1.SOC概要
1.1 SOCとは
24時間365日でログやネットワーク通信を継続的に監視・分析し、脅威を検出・初動対応する
1.2 CSIRTとの違い
| 項目 | SOC (Security Operation Center) | CSIRT (Computer Security Incident Response Team) |
|---|---|---|
| 役割 | 「検知」と「分析」 | 「対応」と「調整」 |
| 主な活動 | 24時間365日のログ監視、アラート分析。 | インシデント発生時の指示、社内外への連絡、法的対応。 |
| 位置づけ | 技術的な実行部隊。監視カメラのモニター室に近い。 | 消防本部や指揮所に近い。現場から報告を受け判断を下す。 |
| イメージ |  |
 |
1.3 情シスが監視業務もすればいいのでは?
SOCを導入するということは、「監視モニターの前に、24時間座って画面を見続け、怪しいものが映った時だけ情シスに『ヤバいですよ!』と電話をしてくれる専属のチームを作ること。
1.4 SOCの必要性(背景)
(1)サイバー攻撃の高度化・巧妙化
(2)必要性
インシデント発生時のビジネスインパクト(業務停止、情報漏洩、信用失墜)
1.4 SOC導入の目的
・被害の「未然防止」と、侵入を前提とした「早期検知・対応」
・統合管理(一元管理)、一元窓口として機能すること
・専門チームを分けることで、監視に特化した業務に専念できる
| 比較項目 | SOCを導入しない場合(個別ツール+情シス運用) | SOCを導入する場合(専任のSOCチームによる監視) |
|---|---|---|
| 監視の時間帯 | ・情シスの業務時間内のみの確認になりがち ・夜間・休日が「サイバー攻撃の死角」になる |
・24時間365日の常時監視体制が作れる ・休日深夜のランサムウェア攻撃などにも即応できる |
| アラートの処理 | ・誤検知を含め、大量の通知が情シスに直接届く ・「また誤検知か」と慣れてしまい、重大な通知を見落とす |
・SOCが膨大なアラートから「誤検知(ノイズ)」を除外 ・情シスには「本当に対処が必要な危険なもの」だけが届く |
| 攻撃の検知力 | ・EDRはEDRの画面、FWはFWの画面を見る「点の監視」 ・別々のツールにまたがる巧妙な攻撃に気づけない |
・各ツールのログを組み合わせた「線の監視(相関分析)」 ・単体では見逃すような「一連の不審な動き」をあぶり出す |
| 本業への影響 | ・日々のITサポートや開発業務が、アラート対応で圧迫される ・担当者が疲弊してしまう |
・監視・分析の泥臭い作業をSOCに任せられる ・情シスは「上がってきた脅威をどう防ぐか」の判断に集中できる |
1.5 SOC不要説
(1)情シスで十分
| Q1. 情報システム部がSOCの機能も実施すればいいのではないか? |
A. 監視に特化した専門チーム(SOC)を分けることに価値はあります。
❶24時間365日の監視体制
情報システム部による兼務では、どうしても業務時間内(平日日中)の確認になりがちです。よって、たとえ土日と夜間だけであっても、外部委託を含め、、24時間365日の常時監視体制を作る意義があります。
❷監視業務はそこそこ大変
セキュリティ機器からは日々大量のアラート(誤検知含む)が飛びます。外部委託を含め、SOCが正しく機能していないと、適切な運用ができません。「本当に対処が必要な危険なもの」だけをフィルターする(=見極める)役割が必要です。
❸情シスの「本業」を守る
情報システム部は、日々のITサポートやインフラ運用、開発業務を抱えています。そこに監視・分析の泥臭い作業が加わると、担当者が疲弊してしまいます。役割を分けることで、SOCは「監視」に専念します。
(2)SIEMよりオリジナルのツールの方が情報が多い
| Q2. 優秀な専用コンソール(CrowdStrikeやFortiGate等)があるのに、無理にSIEMにログを集約すると可視性が落ちる。「結局元コンソールを見た方が早いし正確」なのではないか? |
(※画像は生成AIで作成)
専用ツールが優れていても、SOC(SIEM基盤)が必要な理由は以下の通りです。
❶相関分析
EDRは端末の動き、FWは境界の通信というように、各ツールは自らの守備範囲(点)しか見えません。別々のツールにまたがる巧妙な攻撃(例:正規のIDでログインし、FWをすり抜け、端末で標準ツールを悪用する等)は、単体のツールでは「異常なし」と見逃されることがあります。SIEMはこれらを組み合わせた「一連の不審な動き」をあぶり出すために必要です。
❷アラートの起点として機能
・SIEMはあくまで複数ツールをまたいだ統合管理、異常を知らせるトリガー(警報器)」として活用する。
・その後に詳細なコンテキストの把握やプロセスの追跡は、SOCアナリストが直接CrowdStrikeやFortiGateの使いやすいコンソールへ見に行く
❸一元窓口としての機能
複数のセキュリティツールがバラバラに警報を鳴らす状態ではなく、SOCという「一元窓口」が統合的に状況を把握する。また、ログを集約するためのSIEMが必要。
1.6 責任分界点
セキュリティインシデントが起こったら、すべてをSOCがするわけではない。
対策はCSIRTである。また、セキュリティシステム(EDRやFW)などは情報システム部になるであろうが、監視設定部分はSOCになるだろう。また、ログ解析をこえたフォレンジック解析は外部や別の専門チームになるだろう。
| 組織 | 役割・責任分界点 |
|---|---|
| SOC | ・セキュリティシステム(EDRやFWなど)の監視設定の運用 ・アラートの常時監視と一次的なログ解析 |
| CSIRT | ・セキュリティインシデント発生時の具体的な対策の実行 ・インシデント対応全体の指揮と判断 |
| 情報システム部 | ・EDRやFWなどのセキュリティシステム自体の導入とインフラ管理 ・通常時のITシステム運用 |
| 外部機関・専門チーム | ・SOCの日常的なログ解析の範囲を超える、高度なフォレンジック解析(デジタル鑑識・詳細調査) |
3.SOCの基本業務
3.1 SOCのコア業務フロー
ログ収集・監視 → 検知 → トリアージ(優先順位付け) → 詳細分析 → 報告(エスカレーション)分析について
3.2 相関分析
4.SOCを支えるテクノロジー
4.1 SIEM
・SIEM(統合ログ管理システム)
・なぜSIEMが必要か
4.2 EDR / XDRによるエンドポイント・統合監視(侵入後の挙動把握)
4.3 脅威インテリジェンス(CTI)の活用(最新の攻撃手法やIPアドレス情報の自動照合)
5.SOCの構築モデルとリソース(導入計画)
自社に最適なSOCの形態を検討するための比較・評価軸を提示します。
5.1 内製か、外部委託か
SOCの運用モデル比較
・自社運用(プライベートSOC):メリット・デメリット
・外部委託(MSSP / マネージドSOC):メリット・デメリット
・ハイブリッド型(夜間休日のみ委託、一次切り分けのみ委託など)
5.2 SOCに必要な人材要件とスキルセット
Tier1/Tier2/Tier3アナリストの分類
| 組織・階層 | 主な役割・作業内容 | 求められる主なスキル・要件 |
|---|---|---|
| SOC Tier 1 (機器アラート起点) |
・SIEM/EDR等の常時監視と一次トリアージ ・手順書に従い誤検知を除外 ・真の脅威をTier 2へエスカレーション |
・基礎的なネットワーク/OS知識 ・セキュリティ機器の基本操作 ・手順書の正確かつ迅速な遂行力 |
| SOC Tier 1 (利用者申告起点) |
・従業員からの不審メールや異常報告の受付 ・IT障害かセキュリティインシデントかの一次判定 ・初動指示(NW切断等)とTier 2/CSIRTへの連携 |
・状況を正確に引き出すヒアリング力 ・ITトラブルとインシデントを見極めるITリテラシー |
| SOC Tier 2 (詳細分析・実動) |
・ログの相関分析による攻撃全容・被害範囲の特定 ・権限内での初期対応・封じ込め(端末隔離など) ・CSIRTへの詳細なインシデントレポート提出 |
・高度なログ解析・パケット解析能力 ・サイバー攻撃手法(MITRE ATT&CK等)の理解 |
| SOC Tier 3 (脅威探索・高度解析) |
・未知の脅威を自ら探し出すスレットハンティング ・マルウェア解析や高度なフォレンジック ・新たな脅威に対する検知ルールの作成・チューニング |
・マルウェアの静的/動的解析スキル ・メモリ/ディスクの高度な解析技術 ・最新の脅威動向(CTI)に関する深い知見 |
| CSIRT | ・インシデント対応全体の指揮・判断(司令塔) ・具体的な対策の実行と、経営陣への報告・対外対応 |
・セキュリティ全般の深い知見 ・経営判断、社内外との調整力、危機管理能力 |
| 情報システム部 | ・セキュリティシステム(EDR/FW等)自体の導入・インフラ管理 ・通常時のITシステム運用(※監視設定の運用はSOCが担当) |
・自社ITインフラ・ネットワークの構築・運用スキル |
| 外部専門チーム | ・SOCの日常業務を超える高度なフォレンジック解析 ・法的証拠保全(デジタル鑑識)や専門的な詳細調査 |
・専門的なデジタル鑑識技術 ・法的妥当性を持った調査報告手法 |
5.3 アラート疲弊(アラートファティーグ)対策(自動化の必要性)
6. 今後の展望(SOCの高度化)
中長期的なロードマップを示し、将来を見据えた投資であることをアピールします。
6.1 SOAR(セキュリティ運用自動化)による省力化
6.2 AIを活用した脅威検知の高度化
6.3 まとめ:自社におけるSOC構築のロードマップ(ネクストアクション)
