SOCとCSIRTとは?混同されやすい理由
サイバーセキュリティ体制を整備しようとする際、必ずといっていいほど登場するのがSOCとCSIRTという二つの概念だ。どちらも「組織のセキュリティを守る」ための仕組みであるため、担当者でも混同するケースは珍しくない。
SOC(Security Operations Center) は、日本語で「セキュリティオペレーションセンター」と呼ばれ、ネットワークやシステムを24時間365日監視し、脅威を早期に検知・分析することを主な使命とする。
CSIRT(Computer Security Incident Response Team) は、「コンピュータセキュリティインシデント対応チーム」の略で、セキュリティインシデントが発生した際に初動対応・原因調査・復旧支援・再発防止策の策定を担う専門組織だ。
両者が混同されやすい最大の理由は、活動範囲が部分的に重なるからだ。SOCがアラートを検知すればCSIRTへエスカレーションするし、大きな組織ではSOC機能をCSIRT内部に取り込むケースもある。しかし、根本的な役割は異なる。SOCは「常時監視・早期検知」、CSIRTは「インシデント対応・収束」と理解すれば、議論の出発点が整理される。
SOCの役割・機能・構成
SOCが担う主な機能
SOCの中核業務は、組織のIT環境全体をリアルタイムで監視し、異常を見逃さないことにある。
1. ログ収集・相関分析 ファイアウォール、EDR、クラウドサービス、Active Directoryなど多様なソースからログを収集し、SIEM(Security Information and Event Management)で相関分析を行う。単体では無害に見えるイベントも、複数のログを組み合わせることで攻撃の痕跡として浮かび上がる。
2. アラートトリアージ SIEMが生成するアラートの多くは誤検知(False Positive)を含む。SOCアナリストはアラートの優先順位を判断し、本物の脅威とノイズを選別する。この作業はL1〜L3のアナリスト階層で分担されることが多い。
3. 脅威インテリジェンスの活用 既知のC2サーバーIPアドレスや悪性ドメインのリストと通信ログを照合し、外部脅威情報を防御に反映させる。CTI(Cyber Threat Intelligence)フィードの運用もSOCの重要業務だ。
4. 脆弱性スキャンの定期実行 一部のSOCは、資産管理・脆弱性スキャンを担当し、パッチ適用の優先順位付けを支援する。
5. セキュリティダッシュボードの維持 経営層や事業部門向けに、セキュリティ状況を可視化したレポートを定期的に提供する。
SOCの人員構成(標準例)
役割 | 主な業務 |
|---|---|
L1アナリスト | アラートの一次確認・エスカレーション判断 |
L2アナリスト | 詳細調査・マルウェア解析・脅威ハンティング |
L3アナリスト / セキュリティエンジニア | ルールチューニング・SIEM設計・高度脅威分析 |
SOCマネージャー | 運用管理・KPI管理・経営報告 |
内製SOCの場合、最低でもL1〜L2を複数名確保し、24時間対応を維持するために三交代制を組む必要がある。
CSIRTの役割・機能・構成
CSIRTが担う主な機能
CSIRTの活動は、インシデントが発生する前・発生中・発生後の3フェーズにわたる。
1. 事前準備(プリペアドネス) インシデント対応手順書(プレイブック)の整備、連絡体制の確立、外部機関(警察・JPCERT/CC・保険会社)との連携ルートの確認。定期的な机上演習(Tabletop Exercise)の実施もここに含まれる。
2. インシデント検知・分類 SOCからエスカレーションされた事象、または内部報告をもとにインシデントの深刻度を判定する。ランサムウェア感染、不正アクセス、情報漏洩など類型ごとに対応フローが異なる。
3. 初動対応・封じ込め(コンテインメント) 感染端末のネットワーク隔離、侵害アカウントの停止、C2通信のブロックなど、被害の拡大を止める措置を迅速に実行する。
4. フォレンジック調査 ディスクイメージ取得・メモリダンプ解析・ログ保全を行い、攻撃者の侵入経路・横展開の痕跡・データ持ち出しの有無を明らかにする。証拠保全の手順が法的な観点でも重要になる。
5. 復旧支援と再発防止 システム復旧の安全確認を行い、攻撃者の残留リスクがないことを確認した上で通常運用に戻す。根本原因分析(RCA)に基づき、再発防止策を策定してセキュリティ担当部門・IT部門に提言する。
6. 情報共有・報告 個人情報漏洩が疑われる場合の個人情報保護委員会への報告、業界のISAC(Information Sharing and Analysis Center)への情報提供、社内経営層への報告資料作成など、対外・対内コミュニケーションを担う。
CSIRTの人員構成(標準例)
役割 | 主な業務 |
|---|---|
CSIRTリーダー / CISO直轄担当 | 対応方針の決定・経営報告・外部機関連絡 |
インシデントハンドラー | 封じ込め・証拠保全・復旧支援 |
デジタルフォレンジック担当 | ログ・ディスク・メモリ解析 |
法務・コンプライアンス連携担当 | 規制対応・報告義務の判断 |
広報・コミュニケーション担当 | 顧客・メディア向け情報開示の調整 |
CSIRTは常時フルタイムで稼働する必要はないケースもあるが、インシデント発生時は24時間以内に初動対応を完了できる体制が求められる。
SOCとCSIRTの違い一覧表
比較項目 | SOC | CSIRT |
|---|---|---|
主な目的 | 脅威の常時監視・早期検知 | インシデントの対応・収束・再発防止 |
活動タイミング | 24時間365日・常時稼働 | インシデント発生時を中心に活動(準備は平時も実施) |
主なアウトプット | アラート・セキュリティレポート・脅威情報 | 対応報告書・フォレンジックレポート・再発防止策 |
必要なスキル | ログ分析・SIEM運用・脅威インテリジェンス | フォレンジック・法的対応・危機コミュニケーション |
組織上の位置づけ | IT部門またはセキュリティ部門内 | 経営直轄またはCISO直轄が望ましい |
外部委託のしやすさ | 比較的容易(マネージドSOC) | 部分委託が中心(フォレンジックのみ外部化など) |
成果の可視性 | KPI化しやすい(検知件数・対応時間) | インシデント件数・被害規模で評価 |
他組織との連携 | 脅威インテリジェンス共有 | JPCERT/CC・警察・業界ISAC |
構築コスト比較(内製・外部委託別)
SOCの構築コスト
内製SOCの場合
内製SOCは、人件費・技術基盤・運用コストが積み重なるため、国内中堅企業でも年間数億円規模に達することがある。
コスト項目 | 概算(年間) |
|---|---|
人件費(L1〜L3アナリスト3〜6名、マネージャー1名) | 4,000万〜8,000万円 |
SIEM・EDR・SOAR等ツールライセンス | 1,500万〜3,000万円 |
設備・ネットワーク(専用環境構築) | 500万〜1,500万円(初期) |
脅威インテリジェンスフィード | 200万〜500万円 |
教育・資格取得費用 | 100万〜300万円 |
合計(概算) | 6,300万〜1億3,300万円 |
マネージドSOC(外部委託)の場合
マネージドSOCサービスを利用すると、監視対象規模・サービスレベルに応じて月額100万〜500万円程度が相場だ。初期構築費用(ログ収集設計・ルールチューニング)として別途数百万円かかるケースが多い。
サービス規模 | 月額費用の目安 |
|---|---|
中小規模(〜500端末・基本監視) | 80万〜150万円 |
中堅規模(500〜2,000端末・アラート対応付き) | 150万〜350万円 |
大規模(2,000端末以上・カスタムルール・専任担当) | 350万〜800万円以上 |
CSIRTの構築コスト
内製CSIRTの場合
CSIRTは常時監視業務を持たないため、SOCと比較すると人件費は抑えやすい。ただし、フォレンジックツールや演習費用が必要になる。
コスト項目 | 概算 |
|---|---|
専任担当者(2〜4名)の人件費 | 2,000万〜4,000万円/年 |
フォレンジックツール(EnCase・Volatility環境等) | 200万〜600万円/年 |
机上演習・外部トレーニング | 100万〜300万円/年 |
インシデント対応手順書整備(初期) | 100万〜300万円(初期) |
合計(概算) | 2,400万〜5,200万円/年 |
外部委託(リテーナー契約)の場合
フォレンジック調査・初動対応を外部セキュリティベンダーとリテーナー契約で確保する方法がある。年間契約料として200万〜600万円を支払い、インシデント発生時に優先的な対応を受ける形式が一般的だ。
契約形態 | 費用目安 |
|---|---|
リテーナー契約(年間) | 200万〜600万円 |
スポット対応(インシデント1件あたり) | 300万〜1,500万円以上 |
リテーナー契約は費用が予測しやすく、平時から体制を維持できる点で中堅企業に向いている。
自社に必要なのはどちらか(判断フロー)
以下のフローで自社の優先事項を整理できる。
` 【ステップ1】現状のインシデント対応体制は確立しているか?
NO → まずCSIRTの設置・整備を優先する (インシデントが発生した際に動ける人・手順・連絡網がない状態では、 常時監視を強化しても対応できない)
YES → ステップ2へ
【ステップ2】システム・ネットワークの常時監視は実施しているか?
NO → SOCの整備を検討する (脅威を検知できなければ、CSIRTが動くトリガーがそもそも発生しない)
YES → ステップ3へ
【ステップ3】SOCからのアラートに対し、適切な調査・対応が行えているか?
NO → CSIRTの機能強化(対応プレイブック整備・フォレンジック能力向上)を優先 YES → 両機能の成熟度評価と継続改善フェーズへ移行 `
規模・リスク別の推奨アプローチ
企業規模・状況 | 推奨する優先順位 |
|---|---|
従業員300名以下・セキュリティ専任なし | まずCSIRTのミニマム整備(外部委託リテーナー+手順書作成)→ マネージドSOC導入 |
従業員300〜1,000名・IT担当あり | マネージドSOC + 社内CSIRT立ち上げ(兼任可)を並行推進 |
従業員1,000〜5,000名・セキュリティ部門あり | 内製CSIRTの強化 + マネージドSOCまたは部分的な内製SOC検討 |
従業員5,000名以上・グループ会社あり | 内製SOC + 内製CSIRT両立、または分社化・グループSOC設計 |
金融・重要インフラ・医療 | 業法・監督指針に基づく体制整備が必須。SOC・CSIRT両方の高度化が求められる |
中堅企業向けの現実的な体制構築アプローチ
なぜ中堅企業は「両方一気に内製化」が難しいのか
中堅企業(従業員300〜3,000名規模)が直面する最大の障壁は、セキュリティ人材の確保だ。国内ではセキュリティ専門人材の需給ギャップが年々拡大しており、L2以上のSOCアナリストやフォレンジックエンジニアは採用市場でも競争が激しい。SOCとCSIRTを同時に内製化しようとすれば、採用・育成・定着すべての面でコストと時間がかかりすぎる。
現実的なステップ
フェーズ1:CSIRT最小限整備(0〜6か月)
まず社内に「インシデント対応の窓口となる責任者」を明確にすることから始める。専任者がいない場合は、IT部長やセキュリティ担当者に兼任でCSIRTリーダーの役割を与え、以下を整備する。
- インシデント対応手順書(プレイブック)の作成:ランサムウェア・不正アクセス・情報漏洩の3類型を最低限カバー
- 外部フォレンジック・対応ベンダーとのリテーナー契約締結
- JPCERT/CCへの相談窓口確認
- 個人情報漏洩時の報告フロー整備(個人情報保護委員会・主務大臣への報告義務)
フェーズ2:マネージドSOC導入(6〜12か月)
外部のマネージドSOCサービスを導入し、24時間監視を「買う」形で確保する。自社はアラートの受け取り窓口を担当し、SOCからのエスカレーションに対してCSIRTが動く連携フローを確立する。
この段階で重要なのは、SIEMのログ収集範囲とアラートルールのチューニングだ。初期設定のままでは誤検知が多く、社内担当者が疲弊する。ベンダーと協力して2〜3か月かけてルールを最適化する期間を確保することが望ましい。
フェーズ3:内製化・高度化の検討(12か月以降)
マネージドSOCの運用を通じて得た知見を基に、社内のセキュリティ担当者のスキルを高め、将来的な内製化判断を行う。全面内製化が難しい場合でも、以下の「ハイブリッド型」が現実的だ。
- 監視・ログ分析:マネージドSOCに継続委託
- フォレンジック調査:外部ベンダーのリテーナー継続
- プレイブック整備・演習・経営報告:社内CSIRT担当者が実施
- 脅威インテリジェンス活用・SIEM運用改善:社内とベンダーの協働
中堅企業が陥りやすい落とし穴
ツール先行・人材後回し SIEMやEDRを導入しても、アラートを解釈できる人材がいなければ「鳴りっぱなしで放置」になりかねない。ツール導入前に、誰がどのアラートに対応するかの役割定義が必要だ。
SOCとCSIRTの役割が曖昧なまま運用 特に外部SOCを使っている場合、「どのアラートからCSIRTが動くのか」の閾値が定義されていないと、深刻なインシデントでも初動が遅れる。エスカレーションルールを明文化しておくことが重要だ。
インシデント対応演習の未実施 手順書を作っても、実際に演習を行わなければ有事に機能しない。年1回以上の机上演習(Tabletop Exercise)と、可能であればレッドチーム演習を組み込むことで、体制の実効性を検証できる。
AEVUSのSOC・CSIRT構築支援
SOCとCSIRTの整備は、組織の規模・業種・既存のIT環境・リスク許容度によって最適解が異なる。「とりあえずSOCを入れれば安心」「CSIRTさえあれば大丈夫」という画一的なアプローチでは、コストと効果のバランスを損ないやすい。
AEVUSは、現状のセキュリティ体制の評価から、SOC・CSIRTの設計・立ち上げ支援、外部委託先の選定サポートまでを一気通貫で提供している。
AEVUSが提供する主な支援内容:
支援メニュー | 内容 | 対象組織 |
|---|---|---|
セキュリティ体制アセスメント | SOC・CSIRT機能の現状評価と優先課題の特定 | 全業種・全規模 |
CSIRT立ち上げ支援 | インシデント対応手順書作成・役割定義・外部連携先整備 | 中堅〜大企業 |
マネージドSOC導入支援 | 要件定義・ベンダー選定・導入設計・初期チューニング | 中堅企業を中心に全業種 |
インシデントレスポンス支援 | インシデント発生時の初動対応・フォレンジック・復旧支援 | 全業種 |
机上演習(Tabletop Exercise) | ランサムウェア・情報漏洩シナリオを想定した対応訓練 | 経営層〜IT部門担当者 |
ペネトレーションテスト | SOC・CSIRTの検知・対応能力を実際の疑似攻撃で検証 | 全業種 |
セキュリティ体制の整備は、何から手をつければよいか分からないと感じることが多い。AEVUSでは初回相談を無償で受け付けており、自社の現状に合った最初の一歩を共に設計する。
詳細はペネトレーションテスト・セキュリティ診断サービスのページからお問い合わせいただきたい。
まとめ
- SOCは24時間365日の常時監視・脅威検知が主な役割。SIEM・EDRを活用してログを分析し、異常を早期に発見する。
- CSIRTはインシデント発生時の対応・フォレンジック・再発防止が主な役割。平時からの準備と外部連携体制の整備が実効性を左右する。
- 両者は機能が重なる部分もあるが、SOCは「検知」、CSIRTは「対応」と役割を分けて考えることが整理の出発点になる。
- 構築コストは内製SOCが年間6,300万〜1億3,300万円以上、マネージドSOCが月額80万〜800万円超、内製CSIRTが年間2,400万〜5,200万円、リテーナー型が年間200万〜600万円が目安だ。
- 中堅企業は「フェーズ1:CSIRT最小限整備 → フェーズ2:マネージドSOC導入 → フェーズ3:内製化・高度化」という段階的アプローチが現実的だ。
- ツール先行・演習未実施・エスカレーション定義の曖昧さが体制整備の失敗パターンとして多く見られる。
