SOCとCSIRTの違いとは何か?
セキュリティ組織「SOC」と「CSIRT」
サイバー攻撃の複雑化にともない、セキュリティインシデントの予防や対応が困難な時代を迎えています。特に個人情報や機密情報の漏洩は、企業において金銭的な被害だけでなく、社会的な信用を損なう重大なインシデントになりかねません。
そのようなリスクへの対応として、企業は「SOC」や「CSIRT」という組織を立ち上げ、強固なセキュリティ体制を構築しています。この混同されがちな「SOC」と「CSIRT」の2つの組織について解説します。
ネットワークを監視する「SOC」
SOCとは「Security Operation Center」の略語で、組織内のネットワークを監視して、サイバー攻撃を予兆し対策を行うための組織です。日本語では「ソック」と呼ばれます。具体的な仕事内容は以下の通りです。
- ログの収集と分析
- サーバーなどのネットワーク機器、セキュリティ機器の監視
- ネットワーク状態の監視
- サイバー攻撃の検知と分析
24時間365日体制での監視が基本ですが、このような運用は専門的な人材が乏しく、予算も足りない一般的な企業では困難であるため、アウトソーシングする企業もあります。
サイバー攻撃は、時に想像以上の被害を発生させることがあります。SOCはネットワークの監視やログの分析により、被害を最小限に抑えることを目的としています。つまりSOCとは、サイバー攻撃を発生させる前段階を想定した組織と言えるでしょう。
セキュリティインシデント発生時の対応を担う「CSIRT」
CSIRTとは「Computer Security Incident Response Team」の略語で、セキュリティインシデント発生後の対応を目的とした組織です。日本語では「シーサート」と呼ばれます。具体的な仕事内容は以下の通りです。
- インシデント発生によるシステムの停止からの復旧
- インシデント防止のための情報収集、対策の導入
- インシデント対応のための社員教育
- メンバー間での情報共有
CSIRTはインシデント発生後の対応を主な業務としているため、SOCのような24時間365日体制で稼働する組織でもありません。しかし、平常時でもインシデント防止のための活動や情報収集、社内教育などを行っており、インシデント発生時の影響を出来るだけ抑え込むこともCSIRTの重要な役割です。
「SOC」や「CSIRT」が必要とされる理由
働き方改革や新型コロナウイルスの蔓延などの理由で、業務のデジタル化やテレワークが急速に普及しました。これにともない組織におけるインターネットの活用がますます重視されるようになり、それと同時にサイバーセキュリティ対策の重要性も高まっています。
サイバー攻撃と一口に言っても、その種類はさまざまです。IPAが公開している「情報セキュリティ10大脅威 2023」によると、組織をターゲットとした脅威として「ランサムウェアによる被害」「サプライチェーンの弱点を悪用した攻撃」「標的型攻撃による機密情報の窃取」「内部不正による情報漏えい」「テレワーク等のニューノーマルな働き方を狙った攻撃」が上位にランクインしています。
これらの脅威は時を経ることに手口が巧妙化しつつあり、予防や対策を専門とした部門を設置して、適切な対応を取る仕組みが必要とされてきたのです。SOCやCSIRTは、まさにそのようなセキュリティインシデントへの対応を専門としたものです。
KPMGコンサルティング株式会社の調査によると、国内の上場企業及び売上高400億円以上の未上場企業において、34.4%の企業が自社内にCSIRTを設置しており、45.6%の企業が自社または外部サービスのSOCを導入していることが明らかになっています。
どちらもセキュリティインシデントへの対応に必要とされますが、専門的な知識を持つ人材の教育や予算の確保などの課題も多く、自社だけで解決するのではなく、外部の専門家との連携という手段も考慮すべきと言えるでしょう。
参考
- https://www.gmo.jp/security/cybersecurity/soc/blog/soc-csirt/(2023年7月31日確認)
- https://www.otsuka-shokai.co.jp/solution/keyword/security/soc-csirt/(2023年7月31日確認)
- https://codebook.machinarecord.com/info-security/20659/(2023年7月31日確認)