サイバー攻撃への備え「内部SOC構築」を考える

1. 情報セキュリティのあるべき姿とSOC構築方法を考える

4月から始まる会計年度の第二四半期（2Qとも言う）の終わりは9月30日である（企業によって異なるが）。または、年度の前半6カ月を上期と言う。上期は新年度のスタートであり、目標設定や計画の立案が行われる時期でもある。10月は下期のスタートに向けて重要な月になる。

前職のNHKでは、8月には甲子園高校野球大会、9月は大相撲秋場所、11月は大相撲九州場所を放送する。夏から秋にかけては過ぎるのが早く、気づくと冬が訪れていた。12月となると紅白歌合戦、行く年来る年、箱根駅伝などの番組の放送に向けた準備で慌ただしく年末を迎え、その年を終える。NHK時代は10月から12月の3Qは、1年の中で一番忙しい時期であった。NHKを退職して5年以上も経つが、3Qの開始（10月）は「やる気」が湧いてくる。

さて、今回は情報セキュリティのあるべき姿を考えるとともに、社内でのSOC構築方法についてお話ししたい。あくまでも、僕個人の経験の話であって、こうしなければいけないというものではない。参考になれば嬉しい。

2. SOCとは、会社や組織の情報セキュリティを監視・管理する専門の部門

既にご存じの情シスは多いと思うが、改めて説明すると、「SOC」とは「Security Operations Center」の略語で、会社や組織の情報セキュリティを監視・管理する専門の部門や施設を指す。社内にSOCを構築する場合、社員が中心になる内部SOCと、ベンダーなどに外注して行う外部SOCという形がある。

内部SOCは、社内の情報資産を守るために非常に重要な役割があり、主に組織内で情報セキュリティ対策を担当する役職になる。SOCの役割についてまとめてみた。

SOCの役割

►リアルタイム監視：ネットワークやシステムの異常をリアルタイムで監視し、サイバー攻撃や不正アクセスを早期に検知する。

►インシデント対応：セキュリティインシデントが発生した際に迅速に対応し、被害を最小限に抑えるための対策を講じ、再発防止の対応を行う。

►脅威分析：最新の脅威情報を収集・分析し、潜在的なリスクに対する防御策を講じる。

►レポート作成：セキュリティ状況やインシデントの詳細を報告し、経営層や関係者に脅威情報を提供する（定期的なエグゼクティブサマリー報告）。

SOC構築を考える場合、サイバー攻撃などの最悪のシナリオを想定し、サイバーリスクへの対策を考える必要がある。サイバーインシデントの特徴は、一瞬に来る災害（地震）や機器障害などとは違い、キルチェーンなど計算された攻撃や、ランサムウェアなどのようなもので攻撃してくるものであるため、標的を絞るというより、被害を拡大させない対策や復旧プロセス手順を整える備えを考えることが重要である。

一方、SOC運用を考える場合、社員のみで構成される内部SOC運用と、専門の外部業者に依頼する外部SOC運用がある。内部SOCの役割でポイントとなるところは、インシデントの発生から原因を突き止め、被害拡大を抑えることがメインになるが、収束させた後、再度同様のインシデントを受けないための対応について考えなければならない。外部SOCの役割については、日常の監視によるマルウェア検知と分析の業務が中心になる。SOC業務は、事故発生後から業務復旧が迅速にできるように連携し協力していくことが重要である。

3. サイバーセキュリティ対応グループの設立について

当時（2013年）、SOCを構築するにあたって、全ての業務を外部業者に依頼することを考えていた。放送局は24時間業務を止められず働いている社員がいるため、インシデント対応を考えた場合、どんな時間でも社員のみで構成するには限界があると思ったからだ。

端末に異常があった場合にネットワーク遮断については自動でできるものの、業務上の問題で、その都度、社員とのコンタクトが必要になる。そこで、完全に外部業者を利用するSOC体制ではなく、社員が直接対応する部分も考慮して、社員のみの内部SOCも同時に構築することが有効であると思い、内部SOC構築も考えるに至った。

内部SOCは新しい組織の設立になるため、経営者向けの要求計画書を提出したり、作業メンバーに対しても要員増の希望を提出した。この作業には結構な時間がかかり大変だったが、２名の増員と自分を入れて5名のSOCチームの新設を実現することができた。当時、私が使っていたノートにSOC設立に対する考え方のメモを残してあるので紹介したい。かなりラフに書いたメモなので参考程度に読んでほしい。

4. SOC要員の確保と予算要求はどうやって実現できたか

当初は、全て情シスの社員がSOC運用を兼務でなんとなく行っていた。SOC運用開始時には、システム導入のようなカットオーバーはなく、導入したシステムを使って検知から遮断などの監視を続けていた。そんな状況から、外部SOCの構築、正式なSOCチームの設立、要員も増えるまでになった。どのようにしてSOCチームの存在が認められ、増員ができたのか、お話ししたい。

まず、経営層（意思決定者）には、直接会って定期的な脅威情報の報告を行った。全く攻撃が来ていない状態でも世間話をするなど、とにかくサイバーセキュリティに関する話を何度も何度も行った。

そうしているうちに経営者の方から他社で起きたインシデントについて詳しく教えてほしいなど、専門用語が普通に出てくるようになる。僕の場合、PCを使わず、ホワイトボードに手書きをして説明を繰り返し行った。また、自社に対して迷惑メールがどれだけ来ているか、毎回正確な数字を報告し、攻撃者の狙いなどについて解説した。一緒になって対応方法について話し合った記録が残っている。

放送局の業務特性もあるため、SOCが必要であることは理解してもらえた。また、要員についても個々の役割を細かく説明することで了承してもらえた。「自社に対して何も起こらなかったのに高いお金を払ってセキュリティに投資しなくても」と思う経営者が多くいるのも事実だ。何度もわかりやすく脅威情報を説明することが必要になってくる。この部分ができていないと何も始まらないことを知っておいてほしい。

5. 経営層にサイバーセキュリティの重要性を理解してもらう有効手段

確実に効果があるのは、同業他社における事故事例の説明だ。ランサムウェアなど、サイバー犯罪の被害についてメディアからの情報を伝えることが有効である。国内においては大きく報道されたインシデントの話をすることが、経営層を動かす手段だ。特に国内で起きた事故に対して、自社に起こりうる想定について説明するとよい。

僕の場合は、韓国の放送局を狙ったサイバー攻撃や、フランスの放送局を狙った攻撃などの事例を何度も何度もわかりやすく図を描いて説明した。実際のインシデントの例を挙げ、被害金額などを数値で示した。会社にとって重要な情報が何なのか、守るべき業務の優先順位を考えてもらうことが重要になる。

サイバーセキュリティに関心を持ってもらうために、情シスは想定できる損失を経営層に示せる唯一の職場である。SOCの重要性は、インシデント発生から対処するだけのチームではない。分析を行い、再度攻撃を受けないような強い組織にすることと、効果的な対策が講じられるようになることだ。同時に、セキュリティに対する社員のスキル向上が図れることだ。さらに、内部で発生していることを包み隠さず経営層にわかりやすく説明していくことが大切だ。

サイバー対策の進め方は社員が行っていくが、結果については経営層を仲間に入れて一緒に対応していく雰囲気づくりも重要になってくる。そうすることで、自社が対応すべきSOC運用について関心を持ってもらえるということになる。情シスとしても経営層と同じ視点で会話できるようになることがカギであると思っている。

6. SOC運用は、インシデントレスポンスを意識する

組織が大きければ大きいほど、縦割りと横のつながりがインシデントレスポンス（速さ）に関係してくる。SOCへの情報提供だけでなく、依頼をかける場合にも関係してくる。内部で実施するSOCは、インシデント発生時の迅速な対応など、情報システムの統制を担うべきである。

自社のセキュリティニーズに最適な形で外部SOCを活用するためにはどうすればいいのか、以下にポイントをまとめてみた。

外部SOCを選ぶ際のポイント

►対応時間とコミュニケーション手段について

• 24時間365日の対応が可能であり、その対応のレベルが変わらないこと
• 電話やメール、チャットなどのコミュニケーション手段が整っている
• 異常事態にはネットワークが使えないため、柔軟に対応できる手段があること

►提供される機能について

• 自社に必要な監視・管理機能が含まれている
• インシデント発生後の対応範囲や潜在的脅威の検出が可能
• 危険な状況での判断ができる体制であるか

►専門知識のある人材が揃っているか

• 高度なセキュリティスキルを持つ人材がいる
• 常に新しいことにチャレンジしている
• 多くの顧客対応や案件を経験している

►費用対効果があるか

• 自社内でSOCを構築するよりもコストが抑えられる
• 運営支出として扱えることができる

►実績と信頼性のある会社かどうか

• 過去の導入事例や実績が豊富である
• 他の企業からの評価やレビューがよい

外部SOCを利用する注意点について

►内部SOCからの依存度が強くならないようにする

外部SOCに完全に依存すると、自社のセキュリティ状況を把握しづらくなるため適切なバランスを保つことが重要。

►業界に特化したカスタマイズの要望が強すぎるとよくない

外部SOCのサービスは標準化されていることが多い。自社の特定のニーズに完全に対応できない場合は、どの部分で線を引くか検討する必要がある。

►データの取り扱いについて再委託先などの把握

セキュリティデータの取り扱いに関して、外部委託先との信頼関係が重要。委託先のエラーにより、データ漏えいのリスクもある。外部へ委託するリスクを最小限に抑えるための対策が必要。

7. まとめ

当時は会社のパソコンのインシデント情報については、あまりオープンにすることはなく、なんとなく状況を隠すことが当たり前だったような気がする。2012年の頃は、サイバー攻撃による被害とコンピューターウイルス感染による被害は全く別物のようであった。

しかし、私が内部SOCの必要性を認識したのはITに対するサイバー攻撃の恐ろしさを知ってからである。さらに同業他社との情報共有がないと攻撃を受ける側が圧倒的に不利であると考えたからである。SOCは、守るべき範囲を定め、全社員を巻き込むことで、安心安全なIT運用ができるようになる。SOCは会社を守る組織になり、経営者としても自社に何が起きているか可視化できればセキュリティへの投資の理由が明確になるのではないだろうか。