3分でわかる!SOCとは?役割やCSIRT、SIEMとの違い、必要性を初心者向けにわかりやすく解説

soc 3分でわかるIT基礎用語
2021.04.22
記事上広告

近年のサイバー攻撃の高度化・巧妙化により、企業のセキュリティインシデントのリスクは日々高まっています。その中で注目されているのが「SOC」というセキュリティ組織です。 
この記事では、SOCの定義や役割、なぜ今必要なのかまで、初心者にもわかりやすく解説していきます。

「なんかセキュリティの専門組織だよね」レベルの知識から、きちんと解説できるようになりましょう。

SOCとは?

SOCとは、「Security Operation Center 」の略称で、24時間365日体制でネットワークやデバイスを監視するセキュリティ組織のことです。

企業が導入しているファイアーウォールやIDS/IPSの監視やログ分析を行い、サイバー攻撃等のリスクから企業の社内システムや情報資産を守ります。

このSOCの業務を行うには高いセキュリティレベルが求められるため、社内にSOCを置くのではなく、外部に委託する企業も多いです。

SOCの役割とは?

SOCの役割は、大きく分けると①脅威の検知、アラート通知②インシデントへの対処③脆弱性や潜在的脅威の発見の3つです。

①脅威の検知、アラート通知

1つ目が、脅威の検知、アラート通知です。

24時間365日体制で常にネットワークやデバイスのログ収集・分析し、脅威を検知すると直ちにセキュリティ担当者にアラート通知をあげます。

②インシデントへの対処

2つ目が、インシデントへの対処です。

脅威を検出した場合は、影響を受けるシステム、データをネットワークから隔離したり、社員へのアラート、セキュリティ対策の実行といった対処を行います。

さらに、根本原因の解析、今後の対策検討のために、ログや監査情報をドキュメント化し、レポートを作成します。

※例えインシデントが発生しなくても、定期的にログ等のレポートを作成します。

③脆弱性や潜在的脅威の発見

3つ目が、脆弱性や潜在的脅威の発見です。

日々のログ監視、分析以外にも、脅威に関するデータベースである脅威インテリジェンスによる情報をもとに、脆弱性や潜在的な脅威をいち早く検出します。

CSIRTとの違い、SIEMとの関係性は?

CSIRTとの違いは?

セキュリティ組織というと、他にもCSIRT(Computer Security Incident Response Team)やサービスとしてはMSS(Managed Security Service)もありますが、何が違うのでしょうか?

簡単に言うと、SOCは「日々の現場の実働部隊」、CSIRTはインシデント対応時の「司令塔」です。

SOCは常に監視やログ分析を行うのに対して、CSIRTは実際にインシデントが発生した際の発生時の対応に重点が置かれています。

CSIRTの元の英語「Computer Security Incident Response Team」からも分かりやすいですね。

なので、インシデントが実際に起こった際は、このSOCとCSIRTの連携が不可欠になります。

一般的には、CSIRTは司令塔として社内に人材を配置し、SOCは外部に委託することが多いです。

SIEMなどの他のセキュリティ用語との関係性は?

監視、分析といった単語を聞くと、「あれ、SIEMも似たような役割じゃなかったっけ?」「IDS/IPSとかとどういう関係性なんだっけ?」と、大量のセキュリティ用語に頭がこんがらがってしまいませんか?

(私はなりました)

わかりやすくいうと、上から

SOC(組織)→SIEM(ツール)→IDS/IPS・ファイアーウォール(セキュリティ機器)

の順番です。

IDS/IPSやファイアーウォールといったセキュリティ機器で実際にネットワークや資産を守る、そしてそのログを一元的に監視し分析するツールであるSIEM、そしてそのSIEMを見てさらに高度な分析、実際の対応をするのがSOC、というすみわけです。

SOCに限らず、セキュリティ用語はツールなのか機器なのか、分類分けして覚えないと似たような単語ばかりで分けがわからなくなるので注意です。

(近年は、機器が簡単な分析機能を持つようになったり、SIEMの分析が高度化しSOCレベルになるなど、両者の境界が曖昧になりつつあるという影響もあります)

なぜSOCが必要なのか?

SOCの定義、役割はわかっていただけたかと思いますか、ではなぜSOCが必要なのでしょうか?

一言で言うと、「サイバー攻撃の複雑化と企業のクラウド移行」のためです。

まず、サイバー攻撃の複雑化です。

標的型攻撃の手法も日々複雑化するとともに、侵入、感染までのスピードもどんどん上がっており、24時時間365日体制で監視を行うことが必須となってきています。しかし、その業務を行うためには高度なセキュリティ組織、そして稼働を要するため、SOCのような専門組織が必要になるのです。

そして、企業のクラウド移行です。

従来の紙ベースでの機密情報の保管から、クラウド上に企業情報を保管するようになったため、社内ネットワークに侵入された際の企業の情報漏洩のリスクが急激に増加しており、よりセキュリティ対策に本腰を入れる必要が出てきています。

おわりに

いかがだったでしょうか。

SOCの定義、役割、必要性について理解いただけたかと思います。

サイバー攻撃の高度化により企業のセキュリティリスクは日々高まるばかりなので、SOCの導入、高度化は今後必須と言えるでしょう。

コメント

タイトルとURLをコピーしました