×
26.02.20
サイバー攻撃が巧妙化し、従来の境界防御型セキュリティ対策だけでは防御しきれない時代となりました。万が一の侵入を前提とした対策として「EDR」の導入が進む一方で、その効果を最大限に引き出すために「SOC」が不可欠とされています。
本記事では、EDRとSOCの違いを明確にし、自社にとって最適な「守り方」を判断するための5つの基準を解説します。
SOCは、セキュリティ機器からのアラートやEDRが収集したログを24時間365日体制で監視・分析し、インシデント発生時の対応を専門的に行う組織(サービス)です。
SOCが主に行う主な業務は以下の5点です。
EDRなどで収集されたログを分析し、脅威の予兆や不審な動きを特定します。
マルウェアなどの脅威を検出し、感染端末をネットワークから隔離します。
マルウェアのログ情報から、侵入経路、感染拡大範囲、端末への影響などを特定します。
不審ファイルの削除、設定の修復など、システムを安全な状態に戻すための復旧作業を実施します。
EDRが効果的に機能するための設定調整や運用管理を行います。
・セキュリティ製品・技術
・ログを収集・記録し、アラートを発する
例えると、侵入を感知するセンサーや警報機にあたります。
・セキュリティ運用体制・サービス
・ログを分析・判断し、対応する
例えると、警報を受けて出動し、調査・対処する警備員にあたります。
EDRは単体では「警報機」に過ぎず、それを常に監視し、緊急時に適切に行動する「警備員」であるSOCがあって初めて真価を発揮します。
EDRを導入し、自社に最適なセキュリティ体制(EDRの運用方法)を決めるためには、以下の5つの基準で判断することが重要です。
EDRのログを分析・解析する高い専門知識と技術力を社内で確保できるかで判断します。
専門人材の採用・育成には時間とコストがかかります。
サイバー攻撃は時間を選びません。休日や夜間を含めた継続的な監視体制を構築できるかで判断します。
社内で24時間体制を用意するには、複数の人員とシフト管理が必要です。
脅威を検知した際、即座に端末隔離や復旧対応を行うためのSLA(サービスレベル合意)を設定できるかで判断します。
対応が遅れると被害が拡大します。
SOCを自社内で構築・運用するコスト(人件費、教育費、設備費)と、外部サービスに委託するコストのどちらが費用対効果が高いかで判断します。
コア業務へのリソース集中とセキュリティレベル維持のバランスが重要です。
EDR運用やインシデント対応を通じて得られたノウハウを、組織のセキュリティ強化に活かし、継続的に改善できるかで判断します。
外部委託の場合も、レポートを通じたノウハウ共有が可能かを確認しましょう。
EDRは必須の「警報機」ですが、その「警報機」を使いこなす「警備員」としてSOCの存在が重要です。
自社のリソース、スキルレベル、予算、そして求めるセキュリティレベルに応じて、インハウス(自社運用)またはアウトソーシング(外部委託)を検討しましょう。
電算システムでは、中立的な立場で最適なセキュリティソリューションを提案することで、企業の防御力向上とリスク軽減を強固に支援いたします。
