SOCとは

SOC（Security Operations Center　読み方：ソック）は、組織や企業のネットワークやシステムを保護するために、24時間、365日体制でリアルタイムに監視し、セキュリティインシデントを発見・分析し対応策を提案する専門家チームを指します。

図1】SCSKによるSOCのイメージ

（出典）SCSK SOC

近年、サイバー攻撃は高度化・巧妙化し、その被害は深刻化しています。従来はこのようなセキュリティ対応は組織内の担当者が行っていましたが、脅威レベルの高度化に伴い、高い専門性やスキルが必要になったことから専門企業へのアウトソーシングが増えています。

SOCは脅威をリアルタイムで検出し、迅速に対応することで、組織や企業がビジネスを安全に運営し顧客やパートナーの信頼を維持するための重要な役割を担うものといえます。

SOCの運営形態は組織・企業のニーズやリソースにより異なり、大きく分けて組織内部で運用するものと、アウトソーシングするものがあります。

（1）SOC

サービス提供事業者がSOCの運用を担当するもの。サービス適用範囲は事業者や契約内容によって異なります。

（2）プライベートSOC

組織が自身のスタッフとリソースを使用し、内部でSOCを運用するもの。高い専門性を持った人材の配置や組織の構築が必要になります。

また、上記2つを組み合わせ、特定のタスクは内部チームが、他のタスクは外部ベンダーが担当するなどのハイブリッドSOCとされるものもあります。

なおSOCのほか、セキュリティ関連を担当する組織としては「CSIRT（Computer Security Incident Response Team）」があります。SOCが主に「インシデントが起こる前の対策と検知」に重点を置いている一方、CSIRTは主に「インシデントが起きた際と後の対応」に重点を置いています。

SOCの主な役割は以下のとおりです。

監視と脅威の検知

組織のネットワーク、サーバー、データベース、アプリケーション、その他のシステムを監視し、セキュリティインシデントをリアルタイムで検出します。既知の脅威だけでなく、未知の脅威を積極的に探し出す役割も果たします。これは、ネットワーク内の異常なパターンや活動を探すための定期的なチェックを行うことで実現されます。

分析

検出されたセキュリティインシデントを分析、評価し、適切な対応策を決定します。分析システムによるものとセキュリティアナリストによるものがあり、サービス提供者によって提供内容は異なります。

インシデント発生通知、レポート作成

インシデントの重要度に応じ、サービス利用組織の担当者へ通知が行われます。また分析結果について詳細なレポートを作成します。

【関連記事】SOCとは？｜SCSK