SOCとは？
意味や従来のセキュリティとの違い・仕組みを徹底解説！

SOCとは

「SOC」とは「Security Operation Center（セキュリティ・オペレーション・センター）」の頭文字を取った略称のことです。企業に向けたサイバー攻撃の検出・分析を行い、的確なアドバイスを提供する企業内の部門や専門組織を意味します。

セキュリティに対して精通した人材を集めて、さまざまなサイバー攻撃の検知や対処を行うことで、企業への被害を未然に食い止める役割を担っています。万が一、被害が発生した時でも、迅速に対応を行うことで、被害を最小限に留めることができるのです。

SOCの主な業務内容

SOCでは24時間365日体制でネットワークやデバイス等の監視を行っており、その上でサイバー攻撃の検出やログの分析、対応策などのアドバイスを行います。
また、サイバー攻撃を阻止するためのセキュリティ対策を立案しており、万が一、サイバー攻撃を受けたときには、影響範囲の特定なども行います。

SOCの仕組み・機能

SOCでは、監視対象となっているデバイス等のログを「SIEM（Security Information and Event Management）」というログ一元管理ツールに集約して監視を行っています。
SIEMが異常を検知すると、SOCへアラートが発報される仕組みとなっており、アラート確認後すぐに、SIEMの異常の内容やその影響範囲を調査します。

SOCが重要視される背景

現代の企業ではIT活用の多様化に伴い、使用デバイスが多様化しているため、システム環境も複雑化しています。同時に、企業に対するサイバー攻撃が増加している点から、システムの多様化・高度化が進んでいます。

近年ではクラウドサービスを活用する企業が増加し、業務の利便性向上が図られていますが、クラウドサービスは常に外部のネットワークと接続されているため、サイバー攻撃の危険性が高まってしまいます。

加えて、サイバー攻撃に対応するにあたり、企業内のシステム担当者やネットワーク担当者だけの管理では不十分であり、且つ困難を極めつつあります。このような背景から、企業のセキュリティ対策として24時間365日の監視を行ってくれる専門的な技術を持つ組織であるSOCの存在が注目されているのです。

実際に株式会社グローバルインフォメーションが公開した調査レポートでも、世界のSOCサービスの市場規模は成長していくとされています。調査レポートでは、2023年時点の市場規模は67億米ドルですが、2028年には114億米ドルにまで成長すると予測されています。
出展元：株式会社グローバルインフォメーション
「SOCaaSの世界市場：脅威タイプ別、サービスタイプ別、オファリング別、組織規模別、用途別、セクター別、業界別、地域別-2028年までの予測」

SOCのCSIRTとの違い

SOCに似た組織として、セキュリティインシデントが発生したときに対応するチームである「CSIRT（Computer Security Incident Response Team）」という専門組織もあります。

SOCはインシデントを検知することに特化した組織であり、対してCSIRTはインシデントが発生した際の対応に特化した組織と認知されています。

SOCとMDRとの違い

先ほどは「CSIRT」との違いを紹介しましたが「MDR」もSOCとの違いが良く分からないと言われている言葉です。

MDR（Managed Detection and Response）は、インシデントの特定・監視や対処、インシデント発生時の影響を低減するサービスやベンダーのことを言います。つまり、SOCやCSRITの役割をMDRにアウトソースをする、といったイメージです。

MDRを利用することで、社内のセキュリティ担当の育成や新規雇用をせずにセキュリティを高めることができますが、頼りきりにしてしまうと、社内のセキュリティ意識が薄くなってしまうため、MDRを利用しつつ、自社内でSOCやCSIRTの立ち上げも行った方が良いでしょう。

SOC組織を立ち上げる際の課題点・ポイント

社内でSOC組織を立ち上げる場合は、次のような課題が浮き彫りになる可能性があります。

セキュリティ人材の不足

サイバー攻撃によるセキュリティ脅威はますます高度化・複雑化しており、そのサイバー攻撃を分析する担当者にも高い専門性が要求されるようになってきています。
ネットワークやシステムの担当者でもこのような専門性の高い人材は多くないため、新たにセキュリティ人材を確保することは容易ではありません。

金銭的コスト

社内にSOCを設置した場合、セキュリティに特化した人材を新しく雇用することになります。仮にセキュリティ人材を確保できたとしても、その人材に対して支払う給与や業務遂行に関わる金銭的コストが想定以上にかかる可能性があります。

24時間365日の監視体制

SOCは24時間365日体制で、サイバー攻撃の継続監視を行います。そのためには3交代制を設ける必要があり、その運用リソースの確保も容易ではありません。

SOCのアウトソーシングなら課題も解決

セキュリティ人材の確保の困難さから、自社でSOCを組織して運営していくことはハードルが高く、実現に至っていない企業も多くなっています。

しかし最近では、SOCを社内に置かないアウトソーシングサービスも存在します。SOCのアウトソーシングサービスでは、データセンターにセキュリティ機器が設置され、送られてくるセキュリティアラートやセキュリティログは、専門の外部セキュリティオペレーターと外部アナリストが24時間365日の体制で監視・分析します。
さらに、異常を検知した時には、そのインシデントに対して迅速に対応を行ってくれます。

つまり、SOCのアウトソーシングサービスを活用することで、社内でSOC組織を立ち上げる際の課題点を解決できるのです。

SOCのアウトソーシングをする際の注意点

SOCをアウトソーシングすることで課題が解決できると言いましたが、注意すべき点もあります。
SOCの注意点でも言いましたが、アウトソースする場合も「SOCで行う業務内容・業務範囲を明確化」するようにしましょう。

• 自社が求めている業務内容・業務範囲をそのアウトソース先で賄えるのか
• 自社が求めている以上の対応ができる代わりにコストが高くなっていないか　など

アウトソースするにあたり、自社が何を求めるのかは事前に決めておくようにしましょう。

また、アウトソースを利用することで、社内のセキュリティに対する意識が薄くなってしまうことも懸念されます。有識者がセキュリティ対策を行っていても、社員の意識が低いとインシデントは発生してしまいます。
社員全員がセキュリティに対する意識を持つよう、社員教育も忘れず行うようにしましょう。

セキュリティ対策をするならNECフィールディング

SOCとひと言でいっても、企業ごとに最適化した組織が必要になってきます。NECフィールディングでは、企業のセキュリティ問題を解決する以下のようなSOCサービスを用意しています。

EDR Quick Support
マルウェアの迅速な検知・可視化を行い、効果的な事後対応を実現します。高度な専門知識をもつセキュリティアナリストが解析・判断を行い、全国47都道府県にある拠点からのサポートも可能です。
https://solution.fielding.co.jp/service/security/edr_quick_support/

サイバー攻撃対策システム運用サービス
高度な解析能力をもつセキュリティ専門部隊が24時間365日の体制で監視・解析します。万が一、インシデントが発生した場合には、必要に応じ専門エンジニアが駆け付け、インシデント対応をサポートします。
https://solution.fielding.co.jp/service/security/cyberattack_operation/

セキュリティインシデントサポートサービス
高度なセキュリティ知識を持つ専門センターが早期解決をサポートするサービスです。全国47都道府県にあるサービス拠点を活用し、首都圏に限らない全国均質なサービスを提供します。サイバー攻撃など、緊急度の高い脅威に対し迅速な対応が可能です。
https://solution.fielding.co.jp/service/security/incident_support/