SOC(Security Operation Center)とは？概要や必要性を解説

本記事では、SOCの意味や近年サイバーセキュリティの運用体制として必要とされている背景などを解説します。

SOC(Security Operation Center)とは

SOC(ソック)とは「Security Operation Center」の略称で、ネットワーク機器やセキュリティ製品を24時間365日監視し、サイバーセキュリティにおける脅威の検出/検知、ログ分析を行う組織のことです。
サイバー攻撃やその可能性がある脅威が検知された場合、攻撃の遮断や対策がSOCの対象となる場合もあります。

SOCが必要とされる背景

「標的型メール」や「ランサムウェア」を中心としたサプライチェーン攻撃の被害は年々増加しています。経済産業省による「サイバーセキュリティ経営ガイドライン」は2023年に改定され、「サイバーセキュリティの対象の変化・拡大 」「サプライチェーン全体を通じた対策の推進の必要性の高まり」といった内容が含まれました。

情報資産とそれを扱うIT系の環境のみを守ることから、制御系を含むデジタル基盤を守ることへのサイバーセキュリティの対象の変化・拡大 

国内外のサプライチェーンを介したサイバーセキュリティ関連被害の拡大を踏まえた、サプライチェーン全体を通じた対策の推進の必要性の高まり

[引用元]サイバーセキュリティ経営ガイドラインVer3.0

こうした背景への対策として、様々なセキュリティ製品を導入していても、その運用や検知されたアラートの分析はセキュリティの専門家でないと難しいことが多く、SOCのアウトソースや社内SOCの教育が求められています。

SOCとCSIRTの違い

SOCがセキュリティインシデントや脅威の検知を主体としているのに対し、CSIRTはセキュリティインシデントの発生後の対応を行う組織とされています。
CSIRTが担う主な役割として、セキュリティインシデント発生時の対応や、インシデント対応マニュアルの作成、インシデント対応訓練の実施などが該当します。
CSIRTとSOCは業務上密接に関係しており、業務内容がかなり近しい場合もあり、その役割分担は企業ごとに異なります。

SOCとMDR（Managed Detection and Response）の違い

MDR（Managed Detection and Response）は、専門のセキュリティベンダーや対応するセキュリティ製品機能によってSOCやCSIRTの対応が提供されるサービスのことです。
自社でサイバーセキュリティの運用体制が構築しづらい場合は、アウトソースを前提に相談する方法があります。

SOCの実施内容

サイバーセキュリティ運用体制の見直し/構築

運用体制や実施されている対策状況を把握し、課題を改善しながら組織体制を構築していきます。

ログの調査/分析と通知

ネットワーク、システム、アプリケーションに関するのログやトラフィックを24時間365日監視し、不審な挙動やセキュリティ脅威を検出。インシデントの可能性はないか分析し、その危険度に応じて関連するステークホルダーに通知します。

サイバー攻撃の対策/遮断

ログ分析において重篤な事象が発覚した場合、攻撃を遮断する設定をセキュリティ製品に適用します。

SOCに対応する人材と役割

SOCの人員構成は、主にSOCオペレーターとSOCアナリストに分けられます。
どちらもサイバーセキュリティの専門知識が求められるため、自社で組織するのが難しい場合は、アウトソースを検討するのが一般的です。

SOCオペレーター

EDR、WAFなどのセキュリティ製品の運用とメンテナンスを担当します。
設定、更新、パッチ適用がこれに含まれます。これらのツールが最新の脅威に対し適切に対応できるように監視します。

SOCアナリスト

セキュリティインシデントや異常活動の検出を担当します。
インシデントが検出された場合、SOCアナリストは迅速に脅威を遮断し、被害を最小限に抑えます。インシデント発生状況の調査/分析を行い、脅威に対する防御対策を実施します。

「日本で一番良いSOCを作りたい」SOC事業部の志とあくなき挑戦

サイバーセキュリティの運用でお困りなら、当社にご相談ください

GMOサイバーセキュリティ byイエラエは、お客様のご状況に合わせた4つのプランのSOCサービスをご提供しています。
SOCをご検討の場合は、お気軽にお問い合わせください。

SOCのサービス詳細はこちら