ESET/サイバーセキュリティ情報局

オフィス外からの仕事が当たり前の今 SOCに求められる役割とは

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「SOC(Security Operation Center)がクラウド時代に求められる理由とは?」を再編集したものです。

 クラウドサービスが日常生活や企業での業務に浸透している時代が到来。多くの端末が場所を問わずインターネットに接続されるため、攻撃者にとってはターゲットが増加することに。こうした時代において企業はどのような対策が求められるのか。この記事では、近年その重要性が再認識されているSOCについて解説する。

クラウド時代に高まる脅威

 コロナ禍を迎えるや否や、多くの企業がリモートワークへのシフトを余儀なくされた。企業、そして従業員の双方でその働き方にメリット、デメリットを実感する中で、コロナ禍が徐々に沈静化していき、リモートワークを取りやめる企業も一部出てきている。

 しかし、働く従業員にとってリモートワークは「柔軟な働き方」を実現してくれたことから、支持する声も多いようだ。そうした背景もあり、リモートワークを継続しつつ、従業員の業務内容に応じて、リモートワークやオフィスワークを柔軟に組み合わせて働ける「ハイブリッドワーク」も広がっている。

 このような働き方で業務遂行に役立つのがクラウドサービスだ。いわゆる「クラウド時代」とも呼ばれる昨今、さまざまなクラウドサービスが次々と提供されている。オンプレミス環境のように、社内のサーバーに接続することを前提とせず、オフィスの内外を問わずに業務を遂行できるため、クラウドサービスはハイブリッドワークに適しているのだ。しかし、こうしたサービスの利用は、利便性が高まる反面、セキュリティリスクも伴う。そのため、適切な対策を講じて活用することが求められる。

 クラウド時代は、攻撃者視点からすれば、選択肢が増えたといってよい。例えば、企業のネットワーク外で従業員が端末を使用するような場合、ファイアウォールなどに保護された状態ではないため、攻撃者は従業員の端末に侵入することで、その端末を利用してさまざまな目的を達成できる。

 また、クラウドサービスのアカウント情報を不正に取得できれば、そのサービスを悪用することも可能だ。従来のように、企業のネットワークと外部インターネットの境界を防御し、個々の端末にエンドポイントセキュリティソリューションを導入すれば、一定のセキュリティを確保できるという前提が大きく変わりつつあるのだ。

 このような背景から注目されているのが「ゼロトラストセキュリティ」というセキュリティに関する概念だ。すべての通信や端末を信用せず、常時監視して危険な兆候を検出したらその都度対処しようとする考え方だ。ハイブリッドワークでは、従業員の働く場所や通信環境が状況に応じて変化することになる。例えば、業務を行う場所はオフィスだけでなく、自宅やシェアオフィスなど多様化している。ゼロトラストセキュリティはそのような環境への対応を見据えたセキュリティ概念となっている。

ゼロトラスト・セキュリティ・モデルはクラウド時代の最適解となるのか?

クラウド時代に求められるSOCの役割

 クラウド時代で求められるゼロトラストセキュリティを実行していくにあたり、特に大きな役割を果たすことが期待されているのがSOC(Security Operation Center)と呼ばれる部門・チームだ。端的に言えば、SOCとは組織の中に設置されたセキュリティ対策チームのことだ。ネットワーク機器やサーバーなどを常時監視し、ログの分析結果などから攻撃の兆候を早期に把握する役割を担う。

 また、何かしらのセキュリティインシデントが発生した際に、初期対応を速やかに行う役割が期待される場合もある。近しい対応部門として、CSIRT(Computer Security Incident Response Team)もあるが、こちらはセキュリティインシデント発生時の対応や、社内外の組織との情報共有や連携を担う。

 ゼロトラストセキュリティを前提とする場合、すべての通信や端末を監視することになる。そのため、調査・分析する対象や業務が広範囲に及ぶことになり、SOCの重要性が再認識されているのだ。ゼロトラストセキュリティを組織的かつ実践的に運営し、機能させるために、SOCでは以下のようなソリューションを活用する。

SOCとCSIRTは何が違う?インシデント対応で求められる組織構成とは?

・SIEM(Security Information and Event Management)
 ネットワーク機器やサーバーから出力されるログを一元的に集約して管理するソリューションがSIEMだ。ログを一元管理することで総合的にログを分析できるため、セキュリティインシデントの兆候を検出しやすくなる。

 近年、セキュリティ強化のための施策として、ログ取得が推奨されているが、その一方で膨大な量のログを管理、分析するための業務負荷も課題となっている。SIEMを活用することで、業務負荷の軽減、横断的な分析によってインシデントの兆候を検出する可能性も高まる。

・AI(人工知能)の活用
 先述のように、24時間365日にわたってさまざまな端末から出力されるログを人海戦術的に分析することは、もはや現実的ではなくなりつつある。そのために、SIEMのようなソリューションも登場しているが、より高度に兆候を検出するために期待されているのがAIの活用だ。

 過去の傾向などから攻撃の兆候を学習したAIがクラウドベースで分析を行う。リアルタイムで変化していく攻撃の兆候を予測し、未知の攻撃に対する検出も目指す。こうしたAIの分析に、専門家のセキュリティ知識、経験をもとにした判断も組み合わせ、複合的に判断を行うといった方法も重要になっていくものと考えられる。

・MDR(Managed Detection and Response)
 SOCを組織内に設置することが、予算や人材面で難しい場合もある。ログの分析や脅威の検出、そしてソリューションの運用には、高度なセキュリティ知識を持つ人材が必要になるためだ。脅威の特定や監視、インシデント対応などをサービスとして提供するMDRは、サイバーセキュリティに関わる脅威の監視とその対策を行うXDR(Extended Detection and Response)に、マネージドサービスがセットになっているアウトソーシングサービスと捉えられる。

 自社にSOCを設置できない場合でも、MDRのようなサービスを活用することで、自社内にSOCと近しい機能を持たせることも可能だ。ただし、MDRの場合は監視対象が限定される可能性があるため注意が必要だ。

クラウド時代に注意すべきセキュリティインシデント

 先述のとおり、SOCの役割や重要性について触れてきたが、組織内にSOCを設置したからといってインシデントの発生を完全に防げるわけではない。従業員一人ひとりがセキュリティに対する意識を高め、業務遂行にあたって適切な行動、判断を行うことで、インシデント発生の抑止が可能となる。以下に、クラウド時代において特に注意しておきたいセキュリティインシデントを挙げていく。

・クラウドサービスへの不正アクセス
 場所を問わずに業務遂行が可能なリモートワークでは、端末の紛失や盗難といったリスクが生じる。端末からクラウドサービスにログインが容易に行える状態でその端末が第三者の手に渡ってしまった場合、端末内のデータはもちろんのこと、クラウドサービス上のデータも漏えいしてしまうことになりかねない。端末の紛失・盗難を防ぐことも重要視すべきことではあるが、なりすましを容易に許さない対策も求められる。すなわち、クラウド時代においては認証の重要性が高まっている。

 基本的な対策は、12桁以上のできる限り長くいパスワードを設定すること、あるいはパスフレーズを利用するといったことはもちろんのこと、クラウドサービスでも増えている二要素認証を利用することだ。そうした機能を活用することで、不正アクセスの危険性を確実に軽減できる。

二要素認証でセキュリティは高まるのか

・通信の傍受
 クラウドサービスを利用する際は特に、重要な情報をインターネット経由で送受信することになる。また、業務によってはリモートデスクトップを利用する場合もあるだろう。そのため、VPNといったソリューションを利用することで通信の安全性を高める必要がある。加えて、自宅などオフィスの外でWi-Fi接続する場合、その通信の安全性も確認する必要がある。

 Wi-Fi機器の無線通信が適切に暗号化されているか。セキュリティキーは推測されづらいものとなっているか。あるいは、ネットワーク内に不審な端末がないかどうか、といったことを確認することも重要だ。こうした対策が適切に取とられていない場合、通信を傍受されるリスクが生じ得ることを認識しておきたい。

・マルウェア感染
 インターネットの利用が前提となるリモートワーク時は、気軽に相談できる人が周囲にいないため、不審に思えるファイルを不用意に開いてしまうといった行為も考えられる。加えて、やり取りしているファイルにマルウェアが潜伏しているといったケースもあり得るだろう。昨今では標的型メールからランサムウェア攻撃に発展するようなケースも確認されている。こうしたセキュリティリスクを踏まえ、未然にインシデントを防ぐための監視などがSOCには求められている。

 また、社会の変化に応じて、今後も業務環境は変化していくことになるはずだ。そうした環境の変化を見据えて、中長期でどのような対策を講じる必要があるか。そのような観点で経営陣に対して報告・提言を行う役割もSOCには期待されている。セキュリティインシデントが経営上のリスク要因として重要性が高まっていることを踏まえると、セキュリティに関する部門設置の必要性が高まっていると言えるだろう。

セキュリティインシデントとは?頻発するサイバー攻撃へどう対処すべきか

■関連サイト

キヤノンMJ トップへ