「企業内SOC」の運営を支援するソフト、EMCがリリース

サイバー攻撃や情報漏えいなどが疑われる「セキュリティインシデント」の対応プロセスを標準化し、対応時間や業務効率を改善するという。

[國谷武史，ITmedia]

　EMCジャパンは2月5日、企業や組織のセキュリティインシデント（サイバー攻撃や情報漏えいなどのセキュリティに関する事案）対応業務を支援するソフトウェアモジュール製品「RSA Archer Security Operation Manager（SecOps）」を発表した。

　SecOpsは、セキュリティインシデントの監視や対応などにあたる「セキュリティオペレーションセンター（SOC）」を自社で運営する企業向けに提供する。SOCはセキュリティ監視サービスなどを手掛けるITベンダーや通信会社で運営されるケースが多いものの、近年は標的型攻撃による機密情報の外部漏えいといった事件が増加し、一般企業でも「社内SOC（もしくはプライベートSOC）」の構築を検討する動きが広がり始めた。EMCジャパンによれば、SecOpsは社内SOCの運用をいち早く軌道に乗せるために、対応プロセスの標準化を図る機能が特徴だという。

　SOCでは通常、セキュリティ機器などが検知したインシデントに対して「セキュリティアナリスト」と呼ばれる担当者が解析作業を行い、事案の重大性に応じてより詳細な調査を行ったり、経営層などへレポートを行ったりして被害抑止や再発防止への対応策（レスポンス）が取られる。しかし、セキュリティアナリストを始めとするセキュリティ人材は世界的に不足しており、業務面でも高度な知識や経験を必要とするため、SOCの運営ではこうした人材にまつわる課題が浮上している。

SecOpsの概要。EMCのSIEM製品「RSA Security Analytics」と連携できるようになっているが、他社のSIEM製品との連携は個別対応になる（左）。インシデントのビジネス面への影響評価などを採用している点が特徴という

　SecOpsは、セキュリティ機器や「SIEM」と呼ばれるログの相関分析からセキュリティの脅威を可視化する仕組みが発したインシデントに関するアラートを集約し、ビジネス上のリスクとなる情報を付加して、レスポンスでのワークフローを効率的に行うための仕組みを備える。特にインシデントがビジネスに及ぼす影響については、「データ侵害の可能性や影響度の評価を行い、対応時の部門間連携を支援できる点に強みがある」（ビジネスデべロップメントマネージャーの矢野薫氏）という。

　このほかにSecOpsではSOC担当者のシフト管理や稼働状況、傾向分析のダッシュボードといったSOC責任者向けの管理機能も提供する。

RSA事業本部 事業推進部 ビジネスデべロップメントマネージャーの矢野薫氏

　SecOpsは同社が2011年から提供しているGRC（ガバナンス・リスク・コンプライアンス）ソリューション「RSA Archer GRC」の新モジュールとなる。利用には別途、管理モジュールの「RSA Archer Enterprise Management」が必要。両モジュールを合わせた販売価格は5000人規模の企業の場合で1170万円（税別）となっている。

　RSA事業本部マーケティング部長の水村明博氏は、「2014年は社内SOCの構築が本格化していくとみている。SOC構築に向けたコンサルティングや製品、サービスの提供を通じて企業や組織のセキュリティ強化を支援したい」と述べた。

RSAが提示しているSOCの成熟度モデル。一部の大企業ではSOCを自社構築するケースが出始めているが、多くの企業はITベンダーなどによるサービスの併用を検討するケースが多いとみられる