EDR運用に必要なSOCとは

ここではEDR導入後に発生する運用課題を解決するために必要なSOCについてリサーチ。そもそもSOCとはどんなものなのか、その役割や構築方法、利用できるアウトソーシングサービスなどについて解説します。

EDRにおけるSOCサービスとは?

SOCって何?

SOC(Security Operation Center)とは、サイバー攻撃の検知/分析および、それらへの対策などを行う組織のこと。EDRの運用においては、EDRが収集したログの確認・分析、脅威検出、原因調査、システム復旧まで対応します

EDR導入後にSOCが必須とされるのは、サイバー攻撃に適切に対応するためには24時間365日の監視体制で専任者がいないと運用が難しいから。スピーディな判断・対処は技術者の片手間レベルではできないということです。

SOCでできること

監視と警告

SOCは、ネットワークトラフィック、サーバー、アプリケーション、データベース、その他のシステムの監視を通じて、異常や潜在的なセキュリティ脅威を警告します。

インシデント対応

セキュリティインシデントが検出された場合、SOCは迅速に対応し、問題を隔離、解決し、将来の攻撃を防ぎます。

脅威ハンティング

SOCチームは能動的にシステムを調査し、隠れた脅威や未知の攻撃を見つけ出すことができます。

フォレンジック分析

セキュリティ侵害が発生した後、SOCは詳細な調査を実施して、侵害の原因を特定し、被害の範囲を理解します。

コンプライアンスとレポート

SOCは法規制や業界標準への準拠を確保し、関連する報告書や文書を作成します。

EDRにおけるSOCの必要性

EDRはセキュリティ脅威検出と対応のみを行いますが、複雑かつ洗練されたサイバー攻撃に対抗するためには、これらの情報を解釈し、適切な対策を講じる専門知識が必要です。以下はEDRをSOCに統合することの重要性を示しています。

データの集約

EDRはエンドポイントからのデータを収集しますが、SOCはこれらのデータを他のソース(ネットワークセキュリティツール、SIEMシステム等)と組み合わせて分析することができます。

複合的な脅威対応

単一のエンドポイントの警告に即座に対応するだけでなく、SOCは組織全体の脅威を総合的に理解し、対処することができます。

専門的な知識と経験

SOCチームは、脅威の動向、攻撃方法、防御戦略に関する専門的な知識を有しています。EDRが提供するデータを最大限に活用し、より効果的なセキュリティ対策を実施できます

持続的な運用

EDRはセキュリティイベントの検出と記録を提供するだけでなく、SOCはこれらの情報を活用して継続的な監視と改善を行います。

DRとSOCを統合することにより、セキュリティ体制はより迅速で効果的なインシデント検出と対応能力を有することになり、組織のサイバーリスクを低減させることが可能になります。

SOCの構築

自社内でSOCを構築することは可能?

専門知識・技術がある人材がいれば自社内でSOCを構築することは可能です。社内のシステムについて熟知していますし、ネットワーク機器やシステムの変更、バージョンアップ、などがあっても素早く対応できるメリットがあります。

ただし、これは社内に対応できる人材がいることが大前提。人材不足でEDR運用が難しい状況だとあまり現実的な話ではありません。人材確保の目処がついていて社内でのノウハウ蓄積を重視するなら社内構築という選択もありです。

アウトソーシングサービスを活用

社内でのSOC構築が難しい場合はアウトソーシングサービスを活用する方法が有効です。24時間365日監視やインシデント発生時の対応を外部に任せることができれば、貴重な技術者を本業に集中させることも可能になります。

EDRがサイバー攻撃の脅威を検知しアラート通知されると、SOCは挙動を分析して誤検知を取り除き、対応すべきアラートのみピックアップ。脅威を除去しシステムの復旧や再発防止の検討、新たな対策へとつなぐことができます。

SOCサービスの比較ポイント

SOCサービスを選定する際には、いくつかの重要なポイントを検討する必要があります。以下にSOCサービスを提供する会社を選ぶ際の主なポイントをまとめました。

経験と専門性

サービスの範囲

カスタマイズと柔軟性

コストとROI

インシデント対応計画

インシデント対応計画

編集チームまとめ

以上のようにEDR運用にはSOCは必須で、社内で構築も可能ですが、アウトソーシングサービスを活用する方が迅速に体制を整えることができます。ベンダーの中にはEDR導入とSOCをセットにしたサービスを提供しているケースもあります。このサイトではそうしたベンダー情報についてもまとめていますので参考にしてください。

EDR製品を導入する際の
おすすめベンダー2選をチェック

【SOCの対応範囲別】
EDR+SOCを提供しているおすすめベンダー2選

「センチネルワン」「サイバーリーズン」「クラウドストライク」のいずれかのEDRライセンスを提供するパートナーの中でも、SOCサービスに強みのあるベンダーを紹介します。

監視から運⽤まで
まるっと任せられる
株式会社アクト
株式会社アクト
※引用元:アクト公式HP(https://act1.co.jp/cybersecurity/)
提供するのはこんなSOCサービス

24時間体制での監視・対応はもちろん、ホワイト/ブラックリスト登録や、感染影響の排除までを能動的にすべて対応。情シス側は作業報告を受けるだけで良いため、自社にリソースがない企業におすすめ。

対応サービス一例
24時間365日の監視
危険度が高い場合の自動隔離
アラート内容の精査
⼀次調査+⼆次調査
(レポート含む)
ホワイトリスト/ブラックリスト登録
(能動的)
感染影響の排除
(マルウェア・不正ファイルの削除など)

(能動的)
導⼊できるEDRは
センチネルワン
サイバーリーズン
   
自社のリソースも活用しながら運用していける
クロスポイントソリューション
株式会社
クロスポイントソリューション株式会社
※引用元:公式HP(https://cp-sol.co.jp/)
提供するのはこんなSOCサービス

日々のアラートをアナリストが精査・分析したうえで、通知。情シス側はその通知の指示やアドバイスに沿って対応するだけ。
自社のリソースをある程度活用しながら運用していきたい企業におすすめ。

対応サービス一例
24時間365日の監視
危険度が高い場合の自動隔離
アラート内容の精査
⼀次調査+⼆次調査
(レポート含む)
ホワイトリスト/ブラックリスト登録
(受動的)
感染影響の排除
(マルウェア・不正ファイルの削除など)

(推奨対応を提示)
導⼊できるEDRは
サイバーリーズン
クラウドストライク
   

【選定理由】Google検索「EDR 導入」でヒットしたベンダー40社の内、「センチネルワン」「サイバーリーズン」「クラウドストライク」のいずれかのEDRライセンスを提供している企業を調査。それぞれ以下の理由で選定しました(2023年2月15日調査時点)。
株式会社アクト:国内で唯一センチネルワンの公認IRパートナー(2023年2月時点)かつSOC運用を全般的に任せられる企業(※1)。
クロスポイントソリューション株式会社:セキュリティ運用・監視サービスを提供できるパートナーとしてのメーカー認定を持っており、なおかつ「24時間365日の監視」「アラート内容の精査」「⼀次調査+⼆次調査」の能動的な対応が唯一可能な企業。

※1参照元:センチネルワン公式HP(https://jp.sentinelone.com/press/act-co-ltd-signs-an-incident-response-partner-agreement-with-sentinelone-the-first-company-based-in-japan/)