SOCとは？～EDRの導入・運用を成功に導く～

近年、サイバー攻撃は100％防げないということを前提に、エンドポイントでの対策を講じる必要があると言われています。そのため多くの企業が*EDR導入を進めてきました。しかしEDR導入後、「運用が難しい」「人材が足りない」といった課題があります。本記事では、EDRの導入・運用を成功に導くことができる*SOCについて解説していきます。
※EDR（Endpoint Detection and Response）・・・エンドポイントでの検出と対応
※SOC（Security Operation Center）・・・24時間365日体制でセキュリティ脅威を監視・検知・分析・対応

１．SOCとは？

SOCとは、Security Operation Centerの略で、「24時間365日体制でネットワークやデバイスを監視し、サイバー攻撃の検出や分析、対応策のアドバイスを実行する組織」と定義づけられています。
SOCの実行範囲としては、EDR運用プロセス「検知→隔離→調査→復旧」の中で、「隔離→調査→復旧」です。
SOCが行うことは主に5つです。

①ログの確認

EDR側で収集したログ情報を確認します。

②ログの解析

確認したログ情報を元にマルウェアなどの不審な動きを解析します。

③脅威検出・感染端末を隔離

解析したマルウェアなどの不審な動きを検出し、感染端末をネットワーク内から隔離します。

④原因・影響の調査

収集されたマルウェアのログ情報から、マルウェアの調査・分析を行い、拡大範囲や端末影響の特定を行います。

⑤対応・復旧

感染端末内の不審なファイルを削除・レジストリの修復・運用の復旧を行います。

２．SOCの必要性

EDR導入・運用にSOCが必要とされる理由は2つあります。

①EDRの運用には高い専門知識と技術力が必要

EDRは各種監視やログの分析、サイバー攻撃を受けた際の影響範囲の特定と、サイバー攻撃を対策いったように高いレベルのセキュリティスキルを要する必要があります。

②24時間365日の運用体制が必要

システム・ネットワーク環境やデバイスの多様化を受け、サイバー攻撃もより多様化・高度化してきています。
そのため、いつ攻撃されてもおかしくないという考えのもと、24時間365日監視をする必要性が高まってきています。

３．SOCの構築方法

SOCには2種類の構築方法があります。

①SOCを自社内で構築・運用する
②SOCをアウトソーシングする

①　SOCを自社内で構築し・運用する方法

SOCを自社内に設置すると、SOCでのミッションや監視対象とする機器を詳細に定義することができるので、自社のセキュリティレベルに合わせた運用が可能となります。
また、EDR運用のノウハウを蓄積することができます。

②　SOCをアウトソーシングサービス（*MDR）で活用する方法

*MDRとはManaged Detection and Responseの略で、検知と対応のマネージドサービスと訳されます。いわゆるSOCの役割（EDRの運用業務）をアウトソーシングで活用できるサービスです。
MDRを導入することで、自社内に高い専門知識と技術を持った人材がいなくとも、自社ネットワーク内に存在する脅威の検知と除去、システムの回復、再発防止の検討・実装などを実現できるようになります。

４．SOCはアウトソーシングサービス（MDR）を活用することが現実的！？

経済産業省が出しているIT人材需給に関する調査データによると、IT人材需要の伸びが3％～9％だった場合、IT人材が約79万人不足するという結果が出ました。
つまり、自社内でIT人材を確保することは難しくなっており、今後さらに難しさは加速していくといえます。

※出典：平成30年「IT人材需給に関する調査」｜経済産業省
https://www.meti.go.jp/policy/it_policy/jinzai/houkokusyo.pdf

また、*リスクマトリクスの観点から、EDRで防ごうとしているリスクは、下図の領域Ⅱに当たります。インシデント発生頻度は少ないものの、インシデント発生時の影響は大きいので、リスクならびに対策は共有するものといえます。

*リスクマトリクス・・・リスクの発生頻度・リスクの影響度を記載した図表。領域ごとにリスクに対する対処の方針がある。

上記のことからSOCを自社内で用意・運用するのは難しいということ、そもそもEDRで防ごうとしているリスクは皆で共有するものであるといえます。

さらにEDRは単純なログ化だけではなく、パターンマッチングや機械学習によって感染の挙動と思われるものをアラートとして生成するので、過検知を多く含んでいることがあります。SOCチームは、過検知を多く含んでいるアラートを、膨大なログから分析しなければなりません。したがって、自社にいるシステムやネットワークの管理者がSOC兼務することは難しいと言えます。

これらの理由からSOCを自社で用意するのは難しく、アウトソーシングサービス（MDR）を活用することが現実的と言えます。

５．まとめ

EDR導入後に多くの課題が残される中、EDR導入・運用を成功に導くにはSOCが必要です。
さらに、SOCを自社内で構築するよりもアウトソーシングすることで、「IT人材の不足」や「コストパフォーマンス」などの課題も同時に解決することができます。

●これからの時代に沿ったエンドポイントセキュリティ対策としてSophos製品がオススメです。

Sophosは4つのライセンスを用意しております。
①AV・NGAV機能　搭載モデル
②AV・NGAV機能＋EDR機能　搭載モデル従来機能と次世代機能にEDR機能が加わったもの、
③AV・NGAV機能＋EDR機能＋簡易MDR　（※手軽にMDRサービスを活用したい方向け）
④AV・NGAV機能＋EDR機能＋フルMDR　（※本格的にMDRサービスを活用したい方向け）

Sophosのライセンスについて詳しく知りたい方はこちらをご覧ください。

【資料】 次世代型エンドポイントセキュリティSOPHOSシリーズ

お客様の状況に合わせて導入できるのはもちろんのこと、セキュリティを強化したいお客様に向けては
まるごとセキュリティ対策できる体制となっております。

エンドポイントセキュリティやEDR導入後の課題に対して、新たな取り組みをご検討されている企業様は、ぜひお気軽にご相談下さい。