従来のSOC(Security Operation Center)サービスは、主に大企業を対象にファイアウォールやIDS/IPS、公開系Webサーバの監視などを専用の環境で専門要員が実施している。そのため、費用も当然ながら高額になっている。しかし、昨今社内サーバや公開系Webサーバのクラウド環境への移行が進み、セキュリティ環境が変化していることや、中堅・中小企業にも提供範囲を拡大しようとしていることから、SOCサービスの内容と課金体系に変化が生じてきている。
従来のSOCサービスは、各社のセキュリティ運用をそのままアウトソースしたものが多く、ファイアウォールなどのセキュリティ機器の監視運用と公開系Webサーバの監視運用が中心であった。ファイアウォールなどのセキュリティ機器の取り扱いと、セキュリティインシデントが他のシステムインシデントと異なることを識別して対応するには、専門のスキルとノウハウが必要となることから、専門要員を擁しているSOCベンダーにアウトソースすることがほとんどである。SOCベンダーでは顧客専用のセキュリティ監視環境と専門の要員をアサインするため、サービス料金は自ずと高額となる。
ITRが、CSIRT/SOCの構築運用状況を調査したところ、従業員1,000名以上の大企業では65%が構築運用済みで、「構築中または検討中」を含めると75%に上った(図1)。一方、999名以下の中堅・中小企業では構築運用済みの企業は39%にとどまり、半数にも届かないことがわかった。
従来は、社内ネットワークにサーバ類およびDMZ領域の公開系Webサーバやメールサーバが配置されているオンプレミス環境が典型的な構成であった。このため、社内サーバ類を守るためにファイアウォールやIPS/IDS、サンドボックスなどが設置され、公開系Webサーバへの不正アクセスの検知やメールに添付されたウィルスやなりすましメール(ビジネスメール詐欺)対策のためにセキュリティソフトが必要であった。このことから、それらのアラートやログを監視し、対応することがSOCサービスの提供内容であった。