セキュリティ オペレーション センター（SOC）とは、組織内の一元化されたセキュリティ ハブのことです。セキュリティ インフラストラクチャ、ネットワーク、アプリケーション、企業デバイス、および組織で利用されるその他のテクノロジーやサービスなど、組織のセキュリティ環境を継続的に監視する責任を負っています。

セキュリティ オペレーション センターは、継続的な監視、脅威の分析、セキュリティ脅威の修正に加えて、既存のセキュリティ イニシアティブを改善し、組織のセキュリティ ポスチャを可能な限り強固で堅牢なものにすることを任務としています。

これらのイニシアティブに対応するため、セキュリティ オペレーション センターは、組織全体に散在するさまざまなデータ ソースから継続的にデータを取り込んでログに記録し、セキュリティ運用チームがリアルタイムのセキュリティ分析に利用できるようにリアルタイムのセキュリティ データを提供しています。そうした活動において、SOC チームは 24 時間体制で潜在的なセキュリティ脅威を観察、分析、修正し、セキュリティ脅威に関する重要な情報を経営陣に報告しています。

セキュリティ オペレーション センターを成功に導く重要な要素の 1 つは、セキュリティ情報イベント管理システム（SIEM）の使用です。セキュリティ情報イベント管理システムは、組織のネットワーク内のさまざまなデバイスから重要なセキュリティ データをポーリングする各種サービスからデータをリアルタイムに取り込むように設計されています。

SIEM から収集されたデータには、いくつかの使用方法があります。たとえば、SIEM により収集された疑わしいデータを使用して、疑わしいイベントや異常なイベントに対するアラートを生成することができます。

SIEM を使用して、セキュリティに関連したデータを侵入防止システム（IPS）、侵入検知システム（IDS）、セキュリティ専用データベース、データウェアハウス、脅威インテリジェンス プラットフォーム（TIP）などの脆弱性評価ソリューションに流し込み、データに関する追加のセキュリティ オペレーションを行います。

SOC を設置する主なメリットの 1 つとして、組織はこのセキュリティ イニシアティブを通じてセキュリティ ポスチャを強化できることがあります。

セキュリティ オペレーション センターに投資している組織は、組織全体を継続的に監視し、ネットワーク、デバイス、アプリケーションに関するデータを 24 時間 365 日リアルタイムで収集することからメリットが得られます。組織はインシデントから対応までの時間を劇的に短縮し、攻撃によって想定される被害を大幅に軽減することができます。

強力な SOC モデルを採用している組織は、悪意ある攻撃を早期に発見し、潜在的なサイバーセキュリティ攻撃の被害を軽減できる可能性がはるかに高くなります。

セキュリティ オペレーション センターは、「人手不足」と「スキル不足」という 2 つの大きな壁に直面しています。

人手不足：

変化の激しい現在の求人市場において、組織は優秀な人材の雇用と維持に苦労しています。特にセキュリティ分野では、その傾向が顕著になっています。今年の初めには、50 万人近いセキュリティ関連の求人が出されていました。これらの職務に就くための資格を持った候補者が少ないため、セキュリティ チームは依然として人手不足のままで、過剰労働が続いています。

スキル不足：

セキュリティ業界もスキル不足の影響を大きく受けています。人材が限られている場合、組織はより低い資格の候補者を採用します。このため、雇用主は、社内で従業員をスキルアップさせるか、既存のスタッフ（場合によっては周辺部門のスタッフ）に仕事を追加で任せなければなりません。

セキュリティ オペレーション センターは、テクノロジーに依存し、モダナイズされた今日の組織において、脅威の特定および封じ込め戦略を実行する役割を果たします。脅威の封じ込めでは、さまざまなセキュリティ アプリケーション、サービス、ツールを使用して、サイバー攻撃のリスクを軽減します。

セキュリティ オペレーション センターごとに、セキュリティ環境を強化するために採用されるセキュリティ ツールは異なります。しかし、ほとんどのセキュリティ オペレーション センターで共通して使用されているセキュリティ アプリケーション、サービス、ツールがいくつかあります。

挙動監視システム
最新のセキュリティ オペレーション センターで標準的に行われている挙動監視では、セキュリティ脅威を示唆する異常を発見する目的で、組織のさまざまなプロパティを監視します。

挙動監視ツールが分析する一般的なプロパティは以下のとおりです。

• ネットワーク アクティビティ
• 疑わしいダウンロード
• エンドポイントの再起動
• ポリシー違反
• インバウンド/アウトバウンド トラフィックの分布の評価
• エラー メッセージ

エンドポイント監視システム
サイバーセキュリティ攻撃の観点で言えば、ユーザー エンドポイントは現在もっとも脆弱なターゲットの 1 つです。残念ながら、ユーザーは悪意のある E メールを開いたり、ソーシャル エンジニアリング攻撃の犠牲となったりする傾向にあります。今日のセキュリティ オペレーション センターでは、エンドポイントを積極的に監視することに高い重要度が置かれています。

SIEM（セキュリティ情報イベント管理）
セキュリティ情報イベント管理システム（SIEM）は、さまざまなセキュリティ アプリケーション、サービス、ツールからリアルタイムのセキュリティ データを収集し、疑わしいアクティビティに対してアラートを生成することを任務としています。SIEM はデータ収集の中心的なハブとして機能し、セキュリティ関連のほぼすべての意思決定の拠り所となるため、セキュリティ オペレーション センターではもっとも重要なツールの 1 つです。

侵入検知システム（IDS）
侵入検知システム（IDS）もまた、セキュリティ オペレーション センターの重要なコンポーネントです。IDS は、ネットワークに出入りするデータを監視することを任務としています。その役割は、組織のネットワーク内を移動する潜在的なセキュリティ脅威を特定し、フラグを立てることです。

侵入防止システム（IPS）
侵入防止システム（IPS）は、組織のネットワーク上で実行される脅威を軽減することを役割としている点では、IDS と同様です。しかし、IDS が疑わしいパケットを特定し、セキュリティ運用チームによる追加のアクションのためにフラグを立てるのに対して、IPS は疑わしいパケットをリアルタイムで特定してネットワークから削除します。

あらゆる組織において、成功のためには現在のセキュリティ運用チームの構造が重要になります。セキュリティ運用チーム内の個人が各自の役割に対して十分に訓練されている必要があることに加え、組織のセキュリティと整合性を確保するにはチーム全体としても調和のとれた運用を行うことが求められます。

最高情報セキュリティ責任者（CISO）：

最高情報責任者（CISO）は、企業全体に影響を与えるセキュリティ イニシアティブに関して高いレベルの意思決定を行うことを任務とする経営幹部です。

こうした人物が確立したセキュリティ関連の戦略やオペレーションがインシデント レスポンス責任者や SOC マネージャなどのセキュリティ オペレーション センターのリーダーにまで浸透することで、セキュリティ オペレーションや脅威防御オペレーションに対するアプローチが一貫したものとなります。

シニア セキュリティ マネージャ：

シニア セキュリティ マネージャは、担当する SOC チームの業務全般を監督し、重大なセキュリティ脅威が発生した際にはチームがどのように行動および対応すべきかについて高いレベルの指示を与えることを任務とします。また、シニア セキュリティ マネージャは、最高情報セキュリティ責任者（CISO）に指示を仰ぎ、セキュリティ上の重大な問題を伝達することも任務とします。

インシデント レスポンス責任者：

インシデント レスポンス責任者は、セキュリティ監視ツールの設定と管理、また特定されたサイバー脅威の報告を担当します。日々の何百件ものセキュリティ脅威を監視し、潜在的なセキュリティ脅威への対処方法についてリアルタイムで意思決定を行うことを任務とします。

SOC アナリスト：

SOC アナリストは、セキュリティ イベントを監視し、L2/L3 セキュリティ アナリスト向けにアラートに優先順位を付けることを任務とします。SOC アナリストは、すべての疑わしいアクティビティを調査し、アラートに対応します。

VMware は、セキュリティ オペレーション センターのモダナイゼーションを可能にする一連のセキュリティ ソリューションを提供しています。VMware 製品を使用することで、確実、迅速かつ正確な対応の拡張が可能になります。VMware は、業界最高クラスのプラットフォームにより、信頼性の高い運用を即時に実現し、問題解決までの時間を短縮します。