「どっちが監視で、どっちが対応するの?」
「会社の中で、どんな関係なの?」
そんな疑問を抱える、これから情報セキュリティを学ぶあなたへ。
結論から言えば、
SOCはいつも見張る監視役、CSIRTは事故が起きた時に動く対応役です。役割がはっきり分かれています。
この記事では、CSIRTとSOCそれぞれの役割、両者の違い、そして連携の流れと社内での位置づけまで、初心者向けにやさしく解説します。
1. CSIRTとは
まずあなたに、CSIRTから知ってもらいます。
CSIRT(Computer Security Incident Response Team)とは、セキュリティ事故が起きた時に、対応の指揮を執る専門チームのことです。「シーサート」と読みます。
CSIRTの仕事は、事故が起きた後の対応をまとめることです。被害の広がりを止め、原因を取り除き、復旧へと導きます。技術担当・経営層・広報・法務など、立場の違う人たちの間に立って、判断をつなぐ司令塔の役目を担います。
イメージとしては「社内の消防団」に近いです。火事(事故)が起きたら現場をまとめ、消火(対応)の指示を出し、関係者に状況を伝える。CSIRTは、その指揮役だと考えると分かりやすいです。
CSIRTは平時にも動きます。日ごろから攻撃の情報を集めて備え、対応の手順を整えておきます。あなたが押さえておきたいのは、CSIRT=検知された後の「対応の司令塔」だという点です。
たとえば、社外の取引先や顧客への説明、警察や公的機関への届け出、再発防止策の検討といった、技術以外の調整もCSIRTの守備範囲に入ることが多いとされています。一口にCSIRTといっても、会社の中に置く社内向けのものから、業界全体や国レベルの情報をまとめる大きなものまで、いくつかの形があると言われています。ここではまず「自分の組織を守る社内の対応チーム」というイメージを持っておくと分かりやすいでしょう。
CSIRTの要点:事故が起きた時の対応をまとめる専門チーム。平時は備え、有事は対応の指揮と社内外の窓口を担います。
2. SOCとは
次にあなたに知ってほしいのが、SOCです。
SOC(Security Operation Center)とは、システムやネットワークを常時監視し、あやしい動きをいち早く見つける専門組織のことです。「ソック」と読みます。
SOCは、24時間365日の体制で、機器が出すログや通信を見張ります。あやしい兆候をつかんだら、それが本当に事故なのかを見極めます。事故の入口にいる「見張り役」だと考えると分かりやすいです。
SOCが見張る対象は、サーバーやネットワーク機器が残す記録(ログ)、行き交う通信、不正アクセスを知らせる警報などが中心とされています。こうした大量の記録をまとめて見渡す道具を使い、ふだんと違う動きが出ていないかを探します。あやしい兆候を見つけたら、それが誤検知なのか本物の脅威なのかを切り分けるところまでがSOCの主な仕事だと言われています。
あなたが取り違えやすいのが、SOCは監視と検知が中心だという点です。SOCはあやしい兆候を見つけて知らせるところまでを主に担い、その後の本格的な対応は別の役割につなぎます。
SOCは「ビルの警備室」に似ています。モニターを見張り、おかしな動きがあれば警報を鳴らして担当へ連絡する。火を消しに行く役ではなく、まず気づいて知らせる役です。
3. CSIRTとSOCの違い
では、あなたがいちばん知りたい両者の違いを整理します。名前が似ているので混同されやすいですが、役割ははっきり分かれています。
大きな違いは、SOCが「監視と検知」、CSIRTが「検知後の対応」を担うという点です。時間の流れで見ると、SOCが先、CSIRTが後ろに位置します。
| 観点 | SOC | CSIRT |
|---|---|---|
| 主な役割 | 常時監視・兆候の検知 | 事故が起きた後の対応の指揮 |
| 動くタイミング | 平時からいつも | 主に事故が起きた時 |
| たとえると | ビルの警備室 | 社内の消防団 |
| 主な相手 | ログ・通信・機器 | 経営層・各部署・外部 |
あなたが覚えておきたいのは、どちらが上というわけではない、という点です。役割が違うだけで、両方そろってはじめて組織のセキュリティが回ります。SOCが見つけ、CSIRTが対応する。この分担が基本の形です。
区別のコツ:SOC=見張って気づく(検知まで)、CSIRT=気づいた後をまとめる(対応の指揮)。「監視のS、対応のC」と結びつけると取り違えにくくなります。
4. 連携と社内での位置づけ
あなたに最後まで掴んでほしいのが、2つのチームがどうつながるかです。
基本の流れはシンプルです。SOCがあやしい動きを検知し、CSIRTへ引き継ぐ。バトンを渡すリレーのような関係です。SOCが「これは事故かもしれません」と知らせ、CSIRTが「では対応を始めます」と受け取ります。
- SOCが検知:常時監視であやしい兆候をつかむ
- SOCが見極め:本当に事故かどうかを判断する
- CSIRTへ引き継ぎ:事故と判断したら対応役へ連絡する
- CSIRTが対応:被害を抑え、原因を取り除き、復旧へ導く
社内での位置づけは組織によってさまざまです。SOCを社内に持つ会社もあれば、外部の専門会社に任せる会社もあります。CSIRTも、専任のチームを置く場合と、必要な時に各部署から人を集めて作る場合があります。規模や事情に合わせて形が変わる、と知っておくと十分です。
大切なのは、検知から対応までが途切れずにつながっていることです。見つけても引き継がれなければ意味がなく、引き継いでも対応の体制がなければ動けません。SOCとCSIRTは、その流れを支える両輪だといえます。こうした体制づくりの全体像は セキュリティ監査・運用の問題集 でも確認できます。
SOCが引き継いだ後、CSIRTが実際にどう動くかは インシデント対応とは で詳しく扱っています。検知→初動→封じ込め→復旧の流れもあわせてどうぞ。
5. まとめ: 今日からできる、最初の一歩
ここまでをあなたと一緒に振り返ります。
CSIRTとSOCのポイントは 3つ でした。
(1)SOC:常時監視してあやしい動きを検知する見張り役
(2)CSIRT:検知後に対応の指揮を執る司令塔
(3)連携:SOCが検知し、CSIRTへ引き継ぐリレーの関係
これは 情報セキュリティの運用 で問われやすい、組織体制のテーマです。
今日からできる最初の一歩は、とてもシンプルです。
1. 「監視のSOC/対応のCSIRT」を声に出して言ってみる(2分)
2. 検知→引き継ぎ→対応の流れを順に追ってみる(3分)
3. 下の問題集で1問だけ解いてみる(10分)
たった15分で、あなたのCSIRTとSOCの理解は試験で戦えるレベルまで動き出します。役割の分担を掴めば、用語を取り違えずに落ち着いて選べます。
次のステップ
CSIRTやSOCがどの分野でどう問われるかを含めた試験の全体像は、情報セキュリティマネジメント試験(SG)の全体概要で俯瞰できます。学習の始め方から確認したいときの入口になります。
知識が身についたか確かめたいなら、運用・監査分野の問題集で実際に解いてみるのが近道です。組織体制や運用面の理解を確認できます。