検知ルール制限で脅威トレンドに対応できない、外部SOCの弱点をどう埋める？

　高度なセキュリティ体制を効率よく実現するため、脅威の検知やインシデントの通知を担うSOCを外部サービスに頼り、初動対応や影響調査などを行う社内のCSIRTと連携させている企業は少なくない。しかし、近年は利用中のSOCに対して、「必要なログを自由に取り込みたい」といった要望の声が上がるようなケースが増加している。

　その原因の1つとして、分析基盤がSOC側で管理されていることが挙げられる。そのため、検知ルールを外部のSOCサービスが限定してしまい、CSIRTが深掘りして調査する際に必要なログやアラートが転送されないという事態が発生している。DXの推進で環境やリスクが頻繁に変化する中、こうした状態を放置しては最新の脅威トレンドに対応することは難しくなる。

　そこで注目したいのが、CSIRT側も自由にアクセスでき、内部不正系などの独自の検知ルールも適用できる「共通基盤型SOC」だ。その活用で、外部のSOCアナリストとユーザーが共通の監視画面でインシデントに対応することも可能になるという。本資料ではその機能や効果について、さらに詳しく解説していく。