本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。

最新情報

2016.12.20

発展段階別、SOCの3分類

 攻撃の早期検知と対処を目的に、システムおよびネットワークを監視するSOC(ソック、Security Operation Center)を構築・運用する企業が増えています。


 しかし、ひとくちにSOCと言っても、その内容は若干異なります。業界で決定された基準があるわけではありませんが、SOCは発展段階別に大きく下記3つの類型に分けることができます。サービス利用時の参考としていただければ幸いです。


1. 従来型 SOC~攻撃検知から遮断

 まず最初に挙げられるのがIDS(Intrusion Detection System、不正侵入検知システム)と、IPS(Intrusion Prevention System、不正侵入防御システム)をベースに侵入を検知して、対策を行うSOCサービスです。後出の次世代SOCなどと比較して「従来型SOC」などとも呼ばれる通り、さまざまな機能や運用ノウハウは、ここから現在のSOCへと引き継がれています。


2. 進化型SOC ~WAFと Sandbox への対応

 では、SOC サービスはどこから「従来型」と呼ばれなくなるのでしょう。これも明確な基準は存在しませんが、業界やユーザー企業の間では、アプリケーションレイヤを監視する「WAF(Webアプリケーションファイアウォール)」と、IDS/IPSと違って既存のパターンファイルにない攻撃を検知することができる「Sandbox 製品」のふたつの取り扱いがラインナップにあれば、進化したSOCであると見なされるようです。現在のSOC事業者のほとんどは進化型SOCに属すると思われます。


3. 次世代型SOC~SIEM の導入

 本稿執筆時点で、SOC の最も進んだ形態とみなされているのが、主に企業内のネットワークを分析する監視・検知システム「SIEM(シーム、Security Information and Event Management)」を用いた統合ログ管理・監視体制を構築しているSOCです。SIEMを導入したSOCが「SOC 2.0」「次世代 SOC」などと呼ばれていることは以前本欄でご紹介した通りです。


なぜCSIRTやSOCはSIEMを導入するのか(MBSDサイバーレポート)


 こうした発展の次の形態として近年、企業内でSOC運営を内製する「PSOC(Private SOC)」の構築の動きも本格化してきました。これについてはまた別の機会に解説したいと思います。


発展段階別類型 主な違い 特徴
従来型SOC IDS/IPSをベースに検知・対策 数千件程度の攻撃パターンを検知し、一部の攻撃は遮断も可能
進化型SOC WAFとSandboxを取り扱い アプリケーションレイヤの監視の他、既存のパターンファイルにない攻撃を検知、遮断が可能
次世代型SOC SIEMによる分析と検知 相関分析を行い、数十万件の攻撃パターンを検知可能