SOCとCSIRTの違いとは|それぞれの役割や立ち上げのポイントを解説
急速に発展するデジタル環境に合わせて、企業の情報管理もデジタル化が進んでいます。情報資産をターゲットとしたサイバー攻撃も多様化しているため、対応策として情報セキュリティの構築が不可欠です。セキュリティ組織にはSOCとCSIRTがあり、システム環境を守ってインシデント発生後に迅速な対応を行います。
本記事ではSOCとCSIRTそれぞれの特徴と、情報資産を守るために適切なセキュリティ体制を解説しますので、ぜひ参考にしてください。
目次
[ 開く ]
[ 閉じる ]
セキュリティ組織「SOC」と「CSIRT」の違い
デジタル化が進む昨今では、サイバー攻撃からシステムやネットワークを守るセキュリティ組織として「SOC」「CSIRT」が注目されています。どちらもデジタル化された情報を守るセキュリティ組織であるため、SOCとCSIRTはよく混同されて考えられがちです。しかし、役割は以下のように異なります。
| 組織 | 主な役割 |
|---|---|
| SOC | 24時間365日体制でインターネット環境やシステムを監視し、サイバー攻撃の検知や分析をおこなう。 |
| CSIRT | セキュリティインシデントが発生したのちの対応、防止策の導入を担う。 |
SOCではサイバー攻撃などの検知や挙動の分析などを行います。不審な動きが見られたら、CSIRTがシステムの停止から復旧までを担うのが一連の流れです。その後、CSIRTに残されたインシデントのログ情報は、SOCで解析や分析が行われます。解明された情報から、さらなる防止策の導入を行うのがCSIRTの役割となるのです。
このように、SOCはインシデントが起こる前の監視、CSIRTはインシデント後の対応が主な役割となります。
【関連記事】サイバー攻撃とは?種類や被害事例、対策方法についてわかりやすく解説
【関連記事】セキュリティインシデントとは|主な種類や最新事例・企業がとるべき対策
SOCとは
SOCとはシステム・ネットワークの状態を監視し、サイバー攻撃の検知や分析・対策を行うことで企業の情報資産を守るための組織です。「Security Operation Center」の頭文字をとった略語であり、「ソック」と読みます。セキュリティ専門の部署またはサービスとして、24時間365日体制で以下のような対応を行います。
- サイバー攻撃の検知や分析
- システム・ネットワークの状態を監視
- ネットワーク機器やセキュリティ装置・サーバーの監視
- ログ情報の解析や分析
サイバー攻撃が多様化していることやセキュリティ人材が社内に確保できないこと、また24時間365日体制が必要なことから、外部のSOCサービスを利用する企業が多くなっています。
SOCの詳細については下記記事もご確認ください。
CSIRTとは
CSIRTとは、セキュリティインシデントが発生した場合に対応する組織です。「Computer Security Incident Response Team」の頭文字をとった略語であり、「シーサート」と読みます。インシデントが発生した際に行う対応は以下のとおりです。
- システムの停止から復旧の対応
- SOCが解析した情報を基に再発させないための防止策導入
また、セキュリティインシデントが発生していない際には、以下のような活動を行っています。
- インシデント防止のため脆弱性に関連する情報収集から対策の導入
- インシデント発生時に対応するための社員教育
- CSIRTメンバー内での情報共有
状態監視はSOCの管轄のため、CSIRTは24時間体制での監視は不要です。また、トラブル事後に社内での業務調整などの対応を迫られます。そのため、自社内で対応がしきれない高度なセキュリティ関連をアウトソーシングしつつ、社内でCSIRTを運用する企業が増えています。
SOCやCSIRTが必要になる理由
昨今の働き方改革や感染症の流行・自然災害からBCPを重要視する流れから、企業の資産情報のデジタル化やテレワークが促進されるようになりました。SOCやCSIRTなどのセキュリティ対策組織は、急速に進むデジタル化社会にとって必要な組織です。
インターネット環境に接続する機器の増加から情報がダイレクトにネット環境へ触れる機会が多くなり、サイバー攻撃のターゲットになる情報が増えています。情報処理推進機構が発表している「情報セキュリティ10大脅威 2022」では、以下の内容が組織の脅威として上位TOP5として挙げられました。
情報セキュリティ10大脅威 2022
| 1位 | ランサムウェアによる被害 |
|---|---|
| 2位 | 標的型攻撃による機密情報の窃取 |
| 3位 | サプライチェーンの弱点を悪用した攻撃 |
| 4位 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 5位 | 内部不正による情報漏洩 |
(引用:情報処理推進機構「情報セキュリティ10大脅威 2022」)
実際に2位の「標的型攻撃による機密情報の窃取」による被害で、日本年金機構は2015年5月、年金加入者約125万件の情報が流出する被害にあっています。これらのサイバー攻撃はインシデント後の迅速な対応が必要なだけでなく、最新の情報や機器のログなどから脆弱性を検証し、侵入経路などの対策が不可欠です。
デジタル上で管理される情報は、大切な企業資産です。SOCで24時間365日の状態監視や情報の解析・分析、CSIRでトラブル事後の迅速な対応や再発防止策の導入は必要だといえるでしょう。
SOCを立ち上げる方法・流れ
SOCはセキュリティにかかわる広範囲をカバーしなければなりません。そのため、企業や組織内にSOCを構築し立ち上げる場合、以下の手順とポイントを押さえましょう。
| 手順 | 概要 |
|---|---|
| 1.ミッションを定義する | どのような目標を達成するためにSOCを構築するのかを明確にします。「サイバー攻撃を防ぎ、情報資産を守ること」などになるでしょう。 |
| 2.責任の範囲を明らかにする | SOCの業務を明確化し、ほかの組織との連携・役割分担をおこないます。対応する時間や時間外にインシデント検知した場合の対応方法も検討しましょう。 |
| 3.インシデントのルールを決める | セキュリティインシデントに対する対応や優先度のルールを設定します。 |
| 4.サービスのレベルを定める | インシデント報告までの工程や対応におけるスピードなど、基準となるレベルを定めます。SOCと企業のセキュリティ責任者とのあいだで認識のズレを生じさせないためです。 |
| 5.自社システムの環境を把握する | SOCの監視対象となるシステムやネットワークの構成を把握します。また、すでに導入されているセキュリティ製品も把握しておきましょう。 |
| 6.製品の選定をする | 脅威の防止や監視は、外部サービスや製品などに任せるのが一般的となっています。自社の監視対象や導入しているセキュリティ製品に合わせて、製品を選定します。 |
| 7.運用準備をする | ルールの整理や対応時間・担当者の連絡先確認、ログ分析の手順や分析に関する観点の共有をしておきましょう。 |
SOCを組織する場合には、SOCを立ち上げる目標を軸に必要な対策が行えるよう、これらの手順を踏みます。既存のシステム環境の把握から、対応範囲や時間・インシデントに関するルールを設定していきましょう。
構築のポイント
SOCでは、カバーする範囲が広くなります。そのため、自社内で対応できる範囲を理解し、インソースだけでなくアウトソースも視野に入れて構築することも視野に入れるべきでしょう。構築の際に留意すべきポイントは以下のとおりです。
- 目標を明確にする
- インソースで対応できる範囲を適切に判断する
- 役割分担を明確にする
SOCを構築することでどのような目標を達成したいか明確にできれば、どのような体制を整えるべきなのかが明らかになります。また、対応などの達成度を測るための指標として、目標は不可欠です。
SOCに期待されることは、システムなどを常に監視しセキュリティインシデントの検知や分析をおこなうことが挙げられます。インシデント発生時には、迅速な対応が求められます。それだけでなく、発生したインシデントのログを解析しCSIRTへの情報提供も必要です。
ネットワークやシステム環境の監視、サイバー攻撃の検知は特に24時間365日体制での対応が必要です。また、ログの解析には、深い知識をもったIT人材も不可欠です。自社内ですべてを担うのは、対応が難しい可能性があります。外部ソリューションに委託し連携をとることで、適切な役割分担が必要でしょう。
外部ソリューションにアウトソースする場合には、インソースとアウトソース部分の明確な役割分担をしましょう。対応や責任の所在を明らかにし、スムーズな対応ができる環境を整えることが重要です。自社で対応できる範囲や、セキュリティ専門のスキルが必要であるかの見極めが大切になるでしょう。
CSIRTを立ち上げる方法・流れ
CSIRTは企業や組織ごとの目的などにより、必要な運用方法は異なります。以下の手順を踏むことで、企業ごとに適した内容を構築できるでしょう。
| 手順 | 概要 |
|---|---|
| 1.ミッションを定義する | CSIRT構築の目標を明らかにします。「さまざまなサイバー攻撃へ迅速に対応し、被害を最小限に抑え、情報資産を守る」などとなるでしょう。 |
| 2.現状と問題を把握する | 守るべき情報資産がどこに置かれているのか、また考えられるサイバー攻撃などの脅威を把握します。さらに、既存のセキュリティ体制や社内リソース・確保できる人材を明らかにしましょう。 |
| 3.構築計画を立案する | 社内で対応できる範囲を見極め、外部ソリューションへ依頼すべきサービスを検討します。さらに、企業や組織内のセキュリティ責任者と方向性をすり合わせましょう。 |
| 4.社内調整をおこなう | CSIRTの活動に関連する部門のリソース確保、対応範囲や責任・インシデントに対する活動の最終報告先を調整します。 |
| 5.シミュレーションを実施する | インシデント発生後の対応に関する一連の流れを確認、シミュレーションを実施します。外部ソリューションとの連携が必要な箇所は、サービス導入を進めましょう。 |
| 6.運用準備をする | ルールの整理や担当部署・担当者の連絡先、必要な外部ソリューションとの連携を調整し運用準備します。 |
企業・組織の状況により適切な運用方法を導入することが、CSIRTを正しく活用するために不可欠です。CSIRTが達成すべきことは何かを明らかにし、もっとも効果的なCSIRT構築ができるようにしていきましょう。
構築のポイント
CSIRTを構築する際には、企業や組織にとって適した運用ができるようにしなければなりません。また、発生したインシデントへの対応だけでなく、セキュリティ品質を向上させるための教育・監査などの活動も必要です。CSIRT構築の際に留意すべきポイントは、以下のとおりです。
- 守るべき情報資産と関わる脅威を把握する
- インソースで対応できる範囲を明確にする
- 専門知識や意見を取り入れられる環境をつくる
守るべき情報資産がシステムやインターネット上の、どこに・どのような状態で保管されているかにより、対応すべき脅威が異なります。インターネットと接続される端末が増えれば、脅威に晒される経路は複数化するのは必然です。
守るべき情報資産とそれに関わる脅威を把握したうえで、対応すべき内容を適正化する必要があります。対応すべき脅威が明確になれば、インソースで対応できる範囲を明らかにしやすいでしょう。
そのうえで、セキュリティ専門知識のある人材を確保できるのか、外部に専門知識や意見を求めるのかを検討するのが有効です。既存のセキュリティ対策との連携も考慮し、適切なCSIRTを構築していきましょう。
まとめ
SOCとCSIRTは同じセキュリティに関連する組織ですが、役割は明確に異なります。SOCは、インターネットやシステム環境を管理しセキュリティインシデントの検知、インシデントログからの分析などが主な活動です。CSIRTはインシデントが発生した際に、システムを停止させ復旧するまでが主な活動となります。
昨今のデジタル社会に鑑みても、サイバーセキュリティに対する対策・発生後の迅速な対応は不可欠です。SOC・CSIRTのどちらも、企業や組織内で構築することが必要だといえます。セキュリティに関する専門知識をもった人材が企業内で確保しきれない場合は、外部ソリューションとの連携を検討しましょう。
「GMOサイバーセキュリティ byイエラエ」では、CSIRT支援やインシデント対策・侵入テストのソリューションを提供しています。攻撃者の視点からシステムを観測し、セキュリティの専門家として企業ごとに適切な支援を行います。SOCやCSIRTに精通する人材が社内で確保できない、企業にとって適切な組織の構築が難しいと感じる場合には、GMOサイバーセキュリティ byイエラエにご相談ください。
文責:GMOインターネットグループ株式会社
