SOC、CSIRTとは?それぞれの内容や違いを解説
現代社会において、IT化、DX化というものはもはや必須事項と言えるでしょう。ただ、同時にセキュリティ面のリスクにさらされる危険も増えていることは否めないでしょう。すなわちサイバーセキュリティの重要性も増してきているということになります。
“サイバーセキュリティ”に関する用語について、SOCやCSIRTという言葉を聞いたことがある方も多いと思います。どちらもセキュリティに関する部門、チームを指しますが、それぞれの概要や違いについてよく把握していない方もいると思います。
そこで今回は、SOCとCSIRTについて、それぞれの内容や役割、違いなどを見ていきたいと思います。
目次
SOCとは?
SOCとは、“Security Operations Center”を略したもので、保護する必要があるシステムなどのログや、ネットワーク機器に対して監視を実施し、発見された脅威に対し対応を実施するセキュリティ部門あるいは専門チームのこといいます。「ソック」と呼ばれることが多く、役割としては、ITに関する機器やネットワーク、サーバーの監視や分析などを実施したり、サイバー攻撃を検知することなどです。
主な業務内容としては、アラートの監視や分析・調査、インシデントの管理や定期的な報告、監視体制の維持・管理などになります。運用には、自社内の要員やリソースで運用する「内部SOC」と専門サービスを提供する事業者が運用する「外部SOC」のパターンがあり、自社に合わせてどちらか選びます。内部SOCのメリットは、自分たちのセキュリティポリシーに合った監視や対応が可能であることで、デメリットは構築のための初期コストと維持費用が高くなること、セキュリティのための人材の確保が必要になること、となります。外部SOCのメリットは、人材の確保や設備投資が不要になり、初期コストを大きく減らすことが可能なことで、デメリットは自社に合わせたカスタマイズが困難で、内部情報のセキュリティ不安があること、となります。
CSIRTとは?
CSIRTとは、”Computer Security Incident Response Team”の略で、セキュリティインシデントに対応する部門で、一般的に「シーサート」と読まれます。セキュリティインシデントの対応を目的として、実際に発生したインシデントの対応を担当し、原因究明や再発防止などの対応に関する意味合いが強い部門となっています。ここでいうセキュリティにおけるインシデントとは、マルウェア感染や機密情報の流出などの脅威のことで、これに対処するための部門ということになります。
内容的にもSOCと似ているため紛らわしいですが、CSIRTは実際に被害が起きた後に対応するのに対し、SOCはインシデントが発生していないかどうかを監視します。
MDRとは?
SOCに関連する言葉でMDRというものがあります。MDRとは、”Managed Detection and Response”の略で、SOCやCSIRTを代行するサービスやベンダーのことを指しています。社内のITリソースの関係でセキュリティ部門を立ち上げることが難しい場合など、MDRを活用してその役割を任せることが可能です。
メリットとしては、MDRと契約をすることで専門の機関を整備することができることが挙げられますが、反面デメリットとして、MDRに頼りきりになることで社内でのセキュリティ人材の育成への意識が弱まってしまうのではないかと言われています。
こうしたデメリットを回避するためにも、MDRを活用しながらも、同時に社内のセキュリティ部門の立ち上げるために、人材育成や採用を進めることも必要になるでしょう。
なぜいまSOCが必要なのか
最近SOCの需要が高まっていますが、その背景には、企業のIT活用が広がっていることがあるようです。また、政府主導でDX化を進められています。この環境下で多くの企業がサイバー攻撃のリスクにさらされるようになってきています。
また、システム環境が多様化した等の理由により、外部のネットワークとの接続が増加してきており、サイバー攻撃をされる経路が複雑化し、社内のIT担当者だけでは対応が難しくなっています。セキュリティの監視は24時間実施する必要があり、少人数での対応が困難とされるため、チームとしてSOCを組んで対応をする必要が出てきているようです。
先にも述べた通りSOCはサイバー攻撃を未然に防ぐためのものなので、SOCにより、被害を最小限に抑えられる可能性を高められると考えられています。
SOCの構築・運用について
SOCを構築するには、以下のような手順が必要になります。
- IT資産の適切な管理
- 業務フローの管理
- セキュリティログの管理
- セキュリティ人材の採用
- 社内へセキュリティ意識の周知
SOCを自社で構築して適切に運用していくにはいくつかのポイントがあります。
1つめは、IT資産(ITに関わるもの)や情報資産(電子データ)の監視システムを導入することです。監視する範囲は、PCの操作ログ、Web閲覧履歴、メール送受信履歴、などがあり、これらが把握できるシステムの導入が必要です。
2つめは、社内のセキュリティ人材を採用し、育成することです。また、採用と人材教育と同時に、サイバーセキュリティへの危機感と重要性を企業内に浸透させることが必要となってきます。
3つめは、業務手順やルールを見直すことです。例えば私物デバイスの利用に関する制限、USBなど記録媒体の使い方に関する注意事項、閲覧権限の付与をだれがするのかなど、SOCを構築するとこれまでの業務手順やルールの見直しをする必要がでてくることがあります。こうした多くの業務ルールの見直しと、合わせてそのルールを違反した場合の処罰規定も作成する必要があるでしょう。SOCは構築するだけではなく、全ての従業員がセキュリティのリテラシーを意識してもらうことも大切になります。
SOCの問題点
SOCにも課題があると言われております。それは、SOCだけだとインシデントが発生したということがわかるだけでそれ以外については対応するのが難しい、ということです。特に、想定されていなかった問題が発生したときや、管理の対象でないところから問題が発生した場合などに弱さが指摘されるようなケースが多いようです。こうした理由から、SOCを構築する時には、インシデントが発生したときに対応ができるチームや外部サービスとの連携などの運用設計も必要になるといわれています。
まとめ
企業のIT活用やDX化が大きく広がったことにより、SOCやCSIRTのようなサイバーセキュリティに関する組織は、これまで以上に不可欠な存在になりつつあると言えるでしょう。特に未然にサイバー攻撃を防ぐことができる可能性が高いSOCは、需要が高まっているようです。
社内のリソースだけでSOCのようなセキュリティのチームを結成することが難しい場合は、外部のチームを活用する方法もあり、様々な対応方法が考えられます。ただ、外部のチームを活用する場合でも、頼り切りにしてしまうのも問題なので、同時並行で社内のセキュリティ要員の育成や採用も進めていくとよいでしょう。
セキュリティ意識がまだ低い企業も多いですが、今後よりDX化が進んでいく状況で、まだ対策をしていない企業は早めのセキュリティ対策を検討してみてはいかがでしょうか。
※本記事の正確性については最善を尽くしますが、これらについて何ら保証するものではありません。本記事の情報は執筆時点(2024年10月)における情報であり、掲載情報が実際と一致しなくなる場合があります。必ず最新情報をご確認ください。
筆者プロフィール
- 家電量販店でウィンドウショッピングするのが好きです。
最新記事一覧
【オンラインセミナー定期開催中】法改正、IT導入補助金、内部統制、業務の効率化など
いま解決したい課題のヒントになるかもしれません。ぜひお気軽ご参加ください!