サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

SHIFT SECURITY クラウドセキュリティの学び場 技術や仕組み 「SOC」と「MSS」をすっきり理解しよう

「SOC」と「MSS」をすっきり理解しよう

「SOC」と「MSS」をすっきり理解しよう
目次
  • SOCとは、MSSとは、それぞれの定義
  • SOC と MSS の違い

SOCとは、MSSとは、それぞれの定義

「セキュリティ監視」に興味がある方は SOC や MSS という言葉を聞いたことがあるかと思います。本稿では SOC と MSS の定義と違いを明らかにするとともに、「セキュリティ監視」について適切なサービス選択するための考え方を紹介したいと思います。

SOCとは

SOC (ソック) とは Security Operations Center の略語で直訳すれば「セキュリティを運用する組織」を意味します。実際の業務は組織により差がありますが、多くの場合、以下のようにあらわすことができます。

ネットワークや情報機器からのログを監視・分析し、
インシデントの検知と対応を行うための組織

多くの場合、SOCは「SOC事業者」へアウトソースされます。アウトソースされる理由としてはSOCの運用にはセキュリティ人材の確保や分析用機材(SIEM等)の運用の問題などが挙げられます。このように、自組織内に構築したSOCは「PSOC (Private SOC)」と呼ばれることがあります。多くの場合、PSOCの構築と維持には大きなコストを伴う傾向があり、SOCを構築する際にはSOC事業者へのアウトソースが選択されているのが現状です。以降ではSOCを「SOC事業者によるSOC」の意味で用い、PSOCと区別します。

MSSとは

MSS (エム エス エス) とは Managed Security Service の略語で直訳すれば「セキュリティについてのマネージドサービス」を意味します。 「マネージドサービス」とはサービス運用や保守などの管理をサービス側で担保したサービスです。 マネージドサービスはクラウドサービス等で多くみられる形態であり、「サーバレスなシステム構築」や「SaaSによる業務システムの運用」等で広く利用されています。

具体的なMSSの役割は以下のようになります。

  • 1. ネットワークや情報機器からのログをMSSのログコレクタへ送信する
  • 2. MSS内でログを監視・分析する
  • 3. インシデントの傾向が検出された場合、そのリスクや対策等を分析する
  • 4. リスクに応じて担当者へリスクや対策を通知する

これに加えて、インシデント検出時に情報機器で暫定対応を行うような場合には「フルマネージドサービス」と呼ばれる場合があります。

SOC と MSS の違い

歴史的経緯としては PSOC のアウトソースとして SOC事業者 が成立し、 より「セキュリティの運用コスト」を意識したサービスとして MSS が成立しました。 ここでいう「セキュリティの運用コスト」には「費用」だけでなく「大量に送られてくるアラートに対する対応」や「SOCと付き合うための業務スキル習得」等も含まれます。

一般的にSOCへのアウトソースはPSOCに比べれば構築・運用コストを軽減できる傾向にありますが、 それでも年間の運用コストが一般的には400万円以上かかるものであり、また、サービス開始までのリードタイムも2カ月以上要することが多く、 導入できる組織は限られる状況にありました。

MSSはSOCを「マネージドサービス」として提供することで構築・運用コスト軽減したものと言えます。 一方で、SOC と MSS の境界は曖昧なものであり、実際に運用コストが軽減できるかは各SOC/MSSサービスの提供サービスを確認する必要があります。

参考までに「マネージドサービス」としてのMSSを選択する上での観点の例を挙げます。

アラートが適切にトリアージされるか

即時性が不要なリスクに対してアラートが多発する場合、対応コストが増大するだけでなく、実際に緊急の対応が必要な際の即応性が損なわれる恐れがあります。

インシデントが適切に表現されているか

インシデントの痕跡をセキュリティ機器が分析することでセキュリティイベントを出力します。アラートが「元となったインシデント」を適切に表現しない場合、セキュリティイベントの分析と理解をユーザが行う必要があります。

監視対象機器がシステム上に適切に構成されるか

監視の目的に応じて監視対象機器は異なります。MSSではユーザの目的に合わせて監視対象や構成を提言する場合もあります。一方で「セキュリティ製品とSOCがセット」のようなSOCも存在するため、「監視導入によるシステム構成への影響が適切か」を注意する必要があります。

攻撃の高度化やクラウドの普及、在宅勤務などにより、セキュリティ監視は組織の大小に依らず重要なものとなっています。 組織の特性に合わせて SOC や MSS を上手に活用し、セキュリティ監視の導入を検討してみてはいかがでしょうか?

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 中村 丈洋

形式手法および高信頼ソフトウェアの研究に従事、博士号を取得。 2013年より株式会社SHIFTにてソフトウェアテスト支援ツール開発および非機能テストに従事。 SHIFT SECURITY の設立に携わる。同社では脆弱性診断手法とツール開発、およびセキュリティコンサルティング業務に従事。 2018年よりSHIFT SECURITY 執行役員に就任。 現在に至る。

\ 記事をシェアする /

サービスに関する
お問い合わせ