CSIRTとSOC — セキュリティ事故に対応するチーム

導入

大企業のシステムが攻撃を受けたとき、一体どのチームが対応しているのでしょうか。サイバー事故に備えて組織には「CSIRT」や「SOC」と呼ばれる専門チームが置かれています。

くわしく知ろう

CSIRT（Computer Security Incident Response Team）は、セキュリティ事故（インシデント）が発生したときに対応する専門チームを指します。感染したシステムの隔離、被害範囲の特定、復旧手順の立案、関係者への報告といった「事後対応」を担い、組織内に設置されるケースが一般的です。

SOC（Security Operation Center）は、24時間365日、ネットワークやシステムのログを継続的に監視し、攻撃の兆候を早期に検知することを主目的とするチームです。CSIRT が「事故が起きたときに動く」消防署的な存在なのに対し、SOCは「常時監視して異常を発見する」警備センター的な役割を担っています。

インシデント対応の流れは一般に「検知→分析→封じ込め→根絶→復旧→再発防止」の順で進みます。このプロセスはIR（Incident Response）とも呼ばれ、あらかじめ手順をインシデント対応計画として文書化しておくことが重要です。

また、日本全体のサイバーセキュリティを支援する公的機関としてJPCERT/CC（一般社団法人JPCERTコーディネーションセンター）があり、組織のCSIRT立上げ支援や脆弱性情報の調整などを行っています。

具体例

たとえば、SOCが「深夜に大量の外部通信が発生している」という異常を検知し、CSIRTに通知します。CSIRTは該当サーバーをネットワークから隔離し、原因を調査して復旧させる、というのが典型的な対応の流れです。

まとめ・試験ポイント

• CSIRT＝セキュリティ事故発生時に対応する専門チーム（事後対応）
• SOC＝24時間365日監視し、攻撃の兆候を早期検知（常時監視）
• インシデント対応の流れ＝検知→分析→封じ込め→根絶→復旧→再発防止
• JPCERT/CC＝日本のCSIRT支援・脆弱性情報調整を行う公的機関
• 試験では「CSIRTとSOCの役割の違い」が問われやすい