sg sg-security-measures monitoring incident_response log_management
まず結論
SOC(Security Operation Center)は、組織のシステムやネットワークを監視し、サイバー攻撃や不審な兆候を見つける専門組織・チームです。
SG試験では、SOCを 「セキュリティ監視を行う組織」 として押さえることが大切です。
ポイントは、次の3つです。
- ログやアラートを監視する
- 不審な通信や操作を分析する
- インシデント対応につなげる
特に、SIEMとの違いがよく混同されます。
SIEMはログを集めて分析する仕組み、SOCはその情報を見て監視・判断する組織です。
直感的な説明
SOCは、会社のセキュリティを見張る「監視センター」のような存在です。
たとえば、会社の中には次のような機器やシステムがあります。
- サーバ
- パソコン
- ネットワーク機器
- ファイアウォール
- アプリケーション
- クラウドサービス
これらからは、日々たくさんのログやアラートが出ます。
SOCは、それらを見ながら、
- いつもと違う通信がないか
- 不審なログインがないか
- マルウェア感染の兆候がないか
- 情報漏えいにつながる動きがないか
を確認します。
つまりSOCは、異常を早く見つけて、被害が大きくなる前に対応へつなげる役割を持ちます。
定義・仕組み
SOCは、Security Operation Center の略です。
組織の情報システムやネットワークを継続的に監視し、セキュリティ上の異常を検知・分析するための組織です。
SOCの主な役割は、次のように整理できます。
| 役割 | 内容 |
|---|---|
| 監視 | ログやアラートを確認し、不審な兆候を見つける |
| 分析 | 検知された事象が本当に危険かを調べる |
| 通知 | 必要に応じて担当者やCSIRTへ連絡する |
| 初動支援 | 影響範囲の確認や対応判断を支援する |
| 継続改善 | 検知ルールや監視方法を見直す |
SOCは、SIEM、IDS、IPS、EDRなどのセキュリティ製品から出る情報を確認し、異常があるかどうかを判断します。
ここで重要なのは、SOCは単なるツールではなく、監視を行う体制・組織であるという点です。
どんな場面で使う?
SOCは、組織のセキュリティ監視を継続的に行いたい場面で使われます。
不審なログインを監視する場面
深夜に管理者アカウントでログインがあったり、海外から短時間に大量のログイン試行があったりする場合があります。
SOCは、このようなログやアラートを確認し、不正アクセスの可能性がないかを分析します。
マルウェア感染の兆候を見つける場面
端末が外部の不審なサーバと通信している場合、マルウェア感染やボット化の可能性があります。
SOCは、通信ログやEDRのアラートなどを確認し、対応が必要かを判断します。
インシデント対応につなげる場面
SOCが異常を検知した場合、その情報をCSIRTやシステム管理者へ連携します。
その後、原因調査、封じ込め、復旧、再発防止といった対応へ進みます。
SOCは、インシデント対応の入口として重要な役割を持ちます。
よくある誤解・混同
誤解1:SOCとSIEMは同じである
これはよくある混同です。
SOCは組織・チームであり、SIEMはログを集約・分析する仕組みです。
| 用語 | 見分け方 |
|---|---|
| SOC | セキュリティ監視を行う組織・チーム |
| SIEM | ログを集約・分析する仕組み |
たとえるなら、SIEMは監視に使う道具、SOCはその道具を使って判断する人・組織です。
誤解2:SOCとCSIRTは同じである
SOCとCSIRTも混同しやすい用語です。
| 用語 | 主な役割 |
|---|---|
| SOC | 日常的に監視し、異常を検知・分析する |
| CSIRT | インシデント発生時に対応・調整する |
SOCは、異常を早く見つける役割が中心です。
CSIRTは、インシデント発生後に、対応方針の決定、関係者との調整、再発防止などを行います。
試験では、SOC=監視、CSIRT=対応・調整と切り分けると判断しやすくなります。
誤解3:SOCは攻撃を直接防ぐ装置である
SOCは装置ではありません。
SOCは、セキュリティ製品から出るログやアラートをもとに監視・分析を行う組織です。
攻撃を直接遮断するのは、ファイアウォールやIPSなどの役割です。
SOCは、検知された情報を確認し、必要な対応へつなげる役割を持ちます。
誤解4:SOCがあればインシデントは発生しない
SOCがあっても、インシデントを完全に防げるわけではありません。
SOCの目的は、異常を早く発見し、被害を小さくすることです。
そのため、SOCは「予防」だけでなく、早期発見・早期対応のための体制として理解することが大切です。
SG試験での判断ポイント
SOCが出てきたら、次の言葉に注目します。
- セキュリティ監視
- ログやアラートの確認
- 不審な兆候の分析
- インシデントの早期発見
- SIEMなどを用いた監視
これらがあれば、SOCの説明として判断しやすいです。
一方で、次のような説明は別の用語の可能性があります。
| 説明 | 関係しやすい用語 |
|---|---|
| ログを集約・分析する仕組み | SIEM |
| インシデント対応を調整する組織 | CSIRT |
| 不正通信を検知して遮断する | IPS |
| 外部公開サーバを置く中間的な領域 | DMZ |
| 攻撃者を誘い込むダミー環境 | ハニーポット |
SOCは、監視を行う組織という軸で判断します。
まとめ(試験直前用)
試験直前は、次の3点だけ押さえておきましょう。
- SOCは、セキュリティ監視を行う組織・チーム
- SIEMは、SOCが使うログ集約・分析の仕組み
- CSIRTは、インシデント対応や調整を行う組織
特に、「監視する組織」ならSOC、「ログを分析する仕組み」ならSIEM、「対応を調整する組織」ならCSIRTと切り分けると、選択肢を判断しやすくなります。