SOC（セキュリティ運用センター）とは？

詳細解説

SOC（Security Operations Center: セキュリティ運用センター）は、組織のネットワーク・サーバー・エンドポイント・アプリケーションから収集したログ・アラートを24時間365日リアルタイムで監視・分析し、セキュリティ脅威の検知・初動対応を行う専門組織またはサービスです。SOCの主要機能はSIEM（Security Information and Event Management）ツールによるログ統合・相関分析・アノマリ検知、脅威インテリジェンス（既知のIoC=侵害の痕跡との照合）、アラートのトリアージ（誤検知と真の脅威の分類）です。SOCは自社設置型（社内SOC）とMSSP（Managed Security Service Provider）が提供するマネージドSOCの2種類があり、中小企業はコスト面からMSSPを活用するケースが多いです。SOCアナリストは一般的に3層構造で、Tier 1（アラート対応・初動確認）→Tier 2（詳細調査・フォレンジック）→Tier 3（高度な脅威ハンティング・アーキテクチャ設計）に分かれています。SOCとCSIRTの関係はSOCが「常時監視して脅威を検知・報告」し、CSIRTが「報告を受けてインシデント対応・封じ込め・復旧を主導」という連携体制が一般的です。ITパスポート試験では「SOCの役割」「CSIRTとの役割分担」「SIEMとの関係」が出題されます。

ITパスポートでの出題ポイント

• 124時間365日のリアルタイム監視・脅威検知が主な役割
• 2SOCは監視・検知担当、CSIRTはインシデント対応担当という役割分担
• 3SIEMツールでログを統合・相関分析して脅威を発見
• 4MSSPによるマネージドSOCで中小企業も高度な監視体制を実現可能

関連用語