全2048文字
PR

 SOCとはサイバー攻撃を検知および分析することを目的に、企業などが設置する組織だ。24時間365日体制で企業システムを監視する。

 サイバー攻撃が高度化し、検知するのが難しくなってきている。サイバー攻撃などによるインシデントを検知して適切に対応するには様々なセキュリティー製品を使いこなす必要があり、担当者には高い専門知識が求められる。このためサイバー攻撃に対応するための専門組織であるSOCに注目が集まっている。

外部への委託が主

 一般の企業がSOCを社内に設置するのは容易ではない。まずセキュリティー人材を確保する必要がある。だがセキュリティー人材への需要は高まり続けており、十分な人数を採るには多大な費用がかかる。各種セキュリティー製品の導入コストも重くのしかかる。

 そのため多くの企業はSOCの業務を外部に委託する。セキュリティーベンダーなどが専門の人材や設備を集めて作ったSOCの機能を、料金を払ってサービスとして利用する。

 SOCは社内外のシステムに目を光らせる(図5-1)。監視機器を通してログやアラートを基にインシデントを検知する。実際のインシデント対応はCSIRTが担うことが多い。

図5-1●インシデントを検知してCSIRTに報告
図5-1●インシデントを検知してCSIRTに報告
SOCは企業システムの様々な箇所を監視し、サイバー攻撃などによるインシデントを検知する組織。インシデントの分析や対策方針の検討もSOCが担う。インシデント対応はCSIRTが実施する。
[画像のクリックで拡大表示]

 CSIRTはインシデントの詳細な調査や対応をするための組織だ。SOCが検知および分析したインシデントの情報を基に、CSIRTが対応する。

 だがSOCは検知だけ、CSIRTは対応だけをするわけではない。「インシデントの種類によってはSOCが一次対応をするケースもある」(ラックの三嶋氏)。いずれにせよ高度化されたサイバー攻撃に対抗するためにはSOCとCSIRTの密な連携が必要不可欠となる。