SOC 成熟度モデル
SOC 成熟度モデル とは何ですか?
SOC 成熟度モデルセキュリティオペレーションセンターを人材・プロセス・技術・サービスの観点で採点し、複数年の改善ロードマップを描くためのフレームワーク。
SOC 成熟度モデルは、組織の検知・対応能力を業界の標準的なプラクティスと比較するための枠組みです。最も広く使われているのは Hewlett Packard Enterprise の 5 段階モデルと、Rob van Os が公開している SOC-CMM で、ガバナンス、インテリジェンス、監視と検知、対応、スレットハンティング、自動化、継続的改善などの領域を評価します。各領域はインタビュー、エビデンスのレビュー、自己評価を通じて 0〜5 段階(Initial、Basic、Defined、Managed、Optimised)で採点され、結果はヒートマップとして可視化され、最も弱い領域を浮き彫りにし、投資判断、採用計画、ツールロードマップの根拠となります。成熟度は必ずしも有効性そのものを意味しないため、滞留時間や検知カバレッジといった結果指標と併用するのが一般的です。
● 例
- 01
HPE 形式の評価で「スレットハンティング」をレベル 2(Basic)と評価し、レベル 4 を目指すロードマップを引く。
- 02
SOC-CMM の結果に基づき、ハンター 2 名の採用と SOAR 導入を経営に提案する。
● よくある質問
SOC 成熟度モデル とは何ですか?
セキュリティオペレーションセンターを人材・プロセス・技術・サービスの観点で採点し、複数年の改善ロードマップを描くためのフレームワーク。 サイバーセキュリティの 防御と運用 カテゴリに属します。
SOC 成熟度モデル とはどういう意味ですか?
セキュリティオペレーションセンターを人材・プロセス・技術・サービスの観点で採点し、複数年の改善ロードマップを描くためのフレームワーク。
SOC 成熟度モデル はどのように機能しますか?
SOC 成熟度モデルは、組織の検知・対応能力を業界の標準的なプラクティスと比較するための枠組みです。最も広く使われているのは Hewlett Packard Enterprise の 5 段階モデルと、Rob van Os が公開している SOC-CMM で、ガバナンス、インテリジェンス、監視と検知、対応、スレットハンティング、自動化、継続的改善などの領域を評価します。各領域はインタビュー、エビデンスのレビュー、自己評価を通じて 0〜5 段階(Initial、Basic、Defined、Managed、Optimised)で採点され、結果はヒートマップとして可視化され、最も弱い領域を浮き彫りにし、投資判断、採用計画、ツールロードマップの根拠となります。成熟度は必ずしも有効性そのものを意味しないため、滞留時間や検知カバレッジといった結果指標と併用するのが一般的です。
SOC 成熟度モデル からどのように防御しますか?
SOC 成熟度モデル に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
SOC 成熟度モデル の別名は何ですか?
一般的な別名: SOC-CMM, SOC ケイパビリティ成熟度モデル。
● 関連用語
- defense-ops№ 1040
SIEM ルールチューニング
誤検知を減らし、盲点を埋め、組織の脅威モデルに合わせるために、SIEM の検知ルールを継続的に調整する運用プロセス。
- forensics-ir№ 524
インシデントレスポンス
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。
- defense-ops№ 1147
スレットハンティング
既存検知をすり抜けた脅威を見つけ出すため、テレメトリを仮説駆動で能動的に探索する取り組み。
- compliance№ 687
MITRE ATT&CK
MITRE が維持する、実際の攻撃で観測された攻撃者の戦術・技術に関するグローバルな公開ナレッジベース。
- defense-ops№ 882
パープルチーム
レッドとブルーが公開協力する演習形式で、検知と対応をほぼリアルタイムに改善することを目的とする。