EN

メールマガジン登録
お役立ち資料
お問い合わせ

セキュリティ用語解説

SOC(Security Operation Center)

企業などが所有する情報システムへの脅威を、24時間365日体制で監視し、脅威情報の分析などを行い、対応策を示す専門組織を指します。

多くのSOCでは、SIEMを活用した監視システムを有しており、ログ情報を監視する中で、サイバー攻撃の兆候などに関するアラートを検知すると、SOC内のオペレータやアナリストに連携され、調査が開始されます。SIEM/SOCの運用や監視ルールのチューニングなどを定常的に行うことで、脅威に対する防御能力を日々アップデートしています。

 

SOCが分析したアラート情報は、CSIRT(Computer Security Incident Response Team)や情報システム部門に連携され、本格対応が進められるパターンが一般的です

SOCにおける主な業務

業務区分 概要

アラート監視

アラートの検知およびSOC-CSIRT間での情報共有

分析

・検知したアラートの傾向を時系列で分析

・攻撃内容・自組織への影響の特定

調査

外部機関から提供される脅威情報による過去ログ調査、影響の特定

定期報告

直近で発生したインシデントの日時、事象、影響、対応方針のほか、現在のステータス、検知傾向、監視改善提案等に関して、CSIRTに定期的に報告

インシデント

管理

SOAR(Security Orchestration and Automation Response)等を活用したインシデントのステータス管理

監視体制維持

SOC監視メンバの時間帯によるローテーション管理
・オペレータ、アナリスト等のメンバへの定期的な教育・訓練

SIEMの

機能維持管理

サイバー攻撃に関する情報、脆弱性情報等の外部からの脅威情報を元に、検知ロジックやその閾値、ブラックリスト等をチューニング

 

 

セキュリティ監視運用の全体像

 

Secure SketCH_セキュリティ監視運用の全体像

 

50音順で探す

アルファベット順で探す