CSIRTとSOC — セキュリティ事故に対応するチーム

導入

大企業のシステムが攻撃を受けたとき、一体どのチームが対応しているのでしょうか。サイバー事故に備えて組織には「CSIRT」や「SOC」と呼ばれる専門チームが置かれています。

なぜ重要か

ITパスポートのテクノロジ系・マネジメント系の双方でセキュリティに関する問題は出題比率が高く、CSIRTとSOCの役割の違いは特に繰り返し問われています。「CSIRTは何をするチームか」「SOCとCSIRTはどう違うか」という問いに対して明確に答えられるかどうかで得点が変わります。

サイバー攻撃の被害は年々深刻化しており、企業規模を問わず対応体制の整備が急務になっています。情報処理推進機構（IPA）や経済産業省もCSIRT・SOCの設置を推奨しており、実務での重要性はますます高まっています。

また、インシデント対応の6ステップ（検知→分析→封じ込め→根絶→復旧→再発防止）は、試験での出題だけでなく、実際の事故対応マニュアル策定にも直結する実践的な知識です。これを正確な順序で覚えることが、問題正解への近道になります。

くわしく知ろう

CSIRT（Computer Security Incident Response Team）は、セキュリティ事故（インシデント）が発生したときに対応する専門チームを指します。感染したシステムの隔離、被害範囲の特定、復旧手順の立案、関係者への報告といった「事後対応」を担い、組織内に設置されるケースが一般的です。

SOC（Security Operation Center）は、24時間365日、ネットワークやシステムのログを継続的に監視し、攻撃の兆候を早期に検知することを主目的とするチームです。CSIRTが「事故が起きたときに動く」消防署的な存在なのに対し、SOCは「常時監視して異常を発見する」警備センター的な役割を担っています。実際にはSOCが異常を検知してCSIRTに通報し、CSIRTが対応を主導するという連携体制が取られることが多くなっています。

インシデント対応の流れは一般に「検知→分析→封じ込め→根絶→復旧→再発防止」の順で進みます。このプロセスはIR（Incident Response）とも呼ばれ、あらかじめ手順をインシデント対応計画として文書化しておくことが重要です。封じ込めはウイルス感染端末をネットワークから切り離すことを指し、根絶はマルウェアや侵入経路を完全に除去することを意味します。

また、日本全体のサイバーセキュリティを支援する公的機関としてJPCERT/CC（一般社団法人JPCERTコーディネーションセンター）があり、組織のCSIRT立上げ支援や脆弱性情報の調整などを行っています。

具体例で理解する

たとえば、SOCが「深夜に大量の外部通信が発生している」という異常をログ監視で検知し、CSIRTに通知します。CSIRTは該当サーバをネットワークから隔離して（封じ込め）、マルウェアを特定・除去し（根絶）、システムを復旧させて、同じ攻撃が起きないよう設定を変更する（再発防止）というのが典型的な対応の流れです。

試験での出題パターン

【パターン1：CSIRTとSOCの役割を区別する問題】

「24時間365日監視して攻撃の兆候を早期検知する」という説明はSOC、「インシデント発生時に対応して復旧を行う」という説明はCSIRTと判断します。「監視・検知」がSOCのキーワード、「対応・復旧」がCSIRTのキーワードと覚えておくと選択が速くなります。

【パターン2：インシデント対応の順序を問う問題】

6ステップを正しい順序で選ぶ問題です。「検知→分析→封じ込め→根絶→復旧→再発防止」という順序を入れ替えた選択肢が並ぶため、特に「封じ込め（隔離）」が根絶より前、「根絶（除去）」が復旧より前という順序関係を意識しておくことが重要です。

【パターン3：JPCERT/CCの役割を問う問題】

日本のサイバーセキュリティを支援する公的組織として問われます。「脆弱性情報の収集・調整」「CSIRT立上げ支援」「インシデント情報の共有」が主な役割です。IPAとJPCERT/CCはどちらもセキュリティ関連機関ですが、IPAは試験の実施や情報提供を幅広く行うのに対し、JPCERT/CCはインシデント対応支援に特化しています。

よくある間違い・紛らわしいポイント

【CSIRTとSOCの役割の取り違え】

SOCは「常時監視・早期検知」、CSIRTは「インシデント発生後の対応」と整理します。「セキュリティ事故が起きたとき最初に動くのがCSIRT」と思いがちですが、実際には「SOCが異常を検知してCSIRTが動き出す」という順序です。SOCが先、CSIRTが後という流れを意識しておくことが大切です。

【インシデント対応の「根絶」と「封じ込め」の混同】

封じ込めは「被害を広げないための隔離」で、マルウェアに感染した端末をネットワークから切り離す段階です。根絶は「原因を完全に除去する」段階で、マルウェアの削除や脆弱性の修正を行います。「封じ込めが先、根絶が後」という順序を逆にしないよう注意が必要です。

【JPCERT/CCとIPAの混同】

JPCERT/CCはインシデント対応支援と脆弱性情報調整を専門とする組織です。一方、IPA（情報処理推進機構）はITパスポートなどの試験実施機関でもあり、より広範なIT政策を担います。どちらもセキュリティに関わりますが、CSIRTや脆弱性情報調整の文脈ではJPCERT/CCが正答になるケースが多くなっています。

まとめ・試験ポイント

• CSIRT＝セキュリティ事故発生時に対応する専門チーム（事後対応）
• SOC＝24時間365日監視し、攻撃の兆候を早期検知（常時監視）
• インシデント対応の流れ＝検知→分析→封じ込め→根絶→復旧→再発防止
• JPCERT/CC＝日本のCSIRT支援・脆弱性情報調整を行う公的機関
• SOCが検知・通報し、CSIRTが対応・復旧を主導するという連携が一般的
• 試験では「CSIRTとSOCの役割の違い」とインシデント対応の順序が問われやすい