近年、サイバー攻撃は「頻度」と「深刻度」の両面で増大しています。
その対策として企業の注目を集めているのが、SOC(Security Operations Center)とCSIRT(Computer Security Incident Response Team)という2つの組織です。本記事では近年のサイバー攻撃・ランサムウェア感染などのインシデント事例紹介からSOC・CSIRTの違い、特にSOC人材の育成ロードマップについて詳しく紹介していきます。
目次 [非表示]
情報源:
オフィス用品通販会社や飲料メーカーが受注・出荷停止に追い込まれた事例、大手メディア企業がサービス停止と情報漏洩に見舞われた事例など、その被害は業界を問いません。
| 発生時期 | 被害組織 | 被害概要 |
|---|---|---|
| 2025年10月 | オフィス用品通販会社 | ランサムウェア感染により受注・出荷業務が停止。物流を委託するネットストアも停止する事態となった。 |
| 2025年9月 | 飲料メーカー | 基幹システムがランサムウェア攻撃を受け、受注・出荷業務に影響。全国的な商品供給の停滞や新商品の発売延期が発生した。 |
| 2024年6月 | 出版・メディア企業 |
動画配信サービスを中心としたサービス群が攻撃を受けた。約25万人以上の個人情報流出や取引先情報も漏洩し、全面復旧まで数か月を要した。 |
主な焦点:監視・検知・分析・初期対応
主な役割:
24時間365日の継続的な監視と分析が中心です。SIEM(Security Information and Event Management)やXDR(Extended Detection and Response)などのツールから発せられる膨大なアラートを監視・分析し、それが真の脅威か過検知かを判断します。軽微なインシデントであれば、SOCが初期対応を行う場合もあります。
コラム:SIEM/XDRとは?
SIEM(Security Information and Event Management)
サーバーやネットワーク機器など複数のログを収集・統合し、相関分析によって異常や攻撃の兆候を検知するSOCの中核ツールです。膨大なログデータから意味のあるパターンを見つけ出し、セキュリティアナリストに警告を発します。
XDR(Extended Detection and Response)
エンドポイントやネットワーク、クラウドなど広範囲のデータを自動で統合・分析し、迅速な対応(レスポンス)まで行うセキュリティソリューションです。
主な焦点:対応・復旧
主な役割:
平時はインシデント対応計画の策定や訓練・演習などを行い、インシデント発生時には対応の指揮を執ります。SOCからのインシデント発生のエスカレーションを受け、詳細調査、根本原因分析、封じ込め、復旧といった包括的な対応を指揮します。また、経営層や法務部門、場合によっては警察や監督官庁との連携など、技術的な対応だけでなく組織的な調整役も担います。
組織の規模や成熟度によっては、この2つの機能が一体化している場合もありますが、多くの場合、SOCが「技術的な検知・分析・初期対応」、CSIRTが「組織的な調整・意思決定・高度な対応」という形で連携します。
CSIRTは、経営層への報告や部門間調整といったガバナンス業務を含むため、多くの場合「組織内CSIRT」として内製で構築されます。
一方、24時間365日の監視体制が必要なSOCには、2つの選択肢があります。
ここで共有する課題は、SOCのどちらのモデルを選択するにせよ、それを適切に運用・管理するための 高度なセキュリティ人材が不可欠であるという点です。
セキュリティ対応の成否は、ツールやサービスだけでなく、それを扱う「人」のスキルに大きく依存します。
セキュリティ業界の慣行として、SOCアナリストはそのスキルレベルと責任範囲に応じて、ティア(Tier)と呼ばれる階層で分類されることが多いです。この分類は、人材育成のキャリアパスを明確にする上でも非常に重要です。
|
ティア |
役職名 | 主な役割 | 求められるスキル |
|
ティア1 |
アラートアナリスト |
SIEMなどのツールを監視し、アラートのトリアージ(優先順位付け)と初期分類を行う。既知の脅威に対しては、標準手順書(プレイブック)に基づき初期対応を行う。 |
ネットワークの基礎知識、ログの読み方、セキュリティツールの基本操作、標準手順書の理解と実行など |
| ティア2 |
インシデントレスポンダー |
ティア1からエスカレーションされた複雑なインシデントの詳細調査を行う。ログの相関分析や基本的なフォレンジック分析を行い、攻撃の影響範囲と深刻度を評価する。 |
高度なログ分析、攻撃手法の理解、基本的なフォレンジック技術、インシデント対応プロセスの理解など |
| ティア3 |
脅威ハンター/シニアアナリスト |
既存の防御を回避した未知の脅威を能動的に探索(脅威ハンティング)する。高度なマルウェア解析や、APT攻撃・ゼロデイ攻撃といった複雑な脅威に対応し、新たな検知ルールを作成する。 |
リバースエンジニアリング、マルウェア解析、カスタムツール開発、高度な脅威インテリジェンス、検知ルール作成など |
| マネージャー |
SOCマネージャー |
SOC全体の運営管理と戦略立案、チームのパフォーマンス管理、経営層への報告などを担当する。 |
チームマネジメント、戦略立案、リスク評価、経営層とのコミュニケーション、予算管理など |
ご覧の通り、ティア1とティア3では求められるスキルセットが大きく異なります。ティア1にはネットワークの基礎知識やログの読み方などのスキルが求められる一方、ティア3にはリバースエンジニアリングやカスタムツールの開発能力などの高い技術力が要求されます。
参考情報:
SOC人材を育成し体制を強化するには、このティア分類を意識し、各レベルに応じた体系的な育成計画を策定することが効果的です。そして、その計画実行の近道が、専門的なトレーニングの受講です。
ランサムウェアによる事業停止リスクが現実のものとなっている今、インシデントの「早期検知」と「迅速な対応」を担うSOC人材の育成は、もはや待ったなしの経営課題です。
当社(トレノケート)は、貴社のセキュリティ体制の中核を担うSOC人材向けのトレーニングコースを、スキルレベルと役割に応じて体系的に提供しています。
SOCの第一線(ティア1)では、アラートを正しく判断するための広範な基礎知識が求められます。ここでは、サイバーセキュリティの技術的な基礎を築き、SOCアナリストとしての役割とプロセスを学ぶコースが中心となります。
ティア1からエスカレーションを受け、インシデント対応(IR)を担うティア2には、より専門的な分析・対応スキルが必要です。「攻撃者の視点」を学び、インシデント対応の具体的なプロセスを習得します。
未知の脅威を能動的に発見し、攻撃の全容を解明するティア3には、トップレベルの専門技術が求められます。高度なインシデントハンドリング、フォレンジック、マルウェア解析のスキルを習得します。
アナリストのキャリアパスの上位、あるいはSOC/CSIRTを統括する管理者には、技術だけでなく戦略的なマネジメントとガバナンスの視点が必要です。
トレノケートのセキュリティ研修は、1社ごとのニーズに合わせたカスタマイズが可能です。画一的な研修では得られない、組織固有の課題解決と実践的なスキル習得を支援します。
柔軟な実施形態でコスト効率と学習効果を最大化
体系的なトレーニングを通じて、アナリスト個人のスキルアップと、組織全体のセキュリティ対応力強化を強力に支援します。
事業継続を脅威から守る「人」への投資を、今こそご検討ください。
【共同執筆者】
村田亮治
2000年に製薬会社でITサービスマネジメントの業務を担当。その後、2005年の個人情報保護法施行をきっかけにセキュリティ製品のプリセールスに転職し、SIerで提案活動を行う。また、エンジニア向けの技術研修やセミナーで講師を務める。2016年からはセキュリティコンサルタントとして、企業のセキュリティ体制構築を支援。2019年からトレノケートにてセキュリティ関連コースの講師を担当している。情報処理安全確保支援士(登録番号 第000598号)