4/01/2017

SOCをアウトソースする利点と欠点

ISC SANS Diaryより

私はSIEM(Security Information Event Management)/SOC(Security Operation Center)を顧客向けに導入するプロジェクトに携わっています。今の提案はサービスをMSSP(Managed Security Services Provider)と呼ばれる外部企業にアウトソースすることです。我々は内部SOCあるいは外部SOCを持つことの利点と欠点について興味深い雑談を行ないました。主な前提は次の通りです:

  • 我々は運用経験を持っていないなら、人を雇うべき。そして、それらを確保しておけ!
  • 我々はどのようにSIEM/SOCを導入すればいいのか分からない
  • 我々は予算が限られている(これは多くの企業にとって第一の議論である)

常に認められるとは限りませんが、SIEMの導入は多くの(企業あるいは企業が属するグループの)コンプライアンス要件の一つです。

議論したポイントを要約します:

SOC 利点 欠点
内部
  • ビジネスのための役立つ知見
  • 自社の要件に合わせられる
  • 全てのデータが内部で保存され、処理される
  • イベントと部門間の相関が容易
  • 導入と維持のコスト
  • 有能な人材を雇うのが難しい
  • 部門間の利害関係が衝突するリスク
  • 長期的なROI
外部
  • コスト (新しい請負契約 - OPEX)
  • 他の顧客での傾向と発見の恩恵
  • より多くの脅威情報へのアクセス
  • 他の部門の利害と衝突しない(外部のアドバイスと報告)
  • 拡張性と柔軟性
  • ビジネスの明確な知識不足がある
  • コミュニケーション不足
  • インフラと同期したSIEMの維持が難しい
  • サービスはレベル(金 / 銀 / 銅)に基づいて提供される
  • あなたの環境専任者の不足
  • データが外部に保存され、処理される
  • カスタマイズが不十分

あなたも? あなたの観点は何ですか? 何なりと共有して下さい。

Xavier Mertens (@xme)
ISC Handler - フリーのセキュリティ・コンサルタント