サービス

SOC構築支援

近年、発見的統制の高度化の一環として、SOC(セキュリティオペレーションセンター)の構築を検討する組織が増えています。標的型攻撃への対応は一般的に難しいとされており、視点を切り替え、迅速に攻撃を検知する仕組み、すなわち発見的統制の高度化が重要となってきています。

SOC構築による発見的統制の高度化

近年、発見的統制の高度化の一環として、セキュリティオペレーションセンター(以下、「SOC」という)の構築を検討する組織が増えています。

SOCの役割は、自組織における各種デバイス上のログなどを基に、セキュリティ関連のイベントを監視し、不正または不審な挙動を早期に検知・対処することです。SOCによる専門的な監視体制によって、インシデント対応にかかる時間短縮と早期発見による被害低減が期待できます。

SOC運用の中核を担うIT基盤としては、SIEM製品が最重要となります。SIEMとは、Security Information and Event Managementの略であり、様々なデバイスのログ情報を収集・分析し、不正なセキュリティイベントの監視を行うことを可能にします。

中でも、複数のデバイスのログ情報を相関的に突き合わせ、より具体的なセキュリティイベントとしての分析を可能にする「相関分析機能」が大きな特徴です。

この相関分析は、外部からの攻撃だけでなく、組織内部の従業員による機密情報の持出しの検知にも非常に有効であるといえます。

 

相関分析(例)

・例1:外部攻撃
 不正な外部サイト(C&Cサーバ など)とのWeb通信の分析
  必要となるログ
 - 外部ブラックリスト(IPアドレス)
 - Proxyサーバのアクセスログ など

・例2:内部不正
 クレジットカード情報の不正持出しの監視
  必要となるログ
  - ファイルサーバ(または顧客管理システム)上の操作ログ
  - メールサーバ上の送信ログ など
 

SOC(セキュリティオペレーションセンター)の組織・基盤のイメージ

SOC構築・展開の進め方

一般的に、SOCの構築・展開に際しては、次のような課題に直面しやすい傾向にあります。

1.監視スコープが不明確
 自社を取り巻くリスクは様々であり、当面の監視対象は決定したものの、
 最終的に、どのような順序でどこまで網羅すればよいか不明である。

2.実現イメージが不明確
 最低限必要となるSOCの業務・体制等を整理したものの、最終的に、
 どのような業務・体制等が必要となるか不明である。

3.製品選定が不適切
 導入したSIEM製品の機能・性能・拡張性が不十分で、SOCの展開が困難である。

このような課題に直面しないためには、本格的な構築を開始する前に、構想立案を行い、短期的・中期的な監視範囲や監視方針、予算等を明確にしておくことが重要です。

一般的なSOC構築・展開の進め方

SOC構想立案のポイント

上述のとおり、本格的な構築フェーズを開始する前の構想立案は特に重要です。
最後に、構想立案フェーズで、特に重要な取組みである「リスクアセスメント」「基本方針・構想計画の策定」を紹介します。

1.リスクアセスメント
多くの組織にとって、標的型攻撃は緊急度の高い課題です。
ただし、組織を取り巻くセキュリティリスクは様々存在します。
外部公開システムへのサービス不能攻撃、不正なデータ改ざん、特権ユーザIDの不正利用、委託先の担当者による不正アクセスなど、標的型サイバー攻撃以外の手法による外部攻撃や組織内部に起因するセキュリティリスクなど、その種類は多岐に及びます。

一度に全てのリスクを監視対象とするのは時間・コスト面を考慮しても現実的に困難です。そのため、リスクアセスメントで優先度を明確にすることが重要です。
まず、発生し得るリスクのパターンを体系的に整理し、リスクシナリオを洗い出します。
そして、それらの評価によって監視対象の優先度を順位付けすることで、より投資対効果の高い監視を実現することが可能となります。


2.基本方針・構想計画の策定
SOC構築・展開に関する論点を明確にし、基本方針を定めておくことも重要となります。
検討が必要となる論点は様々ですが、例えば、「監視対象とすべき組織・事業」という論点であれば、監視対象とする組織・事業をどこまで網羅するか、国内・海外の関係会社の位置付けはどうするか等を明確にしておくことが重要となります。

最終的には、個々の基本方針を踏まえて、中期的な展開も含めた実施計画を策定することが望ましいといえます。
その中で、短期的・中長期的なSOCの実現イメージ、および投資計画等を明確にした構想計画を策定しておくことで、SOCの構築・展開が失敗するリスクをより低減することが期待されます。
 

SOCに関する主要なテーマ・論点

SOC構築支援ブロウシュア

デロイトは、グローバルレベルでの長年の経験に基づく独自の方法論を活用し、企業のSOC構築を支援します。

デロイトの方法論は、ビジネス視点とリスクアプローチに重点を置き、優先度の高いリスクを考慮した上で、監視 対象やSOC機能を特定し、企業にとって最適なセキュリティ監視体制を早期に実現します。

そのコアエンジンと して、SIEM(Security Information and Event Management)ソリューションを最大限に活用し、企業を取り巻く 様々なリスクに対処するために、最適な監視体制を実現します。

(1,3MB, PDF)
サイバーリスクサービスについて、詳しくは以下のメニューからお進みください

サイバーリスクサービスTOP

サイバーセキュリティマネジメントサービス 一覧

プライバシー・個人情報保護サービス 一覧

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。

 

>> オンラインフォームよりお問い合わせを行う <<