SOC(Security Operation Center)
ソック
SOCとは
SOC(Security Operation Center)とは、セキュリティに関する責任を担う専門組織のことです。ネットワーク、サーバなどのあらゆるシステムを監視し、セキュリティインシデントの検出や分析を行い、対応策を示すといった役割をもちます。
SOCは、いつ発生するかわからないサイバー攻撃の兆候を素早く見抜かねばならず、24時間365日の監視体制が求められます。自社内の一部門として設置するプライベートSOCのほか、外部からSOCの機能を利用するパブリックSOC、機器は自社内に置きながら対応は外部の専門家が担うハイブリッドSOCなどがあります。
SOCの業務内容
SOCの主業務はインシデントの予兆を含めた検知です。インシデントを未然に防ぐため、システムやサーバ、ネットワークなどのありとあらゆるログを、24時間365日体制で監視し、解析します。異常を検知した場合は、詳細に分析・調査し、インシデントであると確定した際は対応を行う専門組織CSIRTへ引き継ぎます。
また、システムやツールの管理および正常に運用できる環境を整えることもSOCの業務です。オペレーティングシステムを含む全ソフトウェアを常に最新の状態にアップデートし、不具合が見つかった際には迅速にパッチを適用することも業務に含まれます。他には従業員からの問い合わせへの対応やインシデント関連の外部対策だけでなく、内部からの不正行為を防ぐための監査や内部調査も実施します。
SOCの関連語
- CSIRT(Computer Security Incident Response Team)
CSIRT(Computer Security Incident Response Team)とは、SOCと同じく、セキュリティ対応を専門とする組織です。SOCがセキュリティインシデントの検知に重点を置くのに対し、CSIRTはセキュリティインシデント発生時の対処に重点を置いています。SOCが検知・分析した結果をもとに、CSIRTがインシデント対応に役立てており、双方は補完関係です。CSIRTについてはこちらもご覧ください。
