SOC そっく
セキュリティオペレーションセンターインシデント対応セキュリティ監視SIEMアナリスト
SOCについて教えて
簡単に言うとこんな感じ!
組織のセキュリティを24時間365日監視する「警備センター」のことだよ。専門のアナリストがSIEMなどのツールを使いながら、サイバー攻撃のアラートに対応している場所(またはチーム)なんだ。
SOCとは
SOC(Security Operations Center、ソック)とは、組織のIT資産に対するサイバー脅威を24時間365日体制で監視・検知・分析・対応するための専門チームまたは施設のことです。セキュリティアナリスト、インシデントレスポンダー、フォレンジック担当者などが常駐し、SIEMをはじめとするセキュリティツールを駆使して組織を守ります。
SOCの役割は「予防(Prevent)→ 検知(Detect)→ 対応(Respond)→ 回復(Recover)」のサイクルを継続的に回すことです。特に検知と対応に主眼が置かれており、攻撃者の侵入を素早く発見し、被害を最小化することが求められます。
運営形態には**自社運営のSOC(内製SOC)と、セキュリティベンダーに委託するMSSP(Managed Security Service Provider)**があります。専門人材の確保が難しい中堅・中小企業では、MSSPを活用してSOC機能を外部調達するケースが増えています。
SOCの構造とアナリストレベル
| レベル | 役割 | 主な業務 |
|---|---|---|
| Tier 1(L1) | アラートトリアージ | SIEMアラートの初期確認・誤検知フィルタリング |
| Tier 2(L2) | インシデント調査 | 詳細なログ分析・攻撃の影響範囲特定 |
| Tier 3(L3) | 脅威ハンティング | 高度な攻撃の能動的調査・マルウェア解析 |
| SOCマネージャー | 運営管理 | KPI管理・メンバー育成・経営への報告 |
SOCで使われる主なツール
- SIEM:ログ収集・相関分析・アラート生成
- EDR/XDR:エンドポイントの脅威検知と対応
- SOAR:アラート対応の自動化・ワークフロー管理
- 脅威インテリジェンスプラットフォーム:IoC情報の収集・管理
- ITSM(チケット管理):インシデントの追跡・エスカレーション
歴史と背景
- 1990年代後半:大手金融機関・通信会社が内製SOCを構築し始める
- 2000年代:標的型攻撃の増加を受け、政府機関・重要インフラへSOC設置が広がる
- 2010年代:クラウド化とBYODにより監視対象が急拡大。MSSPの市場が成長
- 2020年代:MDR(Managed Detection and Response) サービスが普及。AIによる自動トリアージが進化
日本では2016年の「サイバーセキュリティ経営ガイドライン」(経産省)以降、上場企業や重要インフラ事業者を中心にSOCの整備が加速しています。
内製SOC vs MSSP の比較
関連する規格・RFC
| 規格・基準 | 内容 |
|---|---|
| NIST CSF(Cybersecurity Framework) | 検知・対応・回復のフレームワーク。SOCの活動指針として広く参照 |
| ISO/IEC 27035 | 情報セキュリティインシデント管理。SOCの対応プロセスの基盤 |
| MITRE ATT&CK | 攻撃者の戦術・手法カタログ。SOCアナリストの分析に必須 |