SOCサービスという言葉はご存じだろうか。
Security Operation Centerの頭文字をつけたもので、組織のIT環境(ネットワーク、サーバ、クラウド、エンドポイントなど)を24時間365日の常時監視でサイバー攻撃の検知・分析・初動対応を行なう運用サービスである。
今回はこのSOCサービスについて触れていく。
SOCサービスに世にでてきた理由
セキュリティ対応は基本的に吐かれたセキュリティログを見て、実際にどう判断して動いていくのか、というのは担当の人間の手によって行われてきた。
しかしファイアウォール、WAF、EDR、メールなど対応ポイントが一気に増えたことで、吐かれるログの数も爆発的に増加。アラートが多すぎて、本当に危険なものが何なのかがわからなくなる現象が起こるようになった。
ポイントごとに求められる知識も異なるため、数人の運用でアラート対応するにはいろいろと無理が生じてきた背景もあり、検知だけでなく起こっている現象を統合的に判断してくれるソフトウェア機能の存在が必要になったのだ。
そもそも人間同士の交代制で24時間365日ずっと対応するような時代でもないため、人間による対応ではなくサービスに頼るのが現代的なアプローチでもある。
SOCの中核機能
そこでSIEMなる用語も世に出てきた。
Security Information and Event Managementの略称である。
社内の様々なポイントでのログを一元的に収集・分析して異常を検知・可視化する仕組みである。SOCサービスの展開ではコアとなっている部分だ。
何度も言うが、人間の手(目)では単体ログを見続けることでは判断できない。この統合的に見て判断してくれるサービスを使わないとセキュリティリスクには追いつけない時代になっているのだ。
ログを集中管理して、相関的に分析して検知が行なわれる。そしてリスクなどを可視化させて、本当に危険なものについては通知を行なう。管理者が判断できるところまでまとめあげる役割を完全に担っている。
今回は概要面だけ触れる形となったが、次回は具体的にSOCサービス用に使用される製品の紹介ができればと思っている(今から情報を仕入れねば)。
ひとりごと
かつての大ヒットで一世を風靡した映画「プラダを着た悪魔」の続編が日本公開された。各メディアでそれ関連のプロモーションばかりが流れている。
初作を鑑賞したのは自分が学生時代のときのこと。もう20年前のことになるのか。ファンの多い映画だったから今でも当時に鑑賞した人にとっては語り草になる。個人的にも鑑賞後はポジティブな印象を持った。
ただ今回の続編を鑑賞するのかどうかはまだ決めかねている。というのもこういうヒット作が長い年月を経て出た続編の中身はろくでもないものが多く、これまでこういったケースで度々失敗作を目のあたりにしてきた。
それにそもそも当時の印象が美化されすぎている可能性もある。そこまで映画に興味がなかったときに鑑賞した作品。だからのめりこめたかもしれず。いろいろな作品を見るようになった今、「プラダを着た悪魔」自体を好きな作品の一つになるかはだいぶ怪しい気がしているのだ。
ヨルゴス・ランティモス監督の作品をキャッキャ言いながら鑑賞する人間が「プラダを着た悪魔」を好きになるはずがないんだ、と断言するのは行き過ぎかもしれないが、でも確信に近いものを持っている。
今回の続編を鑑賞したとして。「続編は面白くなかったな」で終われたらまだ御の字。「俺はなぜこの映画が好きだったんだろう?」となるのが怖すぎる。
やっぱり見に行かない方がいい気がしてきた。サブスク配信開始されたときにちらっと覗いてみる程度にしておこう。