「インシデントが起きたら誰に連絡すればいいですか?」——この質問に即答できる組織が、現場でどれくらいあるでしょうか。
SOCやCSIRTという言葉は聞いたことがあっても、「うちには関係ない大企業の話」と思っていませんか。規模に関わらず、インシデントが起きたときに「誰が・何を・どの順番でやるか」を決めておくことは、すべての組織に必要です。
この記事では、SOCとCSIRTの役割の違いと、組織の規模に合った体制の作り方を整理します。
「うちにはSOCもCSIRTもない」——では、インシデントが起きたら誰が動くのか
インシデント対応の全体像については「セキュリティインシデント対応入門」で解説しています。
セキュリティ運用体制が整っていない組織でインシデントが発生すると、以下のような状況が起きます。
| よくある混乱 | 原因 |
|---|---|
| 誰に報告すればいいかわからない | 報告ルートが決まっていない |
| 対応が属人化して担当者が倒れる | 役割分担がない |
| 何を優先すべきかわからない | 判断基準がない |
| 対応後に同じインシデントが再発する | 再発防止のプロセスがない |
SOCとCSIRTはこれらの問題に対して「誰が何を担当するか」を明確にする仕組みです。名前や規模にこだわるより、役割を定義して担当者を決めることが本質です。
SOCとCSIRTの役割を整理する
SOCとは——「監視・検知」を担う常設チーム
SOC(Security Operation Center) ネットワーク・システム・アプリケーションのログやアラートを24時間365日監視し、セキュリティインシデントを検知・分析する専門チームまたは組織。
SOCの主な役割は「異常を見つけること」です。EDRやSIEMのアラートを監視し、「これは本物の攻撃か・誤検知か」を判断して、インシデントと判断した場合にCSIRTへ引き渡します。
SOCが担う主な業務は以下の通りです。
| 業務 | 内容 |
|---|---|
| ログ・アラートの監視 | EDR・SIEM・ファイアウォールのアラートを常時監視 |
| トリアージ | アラートの優先度判定・誤検知の除外 |
| 初期分析 | 攻撃の種類・影響範囲の暫定的な特定 |
| CSIRTへのエスカレーション | インシデントと判断した場合の引き渡し |
EDRのアラート対応の基本については「EDRとは?」で解説しています。
CSIRTとは——「対応・収束」を担うインシデント対応チーム
CSIRT(Computer Security Incident Response Team) セキュリティインシデントが発生した際に対応・収束・再発防止を担う専門チーム。常設である場合と、インシデント発生時に招集される場合がある。
CSIRTの主な役割は「インシデントを収束させること」です。SOCから引き渡されたインシデントに対して、封じ込め・証拠保全・復旧・再発防止までを担当します。
| フェーズ | CSIRTの業務 |
|---|---|
| 封じ込め | 感染端末の隔離・攻撃経路の遮断 |
| 証拠保全 | ログ・メモリダンプの取得と保全 |
| 原因調査 | 攻撃の手口・侵入経路の特定 |
| 復旧 | システムの復旧・クリーンな環境への移行 |
| 報告 | 経営層・監督官庁・関係者への報告 |
| 再発防止 | 脆弱性の修正・対策の実施 |
2つの違いを一目で比較する
| 比較項目 | SOC | CSIRT |
|---|---|---|
| 主な役割 | 監視・検知 | 対応・収束 |
| 活動タイミング | 常時(24時間365日) | インシデント発生時 |
| 主なアウトプット | アラート・エスカレーション | インシデント報告書・再発防止策 |
| 必要なスキル | ログ分析・SIEM操作 | フォレンジック・法的対応・コミュニケーション |
| 外部委託のしやすさ | しやすい(SOCaaS) | 部分的に可能(外部CSIRT) |
SOCとCSIRTはどう連携するのか——役割分担の実際
SOCとCSIRTは独立して動くのではなく、インシデントを起点に連携します。
【連携の流れ】
SOC(常時監視)
↓ アラート検知・トリアージ
↓ 「インシデント」と判断
↓ エスカレーション
CSIRT(対応開始)
↓ 封じ込め・調査
↓ 復旧・報告
↓ 再発防止策をSOCにフィードバック
SOC(監視ルールの改善)
重要なのは「SOCが検知したら必ずCSIRTに引き渡すルート」と「CSIRTの対応結果をSOCの監視ルールに反映するフィードバックループ」が設計されていることです。この2つがないと、検知しても対応されない・同じ攻撃を何度も見逃すという状況が生まれます。
ランサムウェアなど実際のインシデントでの初動対応については「ランサムウェア対応の初動手順」を参照してください。
自社に合った体制を選ぶ——規模別の現実的な設計パターン
大企業パターン:SOCとCSIRTを社内に設置する
セキュリティ専任チームを社内に持ち、SOCとCSIRTをそれぞれ設置します。24時間対応のためにシフト制を組み、SIEMやEDRを活用した高度な監視体制を構築します。
必要なもの:専任のセキュリティ人材・SIEM基盤・インシデント管理ツール・対応手順書(プレイブック)
中小企業パターン:外部サービスを活用して補完する
社内にセキュリティ専任者を置くのが難しい場合、外部サービスで補完する方法があります。
| 外部サービス | 役割 |
|---|---|
| SOCaaS(SOC as a Service) | SOC機能を外部に委託。24時間監視をアウトソース |
| MDR(Managed Detection and Response) | EDRの監視・対応まで含めてアウトソース |
| 外部CSIRTサービス | インシデント発生時に外部の専門家を呼ぶ契約 |
外部サービスを使う場合でも、「インシデント発生時に誰が外部に連絡するか」「どこまで外部に判断を委ねるか」を社内で決めておく必要があります。
最小構成パターン:担当者を決めて手順書を整備する
専任チームや外部サービスが用意できない場合でも、最低限以下の3点を整備することで対応力が大きく変わります。
① インシデント対応の担当者を決める 情報システム担当者・上長・外部の相談先(ベンダー・IPA等)を明確にし、連絡先リストを作成します。
② 報告ルートを決める 「誰が・誰に・何を報告するか」を1枚の図にまとめて共有します。
③ 初動手順書を作る 「インシデントが疑われたら最初にこれをやる」というチェックリストを作成します。ランサムウェア・不正アクセス・情報漏えいなど、シナリオ別に用意できると理想的です。
よくある失敗パターン——「体制はある」だけで機能しない現場
① CSIRTを作ったが名前だけだった
「CSIRTを設置しました」と発表したが、メンバーの役割が決まっておらず、手順書もなく、定期的な訓練もない——という状態です。インシデントが起きて初めて「誰が何をすればいいかわからない」と気づきます。設置と同時に役割・手順・訓練の3点セットを整備してください。
② SOCがアラートを出しても対応先が決まっていなかった
外部のSOCaaS契約を結んでいたが、アラートの通知先メールアドレスが共有アドレスで誰も見ておらず、検知から数日後に気づいたケースです。SOCからの通知を誰が受け取り・誰が初動判断をするかを必ず決めてください。
③ インシデント後の報告・再発防止が行われなかった
対応が終わった後、「忙しいから」という理由で報告書や再発防止策の作成が後回しになり、同じ攻撃で再度被害を受けるケースです。インシデント対応は「収束」で終わりではなく、「再発防止まで含めて完了」という文化を作ることが重要です。
④ 担当者が1人で抱え込んで属人化した
インシデント対応の知識・連絡先・手順が特定の担当者だけに集中していると、その担当者が不在・退職した際に機能しなくなります。手順書の整備と複数人での情報共有が必須です。
実務チェックリスト——セキュリティ運用体制の確認ポイント
体制の基本設計
- [ ] インシデント発生時の担当者(一次対応・エスカレーション先)が決まっているか
- [ ] 社内・外部への報告ルートが文書化されているか
- [ ] SOC機能(監視・検知)をどこが担うか決まっているか
- [ ] CSIRT機能(対応・収束)をどこが担うか決まっているか
手順・ツールの整備
- [ ] インシデント初動の手順書(チェックリスト)があるか
- [ ] シナリオ別(ランサムウェア・不正アクセス等)の手順が用意されているか
- [ ] 外部連絡先(ベンダー・IPA・警察・顧問弁護士)のリストがあるか
- [ ] 手順書が最新の環境・連絡先に更新されているか
運用・訓練
- [ ] 定期的なインシデント対応訓練(机上演習等)を実施しているか
- [ ] 対応後の振り返り・再発防止のプロセスがあるか
- [ ] 担当者が1人に集中していないか(属人化の排除)
まとめ——今日確認すべきことは1つです
今日やることは1つだけです。「インシデントが起きたとき、最初に誰に連絡するか」を確認してください。
連絡先が決まっていない・古い・共有されていないのであれば、今日中に更新して関係者に周知してください。SOCやCSIRTという立派な体制がなくても、「誰に・何を・どの順番で」が決まっているだけで初動の速さが大きく変わります。
若手エンジニアが最初に知っておくべきセキュリティの全体像については「若手インフラエンジニアが最初に身につけるべきセキュリティ知識10選」を参照してください。
あわせてご覧ください
コメント