SOCとは｜セキュリティ監視とCSIRTの違い | london3.jp

概要

SOC（Security Operation Center：ソック）とは、組織のシステムやネットワークを24時間365日体制で常時監視し、サイバー攻撃の兆候や不審な挙動をいち早く検知・分析する専門組織です。

大量のログを監視して脅威を「見つける」のがSOCの主な役割です。検知した脅威への実際の対応・指揮はCSIRTが担うことが多く、両者は連携して機能します。

詳細（役割・CSIRTとの違い）

組織	主な役割	たとえると
SOC	常時監視・検知・分析する。	防犯カメラ・監視室
CSIRT	インシデント発生時の対応・指揮を行う。	消防・救急の対応部隊

SOCが「異常を見つける番人」、CSIRTが「事故に対応する部隊」という役割分担です。両者を組織内に持つ場合も、SOCを外部に委託（マネージドサービス）する場合もあります。

SOCのキーワードは「常時監視・検知」。CSIRT（対応中心）との違いが最頻出です。「SOC＝見つける／CSIRT＝対応する」と覚えましょう。

SIEMとの関係

SOCは、各機器のログを集約・相関分析するSIEM（Security Information and Event Management）を活用して監視を行う。
SIEMにより、単独では見逃しがちな不審な兆候を、ログの相関から検知できる。
検知した脅威をトリアージし、必要に応じてCSIRTへエスカレーションする。

膨大なログを人手で見続けるのは不可能なため、SOCはSIEMなどのツールを使って効率的に脅威を検知します。「監視（SOC）＋対応（CSIRT）＋ツール（SIEM）」のつながりで理解しましょう。

関連例

標的型攻撃では、侵入後の不審な内部通信や外部のC&Cサーバへの通信をSOCが検知し、CSIRTが端末隔離などの対応を行うことで被害を食い止めます。SOCによる早期検知がなければ、長期間気づかれず情報を盗まれ続ける恐れがあります。

試験での問われ方

「システムを常時監視し脅威を検知する組織はどれか」→ SOC。
「SOCとCSIRTの役割の違い」を問う問題（監視か対応か）。
「ログを集約・相関分析する仕組みはどれか」→ SIEM。