グローバルでサイバー攻撃による脅威が急激に増しており、企業はインシデント検知から回復までを迅速に対応することが求められている。一方でベンダーによるSOC(Security Operation Center)サービスの立ち上げが相次いでおり、ユーザー企業は外部SOCを活用することが有効といえる。
はじめに昨今のセキュリティ・インシデントの検知に対する企業の課題をあげる。2017年3月から国内で多発しているApache Struts2の脆弱性問題は、WAF(アプリケーション層のファイアウォール)を導入しているだけではほとんど検知することができない。また、同様にMicrosoft Windowsの脆弱性を突いたWanaCryptによるランサムウェア攻撃は、ネットワーク・ゲートウェイ対策や、スパムメール対策などの製品単体ではブロックすることができない場合がある。2010年にSoftware Engineering Institute社が行った調査によると、セキュリティ・ツールを単体で導入した場合の有効性は、80%を下回る(ITR Review 2015年9月号「データ・プロテクションの必要性」 #R-215091)。このため、企業は複数のセキュリティ・ツールのログから相関的に分析する必要がある。例えばID(エンドポイント端末や人)をキーとして、ネットワークの入口/出口と、内部の振る舞いで怪しい動作の兆候などを検出することが求められている。また、ネットワーク・ゲートウェイでもファイアウォールやUTM、IPS/IDS、プロキシなど複数のセキュリティ機器間のログを相関的に分析することが求められている。