社内利用機器の増加に伴い、自前でセキュリティ監視していくことに限界を感じているシステム運用部門の方へ。 SOCサービスの特徴や比較のポイント、費用の目安などを紹介したうえで、おすすめのサービスをご紹介します。
SOCとはSecurity Operation Centerの略称で、セキュリティに詳しいエンジニアよって構成された専門チームのことを指します。そしてSOC(ソック)サービスとは、サイバー攻撃の検知・分析・対応を専門に行う組織が提供するサービスです。具体的には、セキュリティログの収集・分析、インシデントの検知・報告、セキュリティ対策の策定といった業務を担います。
本記事では、SOCの機能を単体で提供する狭義のSOCサービスではなく、SIEM(Security Information and Event Management)やEDR(Endpoint Detection and Response)などの製品・サービスを組み合わせて、セキュリティインシデントの検知・対応・分析を行う広義のSOCサービスを中心に取り上げます。
SOCと混同されやすいサービスにCSIRTやMDRがあり、主な違いは以下の通りです。しかし、CSIRTの範囲までカバーするSOCサービスがあったり、SOCのチームがMDRを提供していたりすることがあるので、参考までに知っておいてください。
SOCとCSIRTの違い…SOCのメインの役割が「ログの監視」や「インシデントの検知」であるのに対し、CSIRTはインシデント発生後の「復旧」や「原因の追跡」といった対応がメイン。SOCが分析したアラート情報をもとに、CSIRTがインシデント対応に当たるといった連携が行われます。
SOCとMDRの違い…MDRとはManaged Detection and Responseの略称で、セキュリティ機器の管理からインシデント対応までをカバーする代行サービス。SOCとCSIRTを兼ねたアウトソーシングサービスといえます。
SOCサービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
SOCサービスが提供する主な業務内容として、以下の5つが挙げられます。
ネットワークやデバイスの監視 | ネットワークやデバイスを24時間365日体制で監視。ログやイベントの収集・分析を行い、異常を検知する。 監視対象は、ファイアウォール、UTM、IPS/IDS、WAF、ルーター、サンドボックスといったセキュリティ製品に加え、サーバーやPCなどのエンドポイントやEDR製品など |
---|---|
ログやイベントの収集・分析 | ネットワークやデバイスから収集したログやイベントを分析。異常なパターンや傾向を検知し、サイバー攻撃の兆候を早期発見する |
インシデントの検知 | 収集したログ・イベントをもとに、インシデントの検知・報告を行う。インシデントへの対応までカバーするサービスも |
セキュリティ対策のアドバイス | 検知したインシデントから脅威を検出し、適切なセキュリティ対策を策定する。自社のセキュリティ体制の現状を分析し、改善点や強化策を受けることも可能 |
運用監視レポートの作成 | ネットワークやデバイスの監視結果を定期レポートとして提供。社内報告用の月次レポートとして活用できる |
SOCサービスにかかる費用は「対象とする端末数やネットワークの規模」「対応する脅威の範囲」「サービスの内容」といった要素によって決まります。そのため、見積り相談が必要なサービスが大半です。
費用の目安としては、PC1台あたりの月額費用を公開しているサービスは以下の通りです。1台あたり285〜890円ほどで、導入台数が多いほどリーズナブル。「セキュリモ」は1台あたりの費用が高めですが、1台から利用できるというメリットがあります。
サービス名 | 費用 |
---|---|
セキュリモ(株式会社アクト) | 月額890円/台〜(1台からでも可) |
Carbon Black セキュリティ監視サービス (SB C&S株式会社) |
月額285円/台(499台以下の場合) |
CEC SOC (株式会社シーイーシー) | 月額300,000円〜/1000台(1000台以下も可) |
また、プラン別で月額費用を提示するサービスも。こちらはアウトソーシングしたい業務の範囲や、監視対象によって金額が異なります。たとえば、株式会社SHIFTの「SOC運用支援」は、以下の3プランを用意しています。
プラン名 | 費用 | プラン内容 |
---|---|---|
シルバー | 月額75,000円〜 |
|
ゴールド | 月額90,000円〜 |
|
プラチナ | 要問い合わせ |
|
そのほかに、S&J株式会社の「EDR監視サービス」は、セキュリティデバイスの監視に特化したエントリープラン(月額20万円〜)から、通信記録(ログ)などの取得・分析を含む監視体制を構築するアドバンスドプラン(月額120万円〜)まで、幅広いプランを用意しています。
このようにSOCサービスの費用の目安は、サービス内容によって様々です。まずは、「何を」「何時から何時まで」監視したいのかを整理し、そのうえでアウトソーシングしたい業務の範囲を明確にすることで、自社に最適なサービスが見えてきます。
SOCサービスは、大きく2タイプに分けられます。「EDR製品の運用に対応するタイプ」はEDRの運用をアウトソーシングしたい場合に、「幅広い製品の運用に対応するタイプ」は社内ネットワーク機器やサーバーなどを幅広く運用したい場合にそれぞれ向いています。
導入目的によって最適なタイプが異なるため、まずはどちらのタイプが自社に必要なのか検討してください。それぞれの特徴については、下記のとおりです。
ログやイベントの収集・分析、脅威の検知・対応といった機能を備える、EDR製品の導入・運用支援に強みを持つサービスです。
このタイプは、EDR製品の導入・設定、ログやイベントの分析、脅威の検知・対応などを代行するため、自社に運用リソースやノウハウがない企業におすすめ。たとえば「LANSCOPE サイバープロテクション」のサービスラインナップのひとつ「CylanceMDR」では、マルウェアの事前防御からセキュリティ専門家による支援・監視・分析までをオールインワンで提供します。
ただし、運用ノウハウが蓄積できない、ほかのセキュリティ製品の運用に対応できないといったデメリットもあるため要注意です。
ネットワークやエンドポイントのセキュリティを総合的に監視・分析し、サイバー攻撃の検知・対応を行うサービス。こちらのタイプは、ファイアウォール、UTM、IPS/IDS、WAF、ルーター、サンドボックスといったセキュリティ製品や社内ネットワーク機器、EDR製品などのエンドポイントセキュリティ製品の運用を支援します。そのため、自社のセキュリティ体制を総合的に強化したい企業に適しています。
たとえば「CEC SOC」は、ユーザー環境を6ゾーンのセキュリティポイントに分けてセキュリティ製品からEDR製品まで幅広く対応。
デメリットとしては、自社でセキュリティ製品を運用するリソースやノウハウが必要なことなどが挙げられます。
SOCサービスの提供会社によって、監視対象となる製品の得意・不得意があります。自社が運用しているセキュリティ製品やエンドポイントの種類を考慮して、比較検討してください。
たとえば株式会社セキュアイノベーションの「SOC運用サービス」は、UTMであれば「FORTINET」や「WatchGuard」、ログ監視マネージドセキュリティサービスであれば「LogStare」や「NetStare®」に対応しています。
また、株式会社SHIFTの「SOC運用支援」は対応製品の種類の多さに強みを持ち、ファイアウォールやIDS、VPNなど200種類以上の製品に対応しているほか、AWS、Azure、GCPなどの18種類以上のクラウドにも対応。「セキュリティログ監視サービス(共用SOC)」は、オンプレミスからクラウドまで400種類以上の製品やサービスの相関監視が可能です。
SOCサービスの多くは、ログやネットワークの監視に加えて、インシデントの分析業務までカバーしています。しかし、監視や分析の対応範囲はサービスによって異なるため、どこまで対応しているかを確認しておきましょう。
たとえば「CEC SOC」は、不審行動を検知後に、隔離や復旧対応まで行えます。また、S&J株式会社の「EDR監視サービス」は、マルウェアの駆除や不正ファイルの削除など、脅威の除去作業を支援。加えて、アラート解析により特定された脅威に対して、同様の攻撃の再発を抑止する対策を施します。
「分析」業務においては、「SCSK SOC」のように、ファームウェアのバージョンアップや攻撃元IPの遮断といった適切な対策案を月次レポートに記載できるサービスがあります。また「CEC SOC」は、オプションでデジタルフォレンジック(デジタル鑑識)まで対応。
中には「LANSCOPE サイバープロテクション CylanceMDR」のように、セキュリティ専門家による監視や、問い合わせ対応が受けられる「インシデント対応」までカバーしたサービスも。
(出所:LANSCOPE サイバープロテクション CylanceMDR公式Webサイト)
マルウェアの事前防御から侵入経路の調査、インシデント対応までをオールインワンで行うMDRサービス。高度な技術を有するセキュリティ専門家が企業・組織の外部脅威対策の運用をサポートするので、作業負荷の低減が見込める。
また、サイバーセキュリティの修士号を取得した高い技術力を誇るセキュリティ専門家で、チームメンバーが構成されているのも強みの一つ。エムオーテックスが日本でのサービス代行窓口になっているので、海外のサービスだが日本語での対応も万全。迅速なインシデント対応と、充実したサポート体制により一貫した高度なセキュリティ管理体制を提供する。
(出所:セキュリモ公式Webサイト)
「サイバー攻撃の抑止作業」「マルウェアの駆除」「改ざんされたシステムのロールバック」「設定変更作業」といった実行作業までカバーするSOCサービス。ユーザー企業にあったセキュリティサービスのプランを選べるほか、1ライセンスから低価格で導入できるのが便利だ。CEH・CISSPなどの国際資格する、高スキルのセキュリティエンジニアによる迅速かつ柔軟なサービスを提供する。
また、信頼性の高いセキュリティソリューション評価テスト「MITRE Engenuity ATT&CK®」において100%の検知を達成。加えて、国内3拠点(東京、札幌、福岡)で運用監視サービスや技術サポートの体制を提供しているので、突発的な災害や通信障害などのBCP対策も万全である点もおすすめだ。
(出所:EDR監視サービス公式Webサイト)
エンドポイントに対する攻撃をリアルタイムで監視するサービス。主なサービスメニューとして、「アナリスト/AIによる初動対応」「脅威除去支援」「回復支援」「レポート提供」などがそろう。監視だけでなくアラート発生時の初動対応など、セキュリティインシデントの管理をすべて同社アナリストが運用・対応するのが特徴。EDR運用の大半を代行するので、専門人材不足の解消・運用コスト削減にも最適だ。また、社内報告にも活用できる詳細な月次レポートも発行する。
「KeepEye®」「CrowdStrike」「Microsoft Defender for Endpoint」「ApexOne」といった主要なEDR製品に対応。更に、関連セキュリティサービスとして「Active Directory 監視サービス」「インシデント対応支援」なども提供されている。
(出所:Carbon Black セキュリティ監視サービス公式Webサイト)
エンドポイントとワークロードを脅威から保護するクラウドセキュリティソリューション「VMware Carbon Black Cloud」を使ったセキュリティ監視サービス。EDR導入後の運用に主眼を置いており、監視センターとセキュリティのプロが高度なEDRツールをフル活用して、セキュアでシンプルなEDR運用をサポートする。具体的には「アラートの常時監視」「発生アラートのリスク分析」「対処検討と緊急措置」といった業務をカバーしている。
また、デリバリーサービスとして、導入前のPoC(概念実証)や導入サポートを提供。そのほか、月次レポート提出や報告会なども実施している。
(出所:NetStare®公式Webサイト)
24時間365日体制でネットワークインフラを有人監視する、総合セキュリティ運用サービス。SOCとNOC(Network Operation Center)が融合されているのが特徴で、監視業務のほかに、ログ分析レポートの作成、セキュリティポリシー改善提案、ネットワークの脆弱性診断なども含めた総合的なサポートを提供する。専用のWebポータルで監視対象・ステータスを可視化し、アラートの発生状況や対応状況を一目で把握できるのも便利だ。
障害発生時には常駐のセキュリティエンジニアが対応し、機器障害・故障の場合は保守ベンダーへの問い合わせや機器交換の調整・手配までを代行。更に、回数無制限のファイヤーフォールの設定変更の代行作業や、年4回まで無料の脆弱性診断なども提供されている。
(出所:SCSK SOC公式Webサイト)
常駐のセキュリティアナリストによって、24時間365日体制での早期インシデント対応を可能にするSOCサービス。収集したログをSIEMで絞り込んでから、アナリストによる詳細分析を行うので、クリティカルなインシデントを早期発見できる。クライアント企業の環境をアナリストが把握したうえで、不正アクセスの詳細と成否を分析し、適切な対策案を月次レポートに記載して報告する。オプションでインシデント対応支援サービスも提供。
経済産業省によって策定された「情報セキュリティサービス基準」に適合したサービスとして、登録・認証を受けているので安心して利用できる。
(出所:IIJ C-SOCサービス公式Webサイト)
セキュリティ機器や各種ネットワーク機器などからセキュリティログを収集・分析し、24時間365日体制でインシデント対応を行うSOCサービス。セキュリティ機器から収集したログやアラートに加え、バックボーントラフィックやDNSクエリ、外部情報などを含めた分析を実施することで、脅威を早期発見・可視化する。セキュリティ対策の提案を行うほか、インシデント発生時の対応までをワンストップで提供。緊急度の高い攻撃に対して、迅速な対処が可能となる。
また、同社は1994年に国内初のファイアウォールサービスの提供を開始しており、経験豊富なセキュリティアナリストが多数在籍するのも大きな強みである。
(出所:CEC SOC公式Webサイト)
セキュリティ対策ライフサイクルの、「初動対処」「恒久支援」フェーズに対応するSOCサービス。24時間体制で監視を行い、異常を検知した際には即時に通報。必要に応じて周辺装置のログ確認を行い、同一原因による再感染防止の支援まで実施する。オフィスのファイアウォールやネットワーク/ネットワーク接続機器はもちろん、リモートワークなどの自宅作業環境を含むエンドポイントやWebアプリ/クラウドサービスの監視にも対応。インシデントの発生範囲を幅広く網羅している。
ウイスルなどの感染を検知した場合は、即座にネットワークから隔離することで、まず影響範囲の最小化を図る。そして、同一原因による再感染を防止するため、周辺機器を含めたログ解析を行い、恒久対処の検討支援を実施する。
(出所:SOC運用サービス公式Webサイト)
経験豊富な有資格者のセキュリティエンジニアが運用を代行するSOCサービス。使い続けやすいリーズナブルな料金で、「インシデント監視」「製品のチューニング」「ログ分析・保管」「レポート作成・報告」といったSOCの基本機能を提供する。これら複数のSOCサービスを自由に組み合わせて運用できる、カスタマイズ性の高さが特徴だ。加えて、「構築のみ」「運用のみ」といった依頼も可能な柔軟なメニューを提供。監視対象や監視時間も、「一部の製品だけ」「土日や夜間帯のみ」といった相談ができるなど、運用コスト面への配慮が行き届いている。
また、監査サービスから得られる最新の脆弱性情報に関する知見を持っているので、高度化・複雑化するサイバー攻撃にも対応可能だ。
(出所:セキュリティログ監視サービス公式Webサイト)
野村総合研究所グループの情報セキュリティ専門会社が提供するSOCサービス。スペシャリストがログのリアルタイム相関分析を行い、セキュリティインシデントを早期に発見。業界ごとの最新の脅威動向に追随したログ監視・分析に定評があり、クライアント環境に合わせた高度なセキュリティログ監視を提供する。
また、オンプレミスからクラウドまで、400種類以上の製品やサービスの相互監視に対応。SIEM相関分析とスレットハンティングの連帯による、脅威検出率の高さが強み。マネージドセキュリティに関する5年以上の実務経験と高度セキュリティ資格(GIAC・CISSP・CISA・CISMなど)を持つメンバーを中心に、専門性豊かなアナリストが80名以上在籍している。
(出所:SOC運用支援公式Webサイト)
多種多様なデバイス・クラウドに対応した、24時間365日体制のセキュリティ監視サービス。あらゆるデバイスやクラウド環境のログを監視し、緊急度の高いアラートのみを通知する。世界4拠点のSOCと連携してサービスを仕組み化することで、人件費や監視センターの構築費を最小化。月額75,000円からという圧倒的な低価格化を実現している。導入時期や期間・規模・コスト面なども柔軟に対応。日本人のオペレーターにより、海外SOCも安心して利用できる。
また、監視対象の幅広さにも強みを持ち、ファイアウォール、IDS、VPN、EDRなど200種類以上の製品に対応しているのに加えて、AWS、Azure、GCP、Salesforceなど18種類以上のクラウドに対応。チケット制で複数のサービスが利用でき、脆弱性診断、マルウェア感染、情報漏洩の初動対応から影響範囲調査など幅広くカバーしている。
(出所:SOC/CSIRTサービス公式Webサイト)
NTT研究所で培った高い技術力を活かした、セキュリティ監視と検知、即時対応をトータルで提供するソリューション。NTTグループならではの豊富な外部ソースからの脅威情報収集や、検知技術を開発できるセキュリティエンジニアリング、インシデント対応支援も可能な高度なセキュリティラボを完備している点が強み。最新の相関ルールやウォッチリストを迅速に提供している。
SOCサービスでは、標準型攻撃による不審な通信の検知や、脆弱性を突いた情報流出の検知などに対応し、インシデントを早期に検知。またCSIRTサービスでは、感染したPCと被害範囲の特定、攻撃元の特定や感染したPCの解析などに対応している。
本記事ではSOCサービスについてご紹介しました。以下、要点(よくある質問)をまとめておきましたので、参考にしてください。
SOCサービスとは、サイバー攻撃の検知・分析・対応を専門に行う組織が提供するセキュリティ対策サービスです。類似サービスに、CSIRTサービスやMDRなどが挙げられます。
SOCサービスを選ぶ際には、以下の3つのポイントで比較・検討しましょう。
[1] SOCサービスのタイプ(EDR製品の運用に対応するタイプ/幅広い製品の運用に対応するタイプ)
[2] 監視する製品の対象範囲
[3] 監視業務の対応範囲
[1]EDR製品の運用に対応するタイプ / LANSCOPE サイバープロテクション CylanceMDR、 セキュリモ、 EDR監視サービス(S&J)、 Carbon Black セキュリティ監視サービス など
[2] 幅広い製品の運用に対応するタイプ / NetStare®、 SCSK SOC、 IIJ C-SOCサービス、 CEC SOC、 SOC運用サービス(セキュアイノベーション)、セキュリティログ監視サービス(共用SOC)(NRIセキュアテクノロジーズ)、 SOC運用支援(SHIFT)、 SOC/CSIRTサービス(NTTアドバンステクノロジー) など
SOCサービスをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
LANSCOPE サイバープロテクション CylanceMDR
エムオーテックス株式会社
世界トップレベルのセキュリティ専門家によるMDRサービス。アンチウイルスからEDR、導入支援、MDRまで対応可能。効率的な運用とセキュリティ強化を実現します。...
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。