実行可能なインシデント対応計画テンプレート

堅牢なインシデント対応計画を作成するためのクイックスタートガイド - クラウドベースのデプロイを持つ企業向けに特別に設計されています。

セキュリティオペレーションセンター(SOC)の開梱

セキュリティオペレーションセンター(SOC)は、企業のITエコシステム内で一元化された施設と機能であり、サイバー脅威を監視、管理、軽減します。

7 分で読めます

SOCとは何ですか?

セキュリティオペレーションセンター(SOC)は、組織内で一元化された機能であり、人、プロセス、テクノロジーを使用して組織を継続的に監視および改善します'サイバーセキュリティインシデントの防止、検出、分析、および対応を行いながら、セキュリティ体制を強化します。

すべてのSOCはユニークです。 チームとプロセス、およびさまざまなツールとテクノロジーで構成される企業は、SOCをアウトソーシングするか、社内で構築して保守することができます。 その実装に関係なく、SOCの中心的な目的は、組織を常に最適化することです'のセキュリティ体制とサイバー攻撃の防止。

最近では、SOCの重要性が増しています。結局のところ、脅威の状況はかつてないほど大きくなっています。 聞いたところでは インディペンデント紙、脅威アクターはそれ以上のものを引き起こしました 2億9,000万件のデータ漏洩 2023年に。 強力なSOCがなければ、リークや侵害を防ぐことはほぼ不可能です。SOCは、企業データ、特に企業秘密、顧客の個人識別情報(PII)、資格情報、知的財産などの価値の高い重要なデータを保護します。

活況を呈している サービスとしてのSOC 2028年までに114億ドルに達すると予測される市場は、SOCの重要性を強調しています。 これから見ていくように、企業には多くのSOCモデルがあり、その決定を下す前に考慮すべき要素も数多くあります。 ただし、企業がどのモデルを選択しても、SOCの基本的な機能と目的は同じです。 詳しく見てみましょう。

セキュリティオペレーションセンターの主な目標

セキュリティオペレーションセンター'の主な目標は、 組織の資産を保護し、ビジネスの継続性を確保する. これを達成するために、SOCは以下を目指しています。

  • ダウンタイムと財務上の損失を最小化 セキュリティインシデントによるもの。

  • 組織の強化'のセキュリティ体制 リスクを積極的に特定し、軽減します。

  • インシデント対応時間の改善 サイバー攻撃の影響を軽減します。

  • 業界規制へのコンプライアンスの維持 と標準。

  • 強力なセキュリティ文化の構築と維持 組織内。

  • セキュリティ投資の最適化 効率的なリソース割り当てを通じて。

SOC目標の測定

SOCのパフォーマンスを効果的に測定するには、重要業績評価指標(KPI)が不可欠です。 これらの指標は、SOCを定量化するのに役立ちます'の目標達成の成功。

KPI の例:

  • インシデント対応: 平均検出時間 (MTTD)、平均対応時間 (MTTR)、平均封じ込め時間 (MTTC)、およびインシデント解決率。

  • 脅威検出: 誤検知率、真陽性率、脅威検出効率。

  • セキュリティ体制: 脆弱性の修復率、パッチのコンプライアンス、およびシステム構成のコンプライアンス。

  • コスト効率: インシデントあたりのコスト、保護された資産あたりのコスト、セキュリティ投資収益率 (ROSI)。

SOC目標とビジネス目標の整合性

成功するSOCは、全体的なビジネス戦略に直接貢献する必要があります。 この整合性を実現するために、SOCは次のことを行う必要があります。

  • ビジネスの優先事項を理解する: コアビジネス機能をサポートする重要な資産、システム、データを特定します。

  • セキュリティリスクの定量化: セキュリティインシデントが事業運営、収益、評判に及ぼす潜在的な影響を評価します。

  • ビジネス価値の実証: SOCがどのように'の努力は、収益の創出、コスト削減、またはリスクの軽減に貢献します。

  • 効果的なコミュニケーション: SOCを明確に表現する'利害関係者に対するビジネス目標を達成するための役割。

SOCはどのように機能しますか?

SOCの主な役割は何ですか?

  • 最高情報セキュリティ責任者(CISO)は、サイバーセキュリティ階層の最上位に位置し、SOCとCEOの間の架け橋として機能します。 

  • SOCマネージャー SOCのすべてのチーム、ツール、ワークフロー、および活動を監督します。

  • セキュリティエンジニア 企業のサイバーセキュリティアーキテクチャを構築および保守します。

  • 脅威ハンター 企業のIT資産内に潜む新たな脅威や隠れた脅威をプロアクティブに検索します。

  • セキュリティアナリスト IT環境を監視し、異常な動作にレッドフラグを立て、アラートをトリアージします。

  • 法医学の専門家 サイバーインシデントを解剖して根本原因を明らかにすることで、企業が将来同様のエクスプロイトを防ぐのに役立ちます。

SOCの日常的なプロセスはどのようなものですか?

  • 脅威の監視: IT環境と資産をスキャンして脅威を発見

  • アラートのトリアージ: ビジネスとワークロードのコンテキストに基づくアラートと脅威の優先順位付け

  • 脅威分析: 脅威を調査し、その正当性と効力を検証する

  • 脅威の分離: 既存の各脅威の潜在的な爆発半径と攻撃経路を縮小

  • 修復: 侵害されたシステムの回復、脆弱性へのパッチ適用、サイバーインシデントによる被害の修復

  • フォレンジック調査: 脅威、サイバー攻撃、クラウドイベントに関する徹底的な調査を実施し、敵対者のツール、戦術、手順(TTP)を理解する

SOCの主なテクノロジーとツールは何ですか?

最適なSOCは、包括的で、さまざまな機能を備えている必要があります。 たとえば、SOC は次のものを提供する必要があります。

  • 物理インフラストラクチャと仮想インフラストラクチャ全体のすべてのIT資産を特定し、インベントリを作成する手段。 

  • 不正アクセスの兆候を特定する侵入検知メカニズム。 

  • 仮想マシン、コンテナ、コンテナレジストリ、サーバーレス機能、仮想アプライアンス、およびマネージドコンピューティングリソースのプロアクティブなスキャン(および発見された脆弱性の優先順位付け)。 

  • IT環境内の異常なパターンを分析するための行動分析ツール。 

  • 組織のさまざまな部門からサイバーセキュリティ情報を収集、管理、分析するためのセキュリティ情報およびイベント管理 (SIEM) ツール。

  • EDR(Endpoint Detection and Response)は、企業のエンドポイントを監視および保護します。

  • 脅威インテリジェンスプラットフォームは、公開、非公開、内部、および外部のソースからの一連の脅威データを調査します。 

  • クラウドの検出と応答 モントールに、企業のクラウド環境を保護します 

Figure 1: The Wiz CDR at work

SOCモデルにはどのような種類がありますか?

SOCモデルには3つのタイプがあります。

  1. 社内SOC: 企業は、社内リソースのみを使用してSOCを管理および運用しています。

  2. アウトソーシングされたSOC: 企業 サードパーティのSOC-as-a-ServiceプロバイダーにSOCの管理を依頼します。

  3. ハイブリッドSOC: 企業は、社内リソースとアウトソーシングサービスを組み合わせてSOCを管理しています。 

ガートナーによると、 調査対象企業の63%がハイブリッドSOCモデルを好んでいる これにより、社内と外部委託の両方のセキュリティリソースが活用されます。 34%は、外部のサービスプロバイダーを含まない社内のSOCモデルを特徴としています。

SOC モデルの選択

企業は、どのSOCモデルを選択すべきかをどのように判断するのでしょうか? 以下は、自社およびアウトソーシングのSOCモデルを構築または選択するための5つの重要な考慮事項です。

ConsiderationsIn-House SOCOutsourced SOC
Customization and costAn in-house SOC gives organizations a higher degree of control. However, in-house models are more expensive.Businesses may not always be able to intricately tailor off-the-shelf SOC solutions, but they are considerably cheaper.
ScalabilityIn-house SOCs are not easy or affordable to scale.Outsourced SOCs feature higher degrees of scalability, which can help accommodate future variables.
Required expertiseIn-house SOC teams have in-depth knowledge of enterprise IT assets and resources. That said, they may lack other critical cybersecurity knowledge or expertise.Third-party providers may not understand an enterprise’s IT environments as well as in-house security operations teams. On the other hand, third-party teams may have more expertise and skill sets related to the latest cybersecurity threats and trends.
Risk of coverage gapsBecause of the close proximity to their own environments, in-house SOC teams may have a biased or limited perspective.Outsourced SOCs will likely have a more objective and panoramic view of an enterprise’s IT environments and adversaries.
Ease of updatesIt’s often expensive for in-house SOCs to commission and include new tools and technologies.Third-party providers constantly update and optimize their backend infrastructure and tools to serve their customers with cutting-edge capabilities.

上の表からわかるように、自社製と外注型の両方のSOCモデルには、無数の長所と短所があります。 だからこそ、大多数の企業が両方の長所を選択することが多いのはそのためでしょう。 ただし、場合によっては、企業がどちらかを選択する正当な理由がある場合もあります。 SOCモデルの選択に関しては、明確な正解も不正解もありません。 むしろ、お客様独自のIT要件とサイバーセキュリティ要件を理解し、それらに対応するモデルを特定することが重要です。 

WizがSOCチームをサポートする方法

Wizは、セキュリティ監視、脅威検出、および インシデント対応

主なサポートメカニズムは次のとおりです。

  • 脅威の検出: Wizは、リアルタイムの脅威検出のためのダッシュボードとツールを提供し、SOCチームがセキュリティインシデントを迅速に監視して対応できるようにします。 

  • セキュリティグラフ: Wiz セキュリティグラフ この機能は、セキュリティデータをコンテキスト化し、潜在的な脅威の特定と理解を容易にします。

Figure 2: The Wiz Security Graph
  • クラウドイベント: SOC チームは、特定の時間枠でフィルタリングされたクラウド イベントを探索して、疑わしいアクティビティを特定して調査できます。

  • ポリシーと制御: Wizは、多数のセキュリティポリシーと制御を適用し、インフラストラクチャの安全性と業界標準への準拠を確保します。

  • 統合: Wizは、チケット発行、SIEM、SOARなどのさまざまなサードパーティツールとシームレスに統合することで、ワークフローの合理化と効率的なインシデント管理を促進します。

もっと詳しく知りたいですか? デモを依頼する では、SOCチームがWizの業界をリードするクラウドセキュリティプラットフォームからどのようなメリットを得られるかをご覧ください。

A single platform for everything cloud security

Learn why CISOs at the fastest growing organizations choose Wiz to secure their cloud environments.

デモを見る