現在、組織に独自のセキュリティ オペレーション センター (SOC) がない場合は、最初から構築せずにセキュリティ オペレーション センター (SOC) を取得する方法を検討することをお勧めします。独自のセキュリティ オペレーション センター (SOC) を構築すると、特に 24 時間稼働するスタッフの配置コストを考慮すると、費用がかかる可能性があります。過去数年にわたり、マネージド セキュリティ サービス プロバイダー (MSSP) は、ネットワークとコンピューティング インフラストラクチャを監視し、幅広いサービスを提供するために、クラウドベースのセキュリティ オペレーション センター (SOC) を立ち上げてきました。ここでは、サービスとしてのセキュリティ オペレーション センター (SOCaaS) 業界がどのように成長しているか、その提供内容、および特定のニーズに基づいて適切なベンダーを選択する方法について説明します。
Security Operations Center as a Service (SOCaaS) とは何ですか?
Security Operations Center as a Service (SOCaaS) の定義は常に変化しており、ベンダーが提供する 24 時間 365 日のネットワーク監視サービスである場合もあれば、包括的な脅威の検出および軽減サービスである場合もあります。これは、各ベンダーが独自のサービス セットを持っていることを意味し、サービスとしてのセキュリティ オペレーション センター (SOCaaS) または従来のマネージド セキュリティ サービス プロバイダー (MSSP) として分類できます。しかし、それを掘り下げるには非常に時間がかかります。これらの中には、各頭字語の定義が一貫していないだけのもの、認識の問題、製品やサービスの提供、プロバイダーの出所に関係するものもあります。
問題の一部は、サービスとしてのセキュリティ オペレーション センター (SOCaaS) ベンダーが、セキュリティのさまざまな分野に焦点を当てているため、作成するさまざまなビジネスが異なることです。マネージド セキュリティ インシデント プロバイダー (AlertLogic など) としてスタートした企業もあれば、マネージド検出ベンダー (Network Technology Partners など) またはマネージド エンドポイント セキュリティ ベンダー (Symantec や Trustwave など) としてスタートした企業もあります。一部の企業は、自社の製品を管理するために独自のセキュリティ オペレーション センター (SOC) コンソールを開発し、それをより幅広いツールに接続できるより汎用的なツールにしています。大手コンピュータ メーカー (IBM、Dell、HP) のサービス部門から来た人もいます。
他の企業は、独自のマネージド ネットワーク オペレーション センター (NOC) の運営を開始し、その後、セキュリティ分野 (AccountabilIT など) に進出しました。マネージド ネットワーク オペレーション センター (NOC) とマネージド セキュリティ オペレーション センター (SOC) の違いは何ですか? 前者は主に、パイプ内を流れるトラフィック パケットの維持に関係します。後者の主な目的は、適切なパケットと適切なパイプを使用しているかどうかを確認することです。ツールセットもまったく異なります。ネットワーク遅延と CPU を大量に消費するプロセスです。重要な点は、サービスが提供する実際のサービス、監視対象、および既存のサーバーおよびネットワーク インフラストラクチャとどのように対話するかです。
ここでの目標は、組織のデータが侵害されたり、データ侵害やその他のセキュリティ インシデントが発生したときに警告を発するセキュリティ デバイスを導入し、組織が独自のセキュリティ オペレーション センター (SOC) を構築したり、経験豊富なスタッフを雇用したりする必要がないようにすることです。保護安全装置を作動させるため。理想的には、ベンダーは(サービス レベル アグリーメントに従って)インシデントを迅速に特定し、脅威を排除するために必要な修正を行うことができる必要があります。
調査会社ガートナーは2018年2月、セキュリティイベントの監視、ネットワーク層の脅威の監視と検出、ログ分析、脆弱性スキャン、インシデント対応などのサービスとしてのセキュリティオペレーションセンター(SOCaaS)を含むマネージドセキュリティサービスに関する調査レポートを発表した。 、これらはすべて、中央の Security Operations Center as a Service (SOCaaS) タイプのエンティティからマネージド サービスとして提供されており、すでに対応すべきツールが多数あります。このレポートには、AT&T/Alienvault、BT、Century Link、NTT などを含む 17 社のグローバル ベンダーがリストされています。これらはすべて、世界最大のネットワーク インフラストラクチャを 24 時間稼働し続けるために何が必要かを最もよく知っている通信ベンダーです。
組織が世界中に支社やサーバーを配置してグローバルに事業を展開している場合は、これらのベンダーをすでにご存知かもしれません。範囲がそれほど広くない小規模企業の場合は、ArcticWolf、RadarServices、DigitalHands など、サービスとしてのセキュリティ オペレーション センター (SOCaaS) を専門とする十数社のベンダーの 1 つと連携することを検討するとよいでしょう。
Security Operations Center as a Service (SOCaaS) を評価するにはどうすればよいですか?
Security Operations Center as a Service (SOCaaS) サービス プロバイダーに尋ねる質問
組織が提案依頼書 (RFP) またはアンケートを作成するとき、尋ねる必要がある関連する質問がいくつかあります。
1. このサービスは、純粋な監視サービスのアプローチとどのように異なりますか? その答えは、組織がベンダーのニュアンスとベンダー自身の違いを理解するのに役立ちます。AlertLogic はセキュリティ情報およびイベント管理 (SIEM) から始まり、独自のグローバル テレメトリおよび脅威監視プログラムに基づいて他の保護テクノロジを追加しました。組織は、サービスとしてのセキュリティ オペレーション センター (SOCaaS) に全面的に取り組むかどうかを決定する前に、純粋なマネージド セキュリティ サービス プロバイダー (MSSP) から始めてエクスペリエンスを理解することを検討する場合があります。
2. 従来のセキュリティ情報およびイベント管理 (SIEM) およびヘルプ デスク システムはいくつサポートされていますか? 一部のベンダーは、ユーザーが自社のソリューションに切り替えることを望んでいます。DigitalHands.com などの他のベンダーは、両方のテクノロジーのレガシー システムに対する広範なサポートを提供していますが、ネットワーク テクノロジー パートナーなどの一部のベンダーは、ユーザーが利用するにはプログラムを作成する必要がある独自の API セットを持っています。
3. 顧客は自社のオンプレミスにどのようなプロキシとサーバーをインストールする必要がありますか? ほとんどのベンダーは、トラフィックを収集し、ベンダー独自のアプリケーションを実行するプロキシとカスタム サーバーという、組織のインフラストラクチャを監視する 2 つのアイテムを備えています。一部のエージェントでは、監視用と修復用など、特定のタスクを完了するために複数のエージェントが必要です。
4. プロバイダーはどのくらいの頻度でインフラストラクチャを再評価/スキャンしますか? モニタリングは継続的スキャンから四半期ごとのスキャンまでさまざまで、モニタリング方法もクラウド デバイスとオンプレミス デバイスで異なる場合があります。
5. 組織はどのようにコンプライアンス監査を実施しますか? 一部のベンダーは料金プログラムの一部として監査を組み込んでおり、一部のベンダーは追加料金を請求し、組織が何を行っているか完全に独立できるようにサードパーティを推奨しています。ボルトン研究所のような企業は、コンプライアンスサービスをまったく提供していません。それぞれのアプローチには十分な理由がありますが、組織がそれによって何が得られるのかを必ず理解してください。
6. サプライヤーにはディーラーまたは直販モデルがありますか? 一部のサプライヤーは完全なパートナー ネットワークを持っています。Ingram Micro のような大規模な再販業者を使用して製品を販売する企業もいますが、一部のサプライヤーはユーザーと直接取引したいと考えています。一部の Security Operations Center as a Service (SOCaaS) プロバイダーは、自社のサービスを他のマネージド セキュリティ サービス プロバイダー (MSSP) に再販していますが、これは興味深いビジネス モデルです。どのような方法を使用する場合でも、組織が満足していることを確認してください。
7. 顧客の対象規模はどれくらいですか? 一部のサプライヤーは中小企業に重点を置いています。多くの市場で成長し、非常に大規模なネットワークに拡張できるものもあります。次に、スイートスポットを探し、拡大の可能性がいつなのかを把握します。
8. セキュリティ オペレーション センター (SOC) にスタッフを配置しているのは誰ですか? 組織は、ネットワーク スタッフのトレーニング、認定、その他のスキル レベルなどを理解する必要があります。多くの場合、従業員は安全装置よりも重要です。結局のところ、組織が自社で構築したり運用したりするのではなく、サービスとしてのセキュリティ オペレーション センター (SOCaaS) を採用する必要があるのはこのためです。