SOCとCSIRTの重要性の理解

SOCとCSIRTの重要性の理解

サイバーセキュリティ専門知識用語解説

はじめに

セキュリティアラートの対応などを行うチームをみなさんの組織ではどのように呼んでいますか。

SOCやCSIRTという名称で運用している企業は多いと思いますが、それらの役割や業務内容はかなりばらつきがあると感じます。元々SOCは極めて専門的なスキルが必要なため一般的に外注するもので、CSIRTは社内組織だったので遠い概念でしたが、近年はどちらも社内に置くことが流行っており、境界が曖昧になっている部分があります。

目次[非表示]

  1. 1.はじめに
  2. 2.SOCとは何者か?その役割を理解する
  3. 3.CSIRTとは何か
  4. 4.まとめ
  5. 5.お役立ち資料公開中

SOCとは何者か?その役割を理解する

SOC(Security Operation Center)は、ネットワーク機器やサーバ機器、それらから出力されるログの監視・分析を行い、組織のセキュリティ脅威を検出して顧客や担当チームにエスカレーションを行う部門や組織です。

SOCでは、サイバーセキュリティの異常を24時間体制で監視し、リアルタイムで脅威を検知して分析します。そのために専門的な拠点が必要でした。こうした昔ながらのSOCをディープSOCといいます。

昔は専門的な設備や人材がいなければSOCができなかったのですが、EDR等のソフトウェアの登場によってSOCを外注せず内製化することが流行りました。いわゆるプライベートSOCです。ディープSOCほどの手厚い対応はできませんが、コストを抑えてSOCを実現できることと、ノウハウが社内にたまることから一気に流行っていきます。

プライベートSOCの登場によって、SOC対応のハードルは大きく下がりました。

脅威の特定やフォレンジック調査などEDRが備えている機能でできるようになりました。しかし、それでも多様化する製品のログを監視するのは大変ですし、現実的に24時間対応となると内製化できる企業は限られます。夜間対応のみを外注する企業もあります。あるいは苦手な製品だけ外注する使い方もあります。

こうして、プライベートSOCも内製と外注が共存するようになりました。

 

CSIRTとは何か

CSIRT(Computer Security Incident Response Team)サイバーセキュリティに関するインシデント発生時の対応を行う専門チームです。

SIRTやCIRTもほぼ同じ意味です。ですので、シーサートもしくはサートといえば主な役割は、セキュリティインシデントの予防、検知、対応、復旧をサポートすることです。CSIRTは組織内のセキュリティインシデントに対応する専門チームともいえます。

情報漏洩事故が発生すれば上場企業なら記者会見が必要かもしれませんし、金融業なら金融庁に報告が必要かもしれません。取引先への補償が必要になるケースもあるでしょうし、広告を差し替えなければならないかもしれません。そうした有事に備えて、セキュリティエンジニアのみならず、弁護士や広告担当や様々な関係者を巻き込んでチームを作ります。実際に、抜き打ちで記者会見の練習をさせる企業もあります。

SOCと比較するためにサイバーセキュリティに絞りますと、CSIRTはインシデント発生時に内部の調査を行うことになりますので、SOCから連絡を受け取った後に詳細な調査を行います。 SOCは飽くまで外部の組織なので、システムの中身を理解して判断をすることは困難です。そのため、組織内のCSIRTと連携を行うことが必要です。CSIRTが組織内の担当エンジニア等を連携し、システムの事情を踏まえて対応することができます。

内部調査は様々なスキルが求められます。たとえば不審な処理があったとして担当者に確認したところ「業務で必要な正当な操作だった」ということがわかることも多いですが、システムの所有者の自覚がない検知も発生します。たとえば、毎月動く処理がセキュリティソフトのロジック変更により突然異常操作として誤検知されることもあります。人が操作せず自動起動する処理は、何が起きたのかをサーバや通信の記録を見て原因を追いかけて事象を明らかにしなければなりません。それを、システムの所有者ではないセキュリティ担当者が迅速に行うためには高い技術力が求められます。もちろんシステム所有者が調査するケースも多くありますが、なぜ誤検知されたかを突き詰める技術力と余力がない場合はセキュリティ担当者が行わなければなりません。

あるいは、マルウェアと疑われて隔離されたファイルが本当に安全かを確認するにはコード解析の高いスキルが求められるかもしれません。 場合によってはセキュリティソフトのメーカーと共同でリスクの調査を行うこともあります。 CSIRTの役割や開始手順は日本シーサート協議会が作成した「CSIRT スタータキット」を参考にするといいでしょう。SOCと違ってステップがかなり明確です。
参考:https://www.nca.gr.jp/imgs/CSIRTstarterkit.pdf

ノウハウがなくて自力でCSIRT立ち上げが不安ということであれば、支援してくれる外部パートナーを利用するのもよいでしょう。組織内で体制を作らなければならないものではありますが、伴走者がいた方が効率的に適切なCSIRT体制を作りやすいと思います。

 

まとめ

SOCとCSIRTについて改めて一言で表しますと、SOCはセキュリティリスクを検知してCSIRTに連携するのが仕事で、CSIRTはリスクの内部調査から根本対応、再発防止などの事後対応まで行うのが仕事です。

実際の活動内容は組織によってかなり幅がありますが、こうした組織が企業のサイバーセキュリティを守っているので、SOC担当からセキュリティリスクの問い合わせがあったら誤検知だとしても前向きに協力をお願いします。

お役立ち資料公開中

弊社では、お客様のSOC運用やクラウドセキュリティを最適化する多種多様なソリューションを提供しております。

現在、導入検討時に役立つ「主要製品の機能比較表」や「コンプライアンスパッケージ準拠率」などの限定資料を公開中です。製品選定の効率化に、ぜひお役立てください。

https://solutions.t.dentsusoken.com/downloads/cnapp_guide

https://solutions.t.dentsusoken.com/downloads/cis_compliance

前の記事

prev-article-image

【2026年】情報セキュリティ10大脅威 初選出ワードを徹底解説

CONTACT

お客様の課題解決に最適な
支援プランをご提案いたします

ご不明な点はお気軽に
お問い合わせください

お問い合わせ

サービス資料は
こちらから

資料ダウンロード

フリーワード検索

おすすめ資料

人気記事ランキング

タグ一覧

電通総研テクノロジーロゴ
ページトップに戻る

© COPYRIGHT DENTSU SOKEN TECHNOLOGY INC.ALL RIGHTS RESERVED.