
03
NetStare(ネットステア)

引用元HP:https://www.secuavail.com/solution/soc.html

監視から保守ベンダーとの調整まで対応

24時間365日体制でネットワークを監視
監視に加えて改善提案も実施

株式会社セキュアヴェイル

NetStare(ネットステア)の特徴

1
24時間365日体制でネットワークを監視

専門のセキュリティオペレーターとアナリストが、24時間365日体制で依頼企業のネットワークインフラを監視し、不正アクセスや情報漏えいを検出します。機器の障害や故障が発生した際には、保守ベンダーとの調整も代行します。

2
監視に加えて改善提案も実施

SOCとNOC(ネットワークオペレーションセンター)を融合させた専門サービスであり、監視業務に加えてログ分析レポートの作成やセキュリティポリシーの改善提案も行います。専用Webポータルを通じて、ステータスなどをいつでも確認することができます。

株式会社セキュアヴェイルの会社情報

所在地大阪府大阪市北区東天満1-1-19 アーバンエース東天満ビル
電話番号06-6136-0020
04
TechMatrix Premium Support powered by TRINITY

引用元HP:https://www.techmatrix.co.jp/t/nwsec/tps/overview.html

知識と経験を集約した総合監視

機器運用と総合監視を組み合わせた総合サービス
専任担当者がインシデント対応を実施

テクマトリックス株式会社

TechMatrix Premium Support powered by TRINITYの特徴

1
機器運用と総合監視を組み合わせた総合サービス

長年の知識と経験を基に、従来のサービスをさらに進化させました。機器運用サービスとセキュリティ統合監視サービスを統合し、包括的なセキュリティ監視サービスを提供しています。

2
専任担当者がインシデント対応を実施

独自に開発した先進的な脅威シナリオに基づいて相関分析ルールを作成し、専任のセキュリティアナリストがインシデント対応を実施します。これにより、脅威や異常を迅速に検出し、早期対応に貢献します。

テクマトリックス株式会社の会社情報

所在地東京都港区港南1-2-70 品川シーズンテラス 24F
電話番号03-4405-7800
05
富士ソフトのSOC

引用元HP:https://www.fsi.co.jp/project/s/soc.html

AIによる監視と専門技術者の分析で
効率的にサポート

無駄を排除し、重要な問題のみを報告
推奨される対処方法も提供

富士ソフト株式会社

富士ソフトのSOCの特徴

1
無駄を排除し、重要な問題のみを報告

まず、AIが対象を監視し、潜在的な脅威を絞り込んでリスト化します。その後、セキュリティアナリストがリストを精査し、対応が必要なインシデントのみを通知します。

2
推奨される対処方法も提供

脅威の報告だけでなく、豊富な知識を持つアナリストが一般的な対処方法を併せて提供します。これにより、迅速な初動対応が可能となります。

富士ソフト株式会社の会社情報

所在地神奈川県横浜市中区桜木町1-1
電話番号045-650-8811

SOCが持つ機能とは?

  1. 脅威検出と分析

    SOCチームは定期的にネットワークトラフィックを監視し、異常や不審な行動を特定します。検出した行動や活動を脅威として識別し、その起源や目的を分析します。

  2. インシデント対応

    SOCは潜在的な脅威が発生した場合に備えて、対応プロセスを確立します。これには、脅威の隔離、影響の最小化、システムの回復、将来の脅威を防ぐための予防策の開発が含まれます。

  3. コンプライアンスとレポート

    SOCは組織が適用される規制や法律に準拠していることを確認します。また、セキュリティの状態やインシデントの詳細についてのレポートを作成し、組織全体に共有します。

  4. セキュリティの意識向上

    SOCは組織全体のセキュリティ意識を高めるために、教育やトレーニングを提供します。これは、セキュリティの重要性を理解し、リスクを減少させるための重要な活動です。

SOCは組織にとって重要な役割を果たし、情報セキュリティを確保する上で中心的な存在です。インフラストラクチャの監視、脅威インテリジェンスの収集、インシデントの迅速な対応、およびセキュリティリスクの低減を通じて、組織は情報資産を保護し、ビジネスの継続性を確保することができます。

SOCで検知されるサイバー攻撃

SOCは、さまざまな種類のサイバー攻撃を検出する能力を持っています。以下にその一部を紹介します。

  1. マルウェア攻撃

    マルウェアは、ウイルスやワーム、トロイの木馬など、さまざまな形態でシステムに侵入します。SOCは、マルウェアの特徴を分析し、異常なネットワーク活動を監視することで、これらの侵入を検出します。

    関連記事
    マルウェアとは?種類、感染経路、被害事例、対策を徹底解説!
  2. フィッシング攻撃

    フィッシング攻撃は、偽のメールやウェブサイトを利用してユーザーから情報を騙し取る詐欺行為です。SOCは、これらの攻撃を検出するためにメールフィルターやウェブフィルターを活用します。

  3. DDoS攻撃

    分散型サービス拒否(DDoS)攻撃は、大量のトラフィックをネットワークリソースに送り込み、サービスを妨害する攻撃です。SOCは、異常なトラフィックの増加を検知し、攻撃の発信源を特定します。

  4. 内部者の脅威

    従業員や関係者による内部からの不正行為も、企業にとって重大な問題です。SOCは、ユーザー行動分析(UBA)ツールを用いて、不審な行動を監視し検出します。

  5. エクスプロイト

    システムの脆弱性を利用する攻撃はエクスプロイトと呼ばれます。SOCは、侵入検知システム(IDS)や侵入防止システム(IPS)を用いてエクスプロイトの検出と防御を行います。

これらの攻撃の検知を通じて、SOCは組織の情報資産を保護し、セキュリティリスクを最小限に抑えることができます。

SOCは他の技術と組み合わせることで真価を発揮する

SOCは通常、EDR(Endpoint Detection and Response)などの技術と組み合わせて使用することで、その効果を最大限に発揮します。

EDRの役割

1
検出段階

EDRはエンドポイント(例えば、ユーザーのコンピューターやサーバー)に対する不審な活動や異常な行動を特定します。

2
調査段階

EDRは、セキュリティチームがインシデントの原因を理解するために必要な情報を提供します。これには、攻撃の起源や経路、影響範囲の特定が含まれます。

3
対応段階

EDRは脅威を隔離し、システムをクリーンアップし、必要に応じて対策を施すためのツールを提供します。

SOCとEDRの連携

1
情報の活用

SOCは、EDRツールから得られる詳細な情報を活用して、組織全体のセキュリティ状況を監視し、理解します。これにより、より迅速かつ効果的な対応が可能になります。

2
セキュリティポスチャの強化

SOCとEDRの組み合わせにより、エンドポイントからの脅威検出と全体的なセキュリティ管理が統合され、組織のセキュリティポスチャが強化されます。

3
脅威からの保護の改善

これにより、組織は多層的な防御を構築でき、脅威からの保護が大幅に改善されます。

SOCとEDRの組み合わせは、個別の技術よりもはるかに効果的です。この協力により、組織は脅威に対してより強力な防御を提供し、セキュリティインシデントへの対応力を向上させることができます。

関連記事
【徹底比較】EDR技術比較:エンドポイント保護でサイバーセキュリティを強化

SOCと比較されやすいCSIRTとの違いとは?

内容SOC
(セキュリティオペレーションセンター)		CSIRT
(コンピュータセキュリティインシデント対応チーム)
役割24時間365日の監視を提供し、組織のネットワークとシステムを監視して脅威を特定し、インシデントを予防することです。主にインシデントが発生した際の対応、管理、解決を担当します。
目標主に予防的なアプローチで、脅威が組織の情報システムに影響を与えるのを防ぐことに重点を置きます。攻撃の影響を最小限に抑え、事後分析を行い、将来の同様のインシデントを防ぐための改善策を提案することです。
活動内容リアルタイムの監視、異常行動の検知、脅威インテリジェンスの活用、時にはインシデント対応も行います。インシデント発生時に攻撃の影響を最小限に抑え、事後分析を行い、将来の同様のインシデントを防ぐための改善策を提案します。
両者の違い主に予防的・監視的な役割を果たし、リアルタイムの脅威検出とインシデント予防に重点を置きます。主に対応的・リアクティブな役割を果たし、インシデント発生後の対応と被害の最小化、事後分析を行います。

SOCとCSIRTはどちらも組織の情報セキュリティを強化するために不可欠な要素です。両者が連携して動作することで、予防と対応の両面から組織のセキュリティ体制を強化します。

まとめ

SOCは、組織の情報セキュリティを強化する上で欠かせない存在です。特に、セキュリティ専門の人材が不足している中小企業にとっては、監視とアラートだけでなく、インシデント対応までを含む包括的なサービスが重要です。また、SOCとEDRの連携により、組織全体のセキュリティ状況を監視し、迅速かつ効果的な対応が可能になります。SOCとCSIRTの違いを理解し、両者を連携させることで、予防と対応の両面からセキュリティ体制を強化し、組織の情報資産を保護することができます。

Post Views: 388