VSOC 仮想セキュリティ オペレーション センターとは何ですか?

セキュリティオペレーションセンター 大企業にとって不可欠なものになりつつあります。多くの資産と外部とのやり取りポイントを持つ大組織は、IT 予算の少なくとも一部をセキュリティ監視に充てる必要があります。

専門ツールには、それを実行して結果を解釈する専門技術者が必要です。したがって、サイバーセキュリティの専門家を雇用し、IT システムの安全を保つために必要なソフトウェアを提供することで、SOC がすぐに構築されます。

経験豊富な サイバーセキュリティ技術者 需要が高いため、これらの人材を引き付けるために企業が提示する必要がある給与は、IT 部門の平均賃金を上回るペースで上昇し続けています。多くの場所では、高い給与だけでは適切な人材を確保するのに十分ではありません。中小企業には、セキュリティ スタッフを雇うだけの予算や作業能力がありません。さまざまな理由から、セキュリティ監視タスクをアウトソーシングすることがますます魅力的になってきており、 マネージドサービスプロバイダー クライアントに代わってセキュリティ監視を開始します。

「仮想」という用語は IT 分野の多くのサービスに適用され、社内にあるように見えて実は社内ではないシステムを指します。この現象の例として、仮想プライベート ネットワークと仮想サーバーを考えてみましょう。外部委託されたセキュリティ オペレーション センター (SOC) は、このビジネスの別の部門であるようです。しかし、そうではありません。 仮想セキュリティ オペレーション センター (vSOC)。

仮想セキュリティ オペレーション センター

仮想セキュリティ オペレーション センターはどこにでも設置できます。立地の柔軟性により、賃料の安いエリアに拠点を置くことでコストを削減できます。ただし、それは必ずしも辺鄙な町を意味するわけではありません。これは、 人材プール これらのセンターを運営するために必要な施設は、大学街の近くに多く存在する傾向があります。ただし、vSOC はメインストリートにある家賃の高いオフィススペースにある必要はありません。

vSOC は世界中のどこにでも配置でき、どの国のクライアントにもサービスを提供できます。各サービス プロバイダーの顧客ベースに対する主な制約は、サポート スタッフの言語です。

関連する vSOC の主な操作 監視セキュリティソフト 。仮想セキュリティ オペレーション センターは、クライアントのデータ ストアにアクセスする必要がないため、データが不適切に使用されていないことを確認するだけで、クライアントのデータを保持しません。したがって、どの国でもクライアントを求める vSOC をブロックしないようにするための GDPR などの法律によって、場所の問題が発生することはありません。

vSOC はデータをホストせず、SaaS プロバイダーでもありません。代わりに、顧客がサブスクライブしたソフトウェアを個別に管理します。場合によっては、vSOC コンサルタントがクライアントに購入すべきセキュリティ監視ソフトウェアをアドバイスし、それに加えて管理サービスを推奨することもあります。また、選択したセキュリティ ソフトウェアのプロバイダーが、SaaS パッケージに加えて管理サービスを提供する場合もあります。

クライアントが 1 か所に配置され、システム ソフトウェアがまったく別の国のサーバーで動作し、セキュリティ監視ソフトウェアが 3 番目の場所でホストされ、vSOC スタッフが別の場所に配置されることは、珍しいことではありません。

会社のシステム セキュリティを監視する任務を負ったチームは、24 時間同じメンバーで構成されている必要はありません。 SOC を運営している場合でも、他の時間には別の人がスタッフを配置します。 交替勤務 。 vSOC は、サイトのセキュリティに対する責任を戦略的なタイム ゾーンで世界中のさまざまなデータ センターに交代させることができます。したがって、サービスプロバイダーが提供できるのは、 24時間の警戒 技術者を社交的でない時間に働かせる必要はありません。

セキュリティ構成

サイバーセキュリティ技術者を配置しているにもかかわらず、 遠隔的に セキュリティが弱いように見えるかもしれませんが、その逆も当てはまります。保護されたシステムの脆弱性評価は外部の場所から実行できます。これは、その構成がインターネット経由でハッカーが侵入するシナリオをより適切に反映しているためです。

vSOC チームが保護されたネットワーク上のセキュリティ ソフトウェア常駐者にアクセスする場合、使用する接続は次のとおりです。 安全な 。そのため、vSOC スタッフはネットワーク内で動作するセキュリティ ソフトウェアを安全に監視できます。すでに述べたように、セキュリティ監視システムは、必ずしも保護されたネットワーク上に常駐する必要はありません。この場合、監視システムには次のものがあります。 エージェントプログラム クラウドベースの監視システムと通信する保護されたネットワーク上で。繰り返しますが、この通信は安全な方法で実行されます。 暗号化された 接続。

その後、vSOC チームは、 セキュリティ監視サービス 、保護されたネットワークではありません。修復アクションは通常、保護されたシステム上で動作する常駐アクセス制御システムとのオーケストレーションを通じて実装されます。これは、ファイアウォール、アクセス権、管理システム、およびネットワーク デバイスを意味します。

修復アクション 侵入防止システムやデータ損失防止システムなどのシステム セキュリティ監視ツールによってトリガーされる必要があります。したがって、繰り返しになりますが、vSOC チームは保護されたシステムに直接アクセスする必要はありませんが、セキュリティ監視システムをセットアップして微調整する必要があります。

セキュリティ監視システムの最も重要な部分は、その設定方法です。仮に、 検出ルール そして 修復トリガー 正しく作成されています。その場合、監視システムがセキュリティ監視作業をすべて処理するため、セキュリティ サービス プロバイダーは 1 つの技術者チームを使用して多くのシステムを監視できます。この戦術により、vSOC は、ほとんどの企業が社内のセキュリティ オペレーション センターを運営するよりもはるかに低いコストでシステム セキュリティ管理を提供できます。

VSOC契約

サービス契約は、アウトソーシングを実現するための重要な要素です。クライアントは、vSOC に正確に何を実行させたいかについていくつかの決定を下す必要があります。たとえば、管理するには vSOC が必要ですか? 連続 サーバーが破壊された場合でもスタッフが仕事を続けられるように、システムをミラーリングしてフェイルオーバー環境を提供するなどの手順はありますか?セキュリティ監視として直接分類されないその他の周辺タスクには、次のものがあります。 データのバックアップ そして 回復 。もう 1 つは、ログを管理およびアーカイブしてコンプライアンス監査に利用できるようにする責任です。

あなたには、 サービスレベル契約 VSOC との契約に添付され、サービスの品質とさまざまなイベントの予想応答時間を指定します。契約では、クライアントのセキュリティ監視に割り当てられるスタッフの期待される経験基準と認定レベルも指定する必要があります。

契約が締結されている限り、システムの防御とデータ侵害の防止における SOC の成功または失敗に対する法的責任がカバーされている限り、クライアントは事実上、 保険証書 悪意のある活動に対して。

最適な vSOC オプション

vSOC はシステムを制御したり、会社のデータを保持したりしないため、アウトソーシングされたセキュリティ サービスを探すときにどのサービス プロバイダーを選択するかという短期的な決定を上回る長期的な影響はありません。つまり;特定の vSOC プロバイダーにロックされる手順上の理由はありません。

外部通信を引き継ぐためにアウトソーシングされた SOC が必要ないということは、 プレッシャーが少ない 仮想セキュリティ オペレーション センターを選択するとき、ひどい決断を下すのはそれほど高価なプロセスではありません。

仮想セキュリティ オペレーション センターを選択するための方法論

私たちは vSOC サービスとマネージド セキュリティ プロバイダーの市場を調査し、次の基準で候補システムを評価しました。

• 技術者がデータにアクセスできないことを保証するように構成されたサービス
• 24時間監視体制
• 新しいセキュリティ監視ソフトウェアと既存システムで使用するオプションを提供できるサービス
• 非標準要件を考慮した SLA 作成の柔軟性
• さまざまなセキュリティ監視ソフトウェア パッケージを管理する機能
• セットアップ料金やロックイン期間はありません
• 予想外の料金を追加して請求額をつり上げようとしないプロバイダーによるコストパフォーマンスの良いサービス

私たちは通常、ソフトウェアプロバイダーが提供するものを期待していますが、 無料お試し期間 、vSOC の概念ではそれは不可能です。この場合、ソフトウェアを購入するのではなくチームを雇用することになり、従業員に報酬を支払う必要があります。

たとえば、これらの選択基準を念頭に置いて、仮想セキュリティ オペレーション センターとなる可能性がある、信頼でき高く評価されているサービス プロバイダーをいくつか評価したとします。

以下に、仮想セキュリティ オペレーション センターのベスト 5 プロバイダーのリストを示します。

1. 防衛中 このプロバイダーは、プランに大きな柔軟性を提供します。 Under Defense システムの中心的なセキュリティ概念は SIEM です。 Under Defense は、どのセキュリティ ソフトウェア (SIEM) をインストールするべきかを貴社にアドバイスし、インストールを支援します。その後、Under Defense チームが引き継ぎ、SIEM ソフトウェアのダッシュボードを監視し、侵害が検出された場合に適切な措置を確実に講じます。チームはログ ファイルの管理も行います。 Under Defense では、フルマネージド セキュリティと共同管理セキュリティという 2 つの vSOC オプションが提供されます。共同管理オプションは、セキュリティ アナリストの小規模なオンサイト チームを抱える企業に適しています。
2. VerSprite 仮想セキュリティ オペレーション センター このサービスは、セキュリティ監視システムを含むフルマネージドのセキュリティ パッケージです。セキュリティ システムを購入すると、VerSprite コンサルタントがそのプロセスをサポートします。すでにセキュリティ監視システムを導入している場合は問題ありません。 VerSprite はそのセキュリティ システムの実行を引き継ぎ、生成されるすべてのアラートを評価します。チームは各通知を設定し、誤報を排除します。実際の脅威が発生すると、システム管理チームに通知されます。必要に応じて、VerSprite チームと協力して自動応答を設定し、チームが修復タスクの処理に時間を費やす必要がなくなるようにすることもできます。 VerSprite チームは、侵入に対する防御だけでなく、ファイル整合性の監視とデータ保護にも経験があります。
3. LightEdge 仮想セキュリティ オペレーション センター 他の vSOC プロバイダーは、セキュリティー監視ソフトウェアの選択をガイドしたり、現在のセキュリティー監視セットアップの管理を引き継いだりしますが、LightEdge は IBM QRadar ソフトウェアと連携します。 QRadar は優れた可能ベースの SIEM ですが、さらに悪いことも可能です。重要なのは、Light Edge チームが調査を行った結果、QRadar が見つけることができる最良のシステムであると判断したということです。また、すべてのクライアントを同じセキュリティ監視システムに接続することで、あるクライアントから別のクライアントに技術者を迅速に異動できるようになります。システムの監視は 24 時間、年中無休で行われます。他の vSOC ソリューションと同様に、契約で修復の自動化をどの程度実装するかを決定できます。特定された問題への対処を従業員に任せるか、LightEdge 技術者に対処させるかを決定できます。
4. レッドスキャン仮想 SOC このサービスのアプローチは、セキュリティ管理を完全に引き継ぐというよりも、サポート システムに近いものです。このオプションは、社内 SOC を運用したいものの、高度な専門知識を持つ適切な品質のスタッフを見つけることができない企業に適しています。 SOC を二次技術者チームとして使用することで、顧客企業は SOC スタッフが経験を通じてスキルを向上できるようにすることができます。このソリューションは、セキュリティ管理を完全にアウトソーシングすることで制御不能になることを懸念している企業にとっては良いアイデアです。このソリューションは、セキュリティ ソフトウェアの選択からインストール、設定、運用まで、IT スタッフが Rescan コンサルタントの指導を受けながら行うオーダーメイドのアプローチです。
5. エグゼクティブ オペレーション XOVSOC は、社内の IT 運用チームに専門家によるサポートと時間外の代替サービスを提供する共同管理型の提案です。 Executive Ops チームには、どのような新しい攻撃があるかを技術者に警告する脅威インテリジェンス フィードがあります。防御の最前線は、異常な動作を検出するシステム セキュリティ監視ソフトウェアです。次に、これらのアラートはエグゼクティブ オペレーション アナリストに送られ、誤ったアラームが除外されます。最後に、本当に関係のあるイベントは、通知として、またはネットワーク管理システムへの直接フ​​ィードとしてチームに送られます。