仮想セキュリティオペレーションセンター（vSOC）とは何か：アウトソースされたSOC

比較サイトComparitech.comは、仮想セキュリティオペレーションセンター（vSOC）の特徴、セキュリティ構成、契約、評価基準、主要プロバイダーについて概説した記事を公開した。

[＠IT]

　英国の比較サイトComparitech.com（以下、Comparitech）は2022年3月16日（英国時間）、仮想セキュリティオペレーションセンター（vSOC）とは何かを解説した記事を公開した。

　顧客や自社のシステムやデータを保護するために、これらのセキュリティ監視などを行うセキュリティオペレーションセンター（SOC）は、大企業にとって必要不可欠になりつつある。

　だが、SOCを担うサイバーセキュリティ技術者の不足から、SOCのアウトソーシングが注目されている。アウトソーシングされたSOCは仮想セキュリティオペレーションセンター（vSOC）と呼ばれ、vSOCのセキュリティ監視業務を行うマネージドサービスプロバイダーが数多く登場している。

vSOCとは？

　vSOCはどこにでも設置でき、どの国の顧客にもサービスを提供できる。サービス提供の主な制約は、サポートスタッフが話す言語だ。また、vSOCの運営に必要な人材は、大学都市やその周辺に多く存在する傾向がある。

　vSOCはセキュリティ監視が主な業務であることから、顧客のデータストアにアクセスする必要がなく、顧客のデータも保持しない。そのため、どの国で顧客を開拓しても、GDPR（EUの一般データ保護規則）などの法律によって制限されない。

　vSOCはデータをホストせず、SaaSプロバイダーでもない。代わりに、顧客が契約しているソフトウェアを個別に管理する。vSOCのコンサルタントが、どのセキュリティ監視ソフトを購入すべきかを顧客にアドバイスし、その上で管理サービスを提案するケースもある。また、顧客が選択したセキュリティソフトウェアのプロバイダーが、SaaSパッケージで管理サービスを提供するケースもある。

　顧客がある国に存在し、システムソフトウェアは別の国にあるサーバで動作し、セキュリティ監視ソフトウェアはさらに別の場所でホストされ、vSOCスタッフはさらにまた別の場所にいるというケースもある。

　企業のシステムセキュリティを監視するチームは、24時間同じメンバーで構成されている必要はない。SOCを運営する場合でも、時間帯によって異なるスタッフがシフト制で働いている。vSOCも同様に、サイトのセキュリティの責任を、時間帯によって世界中のさまざまなデータセンターにローテーションさせ、24時間体制で警戒に当たれる。

セキュリティ構成

　vSOCでは、警備対象システムの脆弱（ぜいじゃく）性評価を外部からリモートで行えるが、それはその構成が、ハッカーがインターネットを介して侵入するシナリオをよりよく反映するからだ。

　vSOCチームが保護対象ネットワーク上のセキュリティソフトウェアにアクセスする際、使用する接続は安全に保護されている。そのためにvSOCスタッフは、ネットワーク内部で動作するセキュリティソフトウェアを安全に監視できる。

　前述したように、セキュリティ監視システムは保護対象ネットワークに常駐するとは限らない。この場合、監視システムは保護対象ネットワーク上にエージェントプログラムを持ち、クラウドベースの監視システムと通信を行う。この通信も、暗号化された安全な接続で行われる。

　この場合、vSOCチームは、保護対象ネットワークではなく、セキュリティ監視サービスにアクセスする。修正アクションは通常、保護対象システムで動作する常駐型アクセス制御システムとのオーケストレーションによって実行される。

　修正アクションは、侵入防止システムやデータ損失防止システムなどのシステムセキュリティ監視ツールによってトリガーされる必要がある。このため、vSOCチームは、保護対象システムに直接アクセスする必要はないが、セキュリティ監視システムのセットアップと微調整を行う必要がある。

　セキュリティ監視システムで最も重要なのは、そのセットアップ方法だ。検出ルールと修正トリガーが正しく作成されていれば、監視システムが全てのセキュリティ監視作業を行う。これにより、セキュリティサービスプロバイダーは、1つの技術者チームで多くのシステムを監視できる。

　vSOCはこうした方法により、大抵の場合、企業が自社でSOCを運営するよりもはるかに低いコストで、システムのセキュリティ管理サービスを提供できる。

vSOCとの契約

　サービス契約は、アウトソーシングを実現するための重要な要素だ。顧客は、vSOCに具体的に何を求めるかについて、幾つかの決断を迫られる。例えば、サーバが破壊されてもスタッフが業務を継続できるように、システムをミラーリングしてフェイルオーバー環境を提供するなど、継続性の管理もvSOCに依頼する必要があるかどうかを判断しなければならない。

　このように、セキュリティ監視に直接分類されない周辺業務にはデータのバックアップやリカバリーも含まれる。また、コンプライアンス監査に利用できるようにログを管理、保管する業務も含まれる可能性がある。

　VSOCとの契約にはサービスレベル契約（SLA）が添付され、さまざまなイベントについて、サービス品質と期待される応答時間が明記される。また、契約書には、顧客のセキュリティ監視に当たるスタッフの期待される経験水準と認定レベルも明記される。

　この契約により、システム防御やデータ侵害防止の成功または失敗に関するvSOCの法的責任がカバーされる限り、顧客は事実上、悪意ある行為に対する保険を手に入れることができる。

vSOCの最適な選択肢

　では、どんな点を重視してvSOCを選べばよいのか。ComparitechはvSOCサービスとマネージドセキュリティプロバイダーの市場を調査し、候補となるシステムを次の基準で評価した。

• 技術者が顧客のデータにアクセスできないことを保証するように構成されたサービス
• 24時間体制で監視できるシステム
• 新しいセキュリティ監視ソフトウェアの提供や、既存システムとの併用が可能なサービス
• 標準的でない要求を考慮したSLAを作成できる柔軟性
• さまざまなセキュリティ監視ソフトウェアパッケージを管理できる
• セットアップ料金やロックイン期間がない
• プロバイダーが予想外の追加料金を請求しようとせず、費用対価値が高い

　Comparitechは評価結果として、vSOCプロバイダーのベスト5を次のように紹介している。

1.Under Defense

　柔軟性の高いプランを用意しており、SIEM（Security Information and Event Management）を中心に据えたサービスを打ち出している。

2.VerSprite

　セキュリティ監視システムを含むフルマネージドセキュリティパッケージのサービスを提供する。

3.LightEdge

　IBMのSIEMソリューション「QRadar」ソフトウェアと連携している。

4.Redscan

　顧客の社内SOCやITチームの支援に力点を置いている。

5.Executive Ops

　専門家がサポートを行うとともに、顧客の社内IT運用チームの代わりに就業時間外の運用に対応する、共同管理型サービスを提供する。