近年、企業のネットワーク機器やシステムなどのセキュリティを向上させる手段として、CSIRTやSOCを運用する企業が増えつつあります。
では、なぜCSIRTやSOCを立ち上げる必要があるのでしょうか、その背景や理由について解説します。
【総合受付窓口】
大塚商会 インサイドビジネスセンター
0120-579-215 (平日 9:00~17:30)
企業のセキュリティ対策組織CSIRTとSOCの違いや役割とは
情報技術の進歩に伴い、不正アクセスをはじめとするサイバー攻撃の手法は多様化しています。
そこで、サイバー攻撃によるインシデントを予防、回避する対策として、セキュリティ対策を専門とするCSIRTやSOCといった組織を自社内に設置する企業が増えつつあります。
この記事では、セキュリティ対策におけるCSIRTとSOCの違いや、それぞれの主な役割、導入のメリット/デメリットなどを解説します。構築のポイントを把握して設置すれば、導入直後から情報漏えいのリスクを回避できる効果も期待できます。
なぜ今CSIRTやSOCを立ち上げる必要があるのか
セキュリティ対策組織が必要な理由とは?
新型コロナウイルス感染症の影響により、社会のデジタル化は急速に進みました。インターネットに接続する機器の種類が増え、システムや利用形態が多様化するに伴い、サイバー攻撃のツールも急速に進化し、攻撃も巧妙化しています。
実際に、情報処理推進機構(IPA)が毎年公表している情報セキュリティ10大脅威の2023年版では、組織に対する脅威として、1位が「ランサムウェアによる被害」、2位に「サプライチェーンの弱点を悪用した攻撃」が挙げられており、組織におけるセキュリティ対策は喫緊の課題と言えます。
さらに、2022年4月1日に施行された改正個人情報保護法では、個人情報を取り扱う事業者は、個人の権利権益の保護、情報漏えいが発覚した場合には個人情報保護委員会および本人への報告、通知などが義務付けられました。2023年4月1日からは、事業者だけでなく行政機関等も対象となりました。
このような背景により、多くの企業はサイバー攻撃の兆候を早い段階で発見し、攻撃された場合に備えて、適切な対策をとる仕組みづくりを進めています。
CSIRTとSOCの違い
サイバーセキュリティ対策のための組織には、「CSIRT」と「SOC」の二つがあります。それぞれの違いについて説明します。
CSIRT(シーサート)
CSIRTとは「Computer Security Incident Response Team」の略で、セキュリティインシデントが発生した際に、適切な対応を実施する組織のことです。CSIRTは平常時も、インシデント防止のための情報収集や対策の導入、社員教育などの業務を行っています。そして、自社内で問題が発生したときには、システムの停止、復旧対応、原因究明、再発防止などを担当します。CSIRTはインシデントが発生した場合の対応を重視しており、セキュリティ部門の司令塔として活躍します。
また、解決策について、ほかのCSIRTのメンバーと情報共有を行うなど、メイン業務への影響を最小限にとどめることもその主な役割です。
SOC(ソック)
SOCとは「Security Operation Center」の略です。社内のセキュリティ専門部署として、ネットワークの通信や機器を監視して、社内のネットワークや組織を守っています。また、CSIRTから受けた分析依頼にもとづいて、データ解析やログ分析なども行います。SOCは対応を重視したCSIRTとは異なり、インシデントの検知が重要な業務です。
CSIRTを組織内に導入するには
インシデントの予防および早期対応など、CSIRTはさまざまなセキュリティ対策を担当する組織です。自社内でCSIRTの導入を検討する前に、まずは主な役割や種類、業務内容を把握しましょう。
CSIRTの種類・体系
CSIRTの種類には、以下のようなものがあります。
Vendor Team
社外から自社製品の脆弱性に関する情報を集める対応窓口として運用されます。収集した情報は社内で共有し、システムの改良やインシデント対応などに用いられます。
Internal CSIRT
自社内もしくはクライアントに関するインシデントに対応します。CSIRTの中でもポピュラーな手法の一つで、自社の従業員がCSIRT対応スタッフを務めることが特徴です。
National CSIRT
国や地域全体が関わるインシデントに対応します。国内外の窓口の代表として、海外のCSIRTや政府機関、企業などと連携して業務を行います。日本ではJPCERT/CCなどがこれに当たります。
Incident Response Provider
CSIRTの設置を困難とする企業が、外部組織に対応を依頼する依頼先を「Incident Response Provider」と呼びます。CSIRTの外部委託というイメージで、セキュリティベンダーやセキュリティ事業者が、顧客企業に代わってCSIRTの役割を果たします。
Coordination Center
国家間や企業間など、複数のCSIRTで情報共有を進める調整を行います。日本国内ではJPCERT/CCが該当する組織で、アメリカにあるインターネットセキュリティの研究・開発研究機関CERT/CCなど、海外のCSIRTとも連携して対応します。
Analysis Center
脆弱性やサイバー攻撃の脅威に関する最新情報を調査、分析するCSIRTです。セキュリティ機器のログやレポートなどの情報は、Analysis Centerを通して他のCSIRTに共有されます。
CSIRTの役割と主な仕事内容
CSIRTは、問題が発生した際に自社や他のCSIRTと情報を共有し、リスクを最小限に抑えられるようにマネジメントします。
日本シーサート協議会が公開している「CSIRTスタータキット」によると、一般的なCSIRTのサービス内容は「インシデント事後対応業務」「インシデント事前対応業務」「セキュリティ品質向上業務」の3種類に大きく分類されています。
インシデント事後対応業務
端末の情報分析やサイバー攻撃に用いられたファイル解析など、問題発生後の被害軽減、復旧を目的とした業務です。インシデントの検知や、インシデントかどうかの判断と優先順位付けを行うトリアージ、対応、レポーティング、再発防止策の検討まで行います。
インシデント事前対応業務
インシデントの回避、予防を主な目的として、流行しているウイルスなどセキュリティ関連情報の提供、脆弱(ぜいじゃく)性情報のハンドリング、セキュリティ監査やツールの管理、開発などを行う業務です。
セキュリティ品質向上業務
リスク評価分析や従業員へのセキュリティ教育など、インシデントの発生リスク低減を目的とした、セキュリティ品質の向上を目的とする業務です。
CSIRTに必要な人材
CSIRTの運用には、人材の選定も重要です。
CSIRTに必要な人材としては「フルスタック、フルレイヤの経験や知見がある者」「ストレス耐性や交渉能力がある者」などが挙げられます。これは、セキュリティ技術者としてだけではなく、インシデントをマネジメントする役割としても必要なスキルです。
しかし、すべてのメンバーにこのような条件を求めるのは、現実的には困難です。その場合は、専門性が高いコンピュータフォレンジック調査や、コストの集約効果が高い監視業務などはアウトソーシングを行い、最小限の人員で運用を開始する方法もあります。
CSIRT導入のメリット
CSIRTを設置すれば、インシデントの対応窓口や情報管理などの業務もまとめて対応できます。インシデントに関する情報が確実に把握できれば、対処法も見つかりやすくなります。セキュリティの更新や適切なインシデントレスポンスを実践するため、生産性低下や企業の信用低下といったリスクを軽減できるでしょう。
インシデントの早期発見や予防、原因究明などを効率的に行える体制を構築することで、被害に遭っても影響を最小限にとどめられます。
CSIRTがあれば、インシデントに関する情報発信や、社内外との連絡といった業務も自社内で対応可能です。また、他のCSIRTと連携して、他社の対応を参考にしたり、被害情報から警戒ポイントを見つけたりと、効果的な対策を練ることもできます。
CSIRTを自社に導入するポイント
では、CSIRTを導入する際に気を付けるべき点は何でしょうか。基本的なポイントには、以下が挙げられます。
経営層にCSIRTの役割を理解してもらう
CSIRTの構築にあたって、最も大切なのが経営者や意思決定者にCSIRTの重要性や業務内容を正しく理解してもらうことです。セキュリティの課題を明確化し、CSIRTの導入によってどのような対応が可能になるのか、明確な説明を行います。
CSIRTの方向性や目的の明確化
組織の現状を把握し、CSIRTの導入の位置付けや方向性を決定します。例えば、「守るべき情報は何か」「どのような脅威があるか」などの情報収集を行い、CSIRT導入の目的を明確にしましょう。
活動範囲の決定
自社のCSIRTで扱う業務内容を決めます。CSIRTの運営にはインシデント対応やセキュリティ設計などさまざまな分野の知識が要求されるので、予算や雇用状況に応じて業務内容や活動範囲を決めましょう。
外部組織との連携
CSIRTを運用する際には、日本シーサート協議会(NCA)や他社のCSIRTといった組織と適切な情報共有を行うこともポイントです。運用方針によっては、業務の一部を外部委託する選択肢もあります。
SOCを組織内に導入するには
ここからは、SOCを組織内に導入する際のポイントについてみていきましょう。
まずは、SOCの基本的な仕組みと役割、導入することで得られるメリットをご紹介します。
SOCの仕組み
SOCは、脅威となるインシデントの検知を行う組織です。しかし、セキュリティを監視する対象となるデバイスはさまざまあり、それらのログを一つ一つ監視するのは効率がよいとはいえません。
SIEM(Security Information and Event Management)というツールを利用すれば、ログを集約してチェックできます。
システムの異常を表すログが検出された際には、SOCにアラートが発信、通知される仕組みで、SOCはアラートをもとに調査を開始します。サイバー攻撃による被害と断定された場合は、CSIRTに調査連絡をして、対応を引き継ぎます。
ただし、これはあくまで一例で、インシデントが検知された際の対応の流れについては、組織の体制によっても異なるため注意が必要です。
SOCの業務と役割
SOCの主な役割は、サイバー攻撃からの監視業務です。具体的には、通信ログの監視や分析を行い、インシデントの早期発見、被害の抑制を図ります。サーバー、PCといったハードウェアや、ファイアウォール、IDS、IPSといったシステムの監視が主な業務内容になります。
監視、分析によってインシデントが発見された際には、原因特定や影響範囲の調査、社内外への連絡などを行います。
そのほか、自社システムのセキュリティ分析や既存の脅威に関する調査、対策も担います。セキュリティ監視は24時間対応が要求される業務のため、業務の一部をアウトソースする企業もあります。
また、新たなサービス、プロダクトの導入を検討して、業務の効率アップを図ることも求められます。
SOC立ち上げのメリット
サイバー攻撃の被害を軽減する方法として、SOCの導入は有効な手段の一つです。システムログや通信記録などを常にチェックできるため、インシデントが発生した際の被害を最小限に抑えられます。
社内のセキュリティレベルが向上することで、機密情報や顧客データなどの情報資産の保護や管理も行いやすくなるでしょう。
また、SOCがあれば社内の情報システムに関するセキュリティをすべて任せられるのもメリットです。他の業務や管理を兼任している社員は、業務効率の向上が期待できます。
SOC導入のポイント
SOCの導入を検討する際には、「監視対象の決定」「人材確保」「担当業務の制定」という三つのポイントに注意して行いましょう。
監視対象の決定
SOCには、MSS(Managed Security Service)と呼ばれるセキュリティソフト機器のログ監視や解析を行うものと、ディープSOCと呼ばれるサーバーやOSなどのログ監視や分析を行うものがあります。しかし、現在では、MSSとディープSOCの境界は曖昧になっており、企業によって監視対象の幅も異なります。まずは自社のセキュリティ環境を精査し、セキュリティ機器とネットインフラのどこまでを監視するのか決定しましょう。
人材確保
SOCを導入するのであれば、セキュリティに関する知識や経験の豊富な人材が必要です。知見がなければ、日常の細かな異変や異常に気づけないリスクがあります。SOCにはわずかな変化からサイバー攻撃を見つけ出せるスキルが求められるからです。
担当業務の制定
SOCの任務や、責任範囲の決定も忘れずに行いましょう。まず、SOCの導入理由を明確にして、SOCの定義づけを行います。方向性が定まっていなければ、SOCの十分な効果は得られません。
セキュリティ対策組織を自社で立ち上げる注意点
対策組織を導入すれば、セキュリティ強化や業務効率の向上など、複数のメリットが見込めます。
一方で、自社内でCSIRT、SOCを立ち上げる際には、いくつかの点に注意しなければなりません。
CSIRTやSOCの自社導入の注意点
CSIRTやSOCを自社で導入する際の注意点を確認していきましょう。具体的なポイントとしては、以下のようなものがあります。
活動範囲や業務範囲が適正かを考える
CSIRTやSOCが何を目的としている組織なのか、対象となる範囲はどこまでかを明確に示さなければなりません。例えば、個人情報を取り扱うBtoCのサービス企業と、特許技術を扱うBtoBの製造業では、CSIRTやSOCの業務内容は異なります。
インシデントの定義づけ
企業が取り扱うデータには、知的財産や製品情報、顧客情報などさまざまな種類があります。いずれも重要なデータですが、「自社にとってインシデントとなるのはどのような場合か」を、導入時に定義づけしておくことが大切です。
人材確保
高度なスキルと経験を持つ人材を確保することも重要です。しかし、日本ではセキュリティ対策に従事する人材が不足しています。その理由として、セキュリティ人材のキャリアパスの不足や、教育コストの捻出の困難さなどが挙げられています。そのため、実際は自社で人材を確保することが難しいケースがあります。
CSIRTやSOCをアウトソース化するメリット・デメリット
先ほども触れたように、日本のIT人材は不足しています。セキュリティ人材の確保、育成は、企業にとって重要な課題ですが、容易なことではありません。
そこで注目されているのが、アウトソーシングサービスの利用です。
ここでは、CSIRTやSOCをアウトソース化するメリット、デメリットをそれぞれご紹介します。
メリット
豊富なサポート実績をもつベンダーにセキュリティ業務をアウトソースすれば、導入直後から業務範囲の拡大、複雑で高度なサービスへの対応なども可能になります。
アウトソース化することで人材不足の課題を補えるというメリットは大きいでしょう。また、人材確保のための採用活動や社員教育などにかかるコストも抑えられます。
デメリット
セキュリティ業務に関する知識、経験を自社内に蓄積しづらいだけではなく、継続的に利用するとコストがかかります。また、セキュリティ対策の水準はアウトソース先の技術力によって左右されるため、サポート実績の多さや内容を確認しておく必要があります。また、セキュリティ業務のすべてを丸投げしてしまうと、当然ながらリスクも生じます。社内の意思決定や判断、他部署との連携が必要な部分はアウトソースではなく、自社で人材を確保することが大切です。
大塚商会のセキュリティインシデント対策
大塚商会では、セキュリティインシデント対策として以下のようなSOCサービスをご用意しています。
たよれーる EasySOC V for FortiGate
低価格で比較的導入しやすいSOCサービスです。FortiGate製品のログを分析し、インシデントの通知や月次レポートの提供を行います。外部に不正な通信が漏れているなど重要なインシデントが発生した場合、メールで通知します。加えて、感染PCが発見された場合、ウイルス駆除作業費用をサイバー保険で一部補助しています。
たよれーる EasySOC for Cloud Edge
中堅、中小企業のお客様が対象のSOCサービスです。標的型攻撃やランサムウェアなどの攻撃の検出や分析、対応策の支援を行います。重要度の高い危険性が発生した際は、メールで通知されるうえ、月次レポートで状況の可視化も可能です。
企業のセキュリティ対策に関するご相談は大塚商会まで
CSIRTとSOCは企業のシステム、ネットワークを監視してインシデントの早期発見、セキュリティ強化を図るための組織です。
CSIRTはインシデント発生時の復旧対応や原因究明、再発防止などがメイン業務で、SOCはシステムやネットワークなどの監視が主という違いがあります。
組織運営にはセキュリティの専門知識をもった人材が必要です。業務範囲の明確化や人材確保に不安のあるご担当者様は大塚商会までぜひお問い合わせください。
ナビゲーションメニュー