情報セキュリティオペレーションセンター
情報セキュリティ オペレーション センター( ISOCまたはSOC ) は、企業の情報システム( Web サイト、アプリケーション、データベース、データ センターとサーバー、ネットワーク、デスクトップ、その他のエンドポイント) を監視、評価、防御する 施設です。
客観的
SOCは、IT脅威の検知、封じ込め、修復を通じて状況認識を提供し、組織のセキュリティ体制を管理・強化する人材、プロセス、テクノロジーに関係しています。[ 1 ] SOCは、組織または企業に代わって、あらゆる脅威となるITインシデントに対応し、適切に特定、分析、伝達、調査、報告されるようにします。また、SOCはアプリケーションを監視し、サイバー攻撃や侵入(イベント)の可能性を特定し、それが真に悪意のある脅威(インシデント)であるかどうか、そしてビジネスに影響を与える可能性があるかどうかを判断します。
規制要件
SOCの構築と運用は費用がかかり、困難を伴います。組織がSOCを構築するには、十分な理由が必要です。これには以下のような理由が考えられます。
別名
セキュリティオペレーションセンター(SOC)は、セキュリティ防御センター(SDC)、セキュリティ分析センター(SAC)、ネットワークセキュリティオペレーションセンター(NSOC)[ 4 ]、セキュリティインテリジェンスセンター、サイバーセキュリティセンター、脅威防御センター、セキュリティインテリジェンスオペレーションセンター(SIOC)とも呼ばれます。カナダ連邦政府では、SOCをインフラストラクチャ保護センター(IPC)と呼びます。
テクノロジー
SOCは通常、セキュリティ情報イベント管理(SIEM)システムを基盤としています。このシステムは、ネットワーク検出および脆弱性評価システム、ガバナンス・リスク・コンプライアンス(GRC)システム、ウェブサイト評価・監視システム、アプリケーションおよびデータベーススキャナ、ペネトレーションテストツール、侵入検知システム(IDS)、侵入防止システム(IPS)、ログ管理システム、ネットワーク挙動分析およびサイバー脅威インテリジェンス、無線侵入防止システム、ファイアウォール、エンタープライズアンチウイルス、統合脅威管理(UTM)などのセキュリティフィードからのデータを集約・相関させます。SIEMテクノロジーは、セキュリティアナリストが企業全体を監視するための「単一の画面」を構築します。
人々
SOCスタッフには、アナリスト、セキュリティエンジニア、SOCマネージャーなどが含まれます。これらのスタッフは、経験豊富なITおよびネットワーク専門家である必要があります。通常、彼らはコンピュータエンジニアリング、暗号化、ネットワークエンジニアリング、またはコンピュータサイエンスの訓練を受けており、 CISSPやGIACなどの資格を有している場合もあります。
SOCの人員配置計画は、1日8時間、週5日(8x5)から1日24時間、週7日(24x7)まで多岐にわたります。シフトには少なくとも2名のアナリストが含まれ、責任範囲は明確に定義する必要があります。
組織
大規模な組織や政府機関は、異なる情報通信技術グループを管理するため、あるいは1つのサイトが利用できなくなった場合に冗長性を確保するために、複数のSOCを運用することがあります。SOCの業務は、例えばマネージドセキュリティサービスを利用してアウトソーシングすることができます。SOCという用語は、従来、政府機関やマネージドコンピュータセキュリティプロバイダーによって使用されていましたが、最近では大企業やその他の組織でもこのようなセンターを開設するケースが増えています。
SOCとネットワークオペレーションセンター(NOC)は互いに補完し合い、連携して機能します。NOCは通常、ネットワークインフラストラクチャ全体の監視と保守を担当し、その主な機能はネットワークサービスの中断の防止です。SOCは、ネットワークだけでなく、ウェブサイト、アプリケーション、データベース、サーバー、データセンター、その他のテクノロジーの保護も担います。同様に、SOCと物理セキュリティオペレーションセンターも連携して機能します。物理SOCは、大規模組織において、セキュリティスタッフが警備員、警報装置、CCTV、物理的なアクセス、照明、車両バリアなどを監視・制御する施設です。
すべてのSOCが同じ役割を担うわけではありません。SOCが活動できる重点領域は3つあり、これらは自由に組み合わせることができます。
- 制御 - コンプライアンス テスト、侵入テスト、脆弱性テストなどによるセキュリティの状態に焦点を当てます。
- 監視 - ログ監視、SIEM管理、インシデント対応によるイベントと対応に重点を置く
- 運用 - ID およびアクセス管理、キー管理、ファイアウォール管理などの運用セキュリティ管理に重点を置きます。
SOC、NOC、または物理SOCは、運用業務に重点を置く場合など、同じ施設内に置かれることもあれば、組織的に統合されることもあります。SOCがCERT組織から派生したものであれば、通常、監視と制御に重点が置かれ、職務の分離を維持するためにNOCから独立して運営されます。通常、大規模な組織では、専門性と専門性を確保するために、独立したSOCが維持されます。SOCは、ネットワーク運用および物理セキュリティ運用と緊密に連携します。
設備
SOCは通常、物理的、電子的、コンピュータ、そして人的セキュリティによって厳重に保護されています。センターのレイアウトは、多くの場合、重要なステータス、イベント、アラーム、進行中のインシデントを表示するビデオウォールに面したデスクを配置しています。また、壁の一角にはニュースや天気予報チャンネルが映し出されることもあり、SOCスタッフは情報システムに影響を与える可能性のある最新のイベントを把握することができます。セキュリティエンジニアやセキュリティアナリストは、デスクに複数のコンピュータモニターを置くこともあります。
プロセスと手順
SOC内のプロセスと手順には、役割と責任、そして監視手順が明確に規定されます。これらのプロセスには、ビジネス、テクノロジー、運用、分析の各プロセスが含まれます。また、エスカレーション手順、報告手順、侵害対応手順など、アラートや侵害が発生した場合に取るべき手順も規定されます。
クラウドSOC
クラウド セキュリティ オペレーション センター (CloudSOC) は、企業内のクラウド サービスの使用状況を監視し (シャドー IT問題を制御)、 SIEMテクノロジーとマシン データ プラットフォームを介してIT インフラストラクチャとアプリケーションのログを 解析および監査し、疑わしいアクティビティの警告と詳細を提供するために設定できます。
スマートSOC
スマート SOC (セキュリティ オペレーション センター) は、最先端のテクノロジーとツール、高度なスキルと経験を持つ人材 (サイバー インテリジェンス収集者、アナリスト、セキュリティ エキスパートで構成)、およびプロアクティブなサイバー戦争の原則を活用して、組織のデジタル インフラストラクチャ、資産、およびデータに対する脅威を防止および無効化する、包括的でテクノロジーに依存しないサイバー セキュリティソリューションです。
その他のタイプと参照
さらに、オリジナルの「ISOC」というタイトルに関連して、次のようなよく参照される用語が多数あります。
- SNOC、セキュリティネットワークオペレーションセンター
- ASOC、高度セキュリティオペレーションセンター
- GSOC(グローバル セキュリティ オペレーション センター)
- vSOC、仮想セキュリティオペレーションセンター[ 5 ]
参照
参考文献
- ^ Vielberth, M.; Böhm, F.; Fichtinger, I.; Pernul, G. (2020). 「セキュリティオペレーションセンター:体系的な研究と未解決の課題」 . IEEE Access . 8 : 227756–227779 . doi : 10.1109/ACCESS.2020.3045514 . ISSN 2169-3536 .
- ^ 「PCI DSS 3.0:セキュリティ運用への影響」Security Week、2013年12月31日。 2014年6月22日閲覧。
- ^ 「HMGオンラインサービスプロバイダー向けトランザクションモニタリング」(PDF) CESG 2014年6月22日閲覧。
- ^ 「Tactical FLEX, Inc. ネットワーク・セキュリティ・オペレーション・センター(NSOC)のマネージドサービス」。Tactical FLEX, Inc. 2014年9月24日時点のオリジナルよりアーカイブ。2014年9月20日閲覧。
- ^ 「仮想セキュリティオペレーションセンター(VSOC)とは何ですか?」cybersecurity.att.com。