CSIRT/SOCの役割と機能|明確な区分け
CSIRT(Computer Security Incident Response Team)とSOC(Security Operations Center)は、しばしば混同されますが、それぞれ異なる役割を持ちます。効果的なセキュリティ体制を構築するには、両者の機能を明確に区分し、適切に連携させることが重要です。
CSIRTの主要機能
CSIRTは、インシデント対応に特化した専門チームです。平時から準備を行い、インシデント発生時には迅速かつ効果的な対応を指揮します。
- インシデント対応
- 検知から収束までの全プロセスを管理します。技術的対応の指揮、ステークホルダー調整、復旧支援、事後分析まで包括的に実施します。[ランサムウェア](/security/devices/ransomware/)攻撃や[APT攻撃](/security/scams/apt/)など、重大なインシデントでは、組織横断的な対応を統括し、事業への影響を最小化します。対応の各段階(準備、検知、封じ込め、根絶、復旧、事後対応)で明確な役割を持ちます。
- 脆弱性管理
- 脆弱性情報の収集と評価、影響分析、対策優先順位付け、パッチ適用指示を行います。CVE(Common Vulnerabilities and Exposures)データベースの監視、ベンダーセキュリティアドバイザリの評価、自社システムへの影響評価を実施します。[ゼロデイ攻撃](/security/cross-techniques/zero-day/)への対応も含む予防的活動として、脆弱性スキャンの定期実施とリスク評価を行います。
- 脅威インテリジェンス
- 外部脅威情報の収集・分析・配信を担当します。IOC(Indicator of Compromise:侵害指標)の管理と活用、脅威アクターの動向追跡、業界特有の脅威情報の収集を行います。JPCERT/CC、US-CERT、商用脅威インテリジェンスサービスなど、複数の情報源から情報を収集し、自社環境への影響を評価します。プロアクティブな防御態勢構築のため、脅威ハンティングの方向性も定めます。
CSIRTの追加機能
CSIRTは、インシデント対応以外にも重要な役割を担います:
- 演習・訓練の企画実施:テーブルトップ演習、レッドチーム演習の設計と実施
- プレイブック作成:インシデントタイプ別の対応手順書の整備と維持
- 外部連携:JPCERT/CC、業界ISAC、法執行機関との関係構築
- レポーティング:経営層への定期報告、インシデント後の詳細分析レポート作成
- ポリシー・手順の整備:インシデント対応ポリシー、エスカレーション基準の策定
SOCの運用範囲
SOC(Security Operations Center)は、セキュリティ監視に特化した組織です。24時間365日体制でシステムを監視し、異常を早期に検知します。
24/365監視体制
SOCの中核機能は、継続的なセキュリティ監視です。
- リアルタイム監視
- ファイアウォール、IDS/IPS、EDR、ネットワーク機器、サーバー、クラウド環境からのログとアラートを集約し、リアルタイムで監視します。SIEM(Security Information and Event Management)を中心としたツールスタックにより、膨大なログデータから異常を検知します。1日あたり数百万〜数千万件のログから、真に重要なアラートを識別します。
- アラートトリアージ
- 検知したアラートの初期分析を行います。レベル1アナリストが誤検知を除外し、真陽性のアラートを重要度に応じて分類します。緊急度が高いもの(Critical/High)は即座にエスカレーション、中程度(Medium)は追加調査、低いもの(Low)は記録と傾向分析に回します。
- シフト体制の運営
- 24時間365日の監視を実現するため、通常3交代制(8時間×3シフト)を採用します。各シフトには、レベル1アナリスト2-3名、レベル2アナリスト1名を配置します。夜間・休日は最小限の人員で対応し、重大インシデント時にはオンコールでレベル3を招集します。
ログ分析とアラート対応
SOCの技術的な中核作業は、ログ分析とアラート対応です。
ログソースの管理
SOCが監視する主なログソース:
- ネットワーク機器(ファイアウォール、IDS/IPS、プロキシ)
- エンドポイント(EDR、アンチウイルス、OS ログ)
- サーバー(Webサーバー、アプリケーションサーバー、DBサーバー)
- クラウドサービス(AWS CloudTrail、Azure Monitor、Google Cloud Logging)
- 認証システム(Active Directory、認証サーバー)
- セキュリティツール(DLP、CASB、WAF)
これらのログを統合的に分析することで、単一のログソースでは検知できない高度な攻撃を発見します。
相関分析とルール作成
- 相関ルールの設計
- 複数のログソースからのイベントを関連付け、攻撃パターンを検知します。例えば、①VPN接続成功、②短時間での大量ファイルアクセス、③外部IPへの大量データ転送、という一連のイベントから、データ持ち出しを検知します。効果的な相関ルールにより、高度な[C2通信](/security/cross-techniques/c2-beaconing-evasion/)や[データ持ち出し攻撃](/security/cross-techniques/data-exfiltration/)を早期に発見できます。
- 機械学習の活用
- ベースライン(通常の活動パターン)を学習し、異常を自動検知します。ユーザー行動分析(UEBA)により、[内部不正](/security/insider-physical/insider-threat/)や乗っ取られたアカウントを検知します。ただし、機械学習は誤検知も多いため、人間の判断と組み合わせることが重要です。
初動対応とエスカレーション
SOCの重要な役割は、迅速な初動対応と適切なエスカレーションです。
- レベル1対応(初期トリアージ)
- アラートの真偽判定、既知の脅威との照合、基本的な封じ込め(アカウント無効化、ネットワーク隔離)を実施します。標準的なプレイブックに従い、30分以内の初動対応を目標とします。対応可能な範囲を超える場合は、迅速にレベル2にエスカレーションします。
- レベル2対応(詳細分析)
- より高度な技術分析を実施します。マルウェア解析の初期段階、フォレンジックデータの収集、影響範囲の特定を行います。[フィッシング攻撃](/security/scams/phishing/)の場合、メールヘッダ分析、添付ファイル解析、類似攻撃の検索を実施します。CSIRTへの引き継ぎ準備も担当します。
- CSIRTへのエスカレーション
- 以下の条件でCSIRTにエスカレーションします:①重要システムへの侵害、②データ漏洩の可能性、③攻撃の継続、④複雑な攻撃手法、⑤組織横断的な対応が必要。エスカレーション時には、タイムライン、収集済みの証拠、実施済みの対応をまとめて引き継ぎます。
連携と役割分担
CSIRT/SOCの効果的な運用には、明確な役割分担と密接な連携が不可欠です。
SOCからCSIRTへの引き継ぎ
スムーズな引き継ぎプロセスが、対応時間短縮の鍵となります。
引き継ぎ時の必須情報
- インシデントサマリー:何が起きたか、いつ検知したか、現在の状況
- タイムライン:イベントの時系列記録
- 影響範囲:影響を受けたシステム、ユーザー、データ
- 実施済み対応:封じ込め措置、証拠保全
- 収集済み証拠:ログ、メモリダンプ、ファイルサンプル
- 推奨事項:次に取るべきアクション
引き継ぎは、インシデント管理システム上で記録し、口頭でも説明します。曖昧な情報は引き継がず、不明点は明確に伝えます。
共同対応のシナリオ
重大インシデントでは、SOCとCSIRTが共同で対応します。
- ランサムウェア攻撃
- SOC:異常な暗号化活動の検知、影響を受けたエンドポイントの隔離、追加の侵害兆候の監視。CSIRT:攻撃範囲の特定、バックアップの検証、復旧計画の策定、経営層への報告。両チームが緊密に連携し、封じ込めと復旧を並行して進めます。
- APT攻撃
- SOC:継続的な監視、攻撃者の活動追跡、新たなIOCの検知。CSIRT:フォレンジック調査、攻撃者の手法分析、根絶策の実施、脅威インテリジェンスの収集。数週間〜数ヶ月にわたる長期的な対応となるため、持続的な協働体制が必要です。
CSIRT/SOC機能比較表
| 機能・役割 | SOC | CSIRT |
|---|---|---|
| 主な目的 | 検知と初動対応 | 包括的なインシデント管理 |
| 稼働時間 | 24/365 | 営業時間中心(オンコール対応) |
| 主なタスク | 監視、トリアージ、レベル1-2対応 | インシデント調整、フォレンジック、根本対応 |
| 技術的深度 | 標準的な分析 | 高度な分析 |
| 対応範囲 | 技術的対応 | 技術+組織+法務+広報 |
| 人員配置 | 9-15名(24時間体制) | 3-8名(専門家チーム) |
| 必要スキル | ログ分析、SIEM運用、基礎フォレンジック | 高度なフォレンジック、マルウェア解析、プロジェクト管理 |
| 判断レベル | 戦術的判断 | 戦略的判断 |
| 報告先 | セキュリティマネージャー | CISO、経営層 |
| 外部連携 | ツールベンダー | JPCERT/CC、法執行機関、業界ISAC |
組織モデルと人員配置|規模別アプローチ
CSIRT/SOCの組織モデルは、組織規模、予算、リスクプロファイルによって大きく異なります。現実的で持続可能なモデルを選択することが、成功の鍵です。
内製型モデル
内製型は、すべての機能を自社で保有するアプローチです。最大限のコントロールと深い専門性の蓄積が可能ですが、多大な投資が必要です。
- フルスタック型
- 監視からフォレンジックまで全機能を内製します。大企業向けで、年間10億円以上の投資が必要です。専門人材20名以上の確保が前提となります。金融機関、重要インフラ事業者、大手テクノロジー企業など、セキュリティが事業の根幹に関わる組織に適しています。メリット:完全なコントロール、深い専門性、迅速な対応。デメリット:高コスト、人材確保難、24/365維持の負担。
- ハイブリッド型
- コア機能は内製、24時間監視等は外部委託します。中堅企業に最適で、年間1-3億円で実現可能です。内部5名+外部サービスの組み合わせが典型的です。CSIRT機能は完全内製し、SOC機能の一部(夜間・休日監視)を[マネージドサービス](/security/devices/malware-infection/column/organization/vendor-management/)に委託します。メリット:コストと能力のバランス、柔軟な体制、専門性の活用。デメリット:ベンダー依存、情報共有の課題。
- 仮想CSIRT型
- 平時は兼任、インシデント時に招集する形式です。中小企業向けで、最小限の投資で対応体制を構築できます。IT部門メンバー3-5名を指定し、平時は通常業務、インシデント時に優先的にCSIRT業務に従事します。SOC機能は完全に外部委託(MDR)を活用します。メリット:低コスト、柔軟な運用。デメリット:初動に遅れるリスク、専門性の限界、通常業務との競合。
アウトソース活用
外部サービスの戦略的活用は、多くの組織にとって現実的な選択肢です。
MDR(Managed Detection and Response)
MDRは、検知から対応までを包括的に提供するサービスです。
- サービス内容
- 24/365監視、脅威ハンティング、インシデント対応、フォレンジック支援を含みます。専門アナリストチームが、最新の脅威インテリジェンスとツールを活用して監視します。月額50万円〜300万円で、自社でSOCを構築するより大幅に低コストです。
- 適用ケース
- 内部にセキュリティ人材が不足している組織、24時間監視が必要だが予算が限られている組織に最適です。特に、100-1000名規模の企業で効果を発揮します。MDRベンダーの選定では、対応範囲、SLA(サービスレベル合意)、エスカレーション手順を明確にすることが重要です。
MSSP(Managed Security Service Provider)
MSSPは、セキュリティ監視とツール運用を提供します。
MSSPとMDRの違い
| 項目 | MSSP | MDR |
|---|---|---|
| 提供範囲 | 監視とアラート通知 | 監視+対応+調査 |
| 対応深度 | 浅い(アラート通知のみ) | 深い(根本原因調査まで) |
| コスト | 低(月額20-100万円) | 中(月額50-300万円) |
| 適用規模 | 小〜中規模 | 中〜大規模 |
| 内部の必要体制 | CSIRT必須 | 最小限で可 |
必要スキルセット
CSIRT/SOCの成功は、適切なスキルを持つ人材の確保にかかっています。
テクニカルスキル
SOC/CSIRTメンバーに必要な技術スキルは多岐にわたります。
レベル1アナリスト(SOC)
- ネットワーク基礎知識(TCP/IP、DNS、HTTP/HTTPS)
- OS基礎(Windows、Linux、macOS)
- ログ分析の基本
- SIEM操作
- 一般的な攻撃パターンの理解
レベル2アナリスト(SOC)
- パケットキャプチャ分析(Wireshark等)
- スクリプト作成(Python、PowerShell)
- マルウェア解析の基礎
- フォレンジックツール使用
- 脅威インテリジェンスの活用
レベル3アナリスト/CSIRTメンバー
- 高度なフォレンジック技術
- マルウェアリバースエンジニアリング
- メモリフォレンジック
- クラウド環境のセキュリティ
- 攻撃手法の深い理解(MITRE ATT&CK)
ソフトスキル
技術スキルと同様に重要なのが、ソフトスキルです。
- コミュニケーション能力
- 技術的な内容を非技術者に分かりやすく説明する能力が不可欠です。インシデント時の経営層報告、他部門との調整、外部機関とのやり取りで必要となります。書面と口頭の両方のコミュニケーション能力を磨きます。
- ストレス耐性
- インシデント対応は、高いストレス下での作業となります。長時間労働、不確実な状況、プレッシャーに耐える精神的強さが必要です。ただし、バーンアウトを防ぐため、適切な休息とローテーションも重要です。
- 継続学習意欲
- サイバーセキュリティは急速に進化する分野です。新しい攻撃手法、ツール、技術を継続的に学ぶ意欲が必要です。業務時間の10-20%を学習に充てることを推奨します。
認定資格
資格は、スキルの客観的な証明として有用です。ただし、資格だけでは不十分で、実践経験との組み合わせが重要です。
推奨資格一覧
| 対象 | 資格名 | 内容 | レベル |
|---|---|---|---|
| SOC全般 | CompTIA Security+ | セキュリティ基礎 | 入門 |
| SOC | GIAC Security Essentials (GSEC) | セキュリティ実務 | 初級 |
| SOCアナリスト | GIAC Certified Intrusion Analyst (GCIA) | 侵入検知 | 中級 |
| CSIRTメンバー | GIAC Certified Incident Handler (GCIH) | インシデント対応 | 中級 |
| フォレンジック | GIAC Certified Forensic Analyst (GCFA) | デジタルフォレンジック | 上級 |
| マルウェア解析 | GIAC Reverse Engineering Malware (GREM) | マルウェア解析 | 上級 |
| 管理職 | Certified Information Systems Security Professional (CISSP) | 包括的知識 | 上級 |
資格取得支援(受験料負担、学習時間確保)は、人材育成とモチベーション維持に効果的です。
組織モデル別コスト比較
| モデル | 初期投資 | 年間運用コスト | 人員 | 適用規模 | メリット | デメリット |
|---|---|---|---|---|---|---|
| フルスタック内製 | 5000万-1億円 | 2-5億円 | 20-30名 | 1000名以上 | 完全制御、深い専門性 | 高コスト、人材確保難 |
| ハイブリッド | 2000-5000万円 | 1-3億円 | 5-10名 | 100-1000名 | バランス、柔軟性 | ベンダー調整 |
| 仮想CSIRT+MDR | 500-2000万円 | 3000-8000万円 | 3-5名(兼任) | 100名以下 | 低コスト、迅速導入 | 専門性限界、初動遅延 |
| 完全外部委託 | 500-1000万円 | 2000-5000万円 | 1-2名(管理) | 小規模 | 最低コスト | ブラックボックス化 |
コストは組織規模、監視対象、サービスレベルにより大きく変動
技術基盤の構築|ツールと環境
効果的なCSIRT/SOC運用には、適切な技術基盤が不可欠です。ツール選定から環境構築まで、戦略的なアプローチが必要です。
SIEM/SOAR実装
SIEM(Security Information and Event Management)とSOAR(Security Orchestration, Automation and Response)は、SOC運用の中核を成すツールです。
- SIEM選定基準
- ログ収集能力、相関分析機能、スケーラビリティ、コストを総合的に評価します。主要製品:Splunk(高機能・高コスト)、IBM QRadar(バランス型)、Microsoft Sentinel(クラウドネイティブ・従量課金)、Chronicle(Google、機械学習強化)。選定時のポイント:①1日のログ量(GB)、②監視対象数、③検索スピード、④相関ルール作成の容易さ、⑤ライセンス体系。オープンソースのELK Stack(Elasticsearch、Logstash、Kibana)も、予算が限られる場合の選択肢です。
- SOARによる自動化
- レベル1対応の80%自動化を目標とします。プレイブック作成により、定型的な対応を自動実行します。例:フィッシングメール報告受領→メールヘッダ分析→URLレピュテーション確認→類似メール検索→隔離→報告、という一連の流れを自動化。平均対応時間を手動の1/10に短縮可能です。主要製品:Palo Alto Cortex XSOAR、Splunk Phantom、IBM Resilient。導入初年度は自動化率30%程度から始め、段階的に拡大します。
- 統合運用
- SIEM→SOAR→チケットシステムの連携により、シームレスな情報流通を実現します。SIEMでアラート検知→SOARで初期分析と対応→重要案件はチケット化してCSIRTに引き継ぎ、という流れを自動化します。重複作業の排除、対応履歴の一元管理、KPI自動計測が可能になります。ただし、過度な自動化は判断力低下を招くため、重要な判断は人間が行う設計とします。
分析環境整備
高度な脅威分析には、専用の環境が必要です。
サンドボックス環境
- マルウェア動的解析
- 疑わしいファイルを隔離された環境で実行し、挙動を観察します。商用製品(Cuckoo Sandbox、FireEye、Palo Alto WildFire)または自前構築(仮想環境+監視ツール)を選択します。自動化することで、[マルウェア感染](/security/devices/malware-infection/)の疑いのあるファイルを迅速に評価できます。
- ネットワークトラフィック分析
- サンドボックス内でのネットワーク通信を記録し、C2サーバーへの接続試行、データ送信などを検知します。得られたIOC(IPアドレス、ドメイン、ファイルハッシュ)は、SIEM/SOARに登録し、組織全体での検知に活用します。
フォレンジックラボ
重大インシデントの調査には、専用のフォレンジック環境が必要です。
必要な設備と環境
- 証拠保全用のハードウェア(書き込み防止装置、イメージング機器)
- 分析用ワークステーション(高性能PC、複数OS対応)
- フォレンジックソフトウェア(EnCase、FTK、X-Ways Forensics)
- ネットワーク分離(証拠の汚染防止)
- ログ記録システム(証拠の信頼性担保)
フォレンジック調査の詳細は、専門記事で解説しています。
脅威インテリジェンスプラットフォーム
複数の脅威インテリジェンスソースを統合管理します。
- 情報ソースの集約
- 商用フィード(Recorded Future、Mandiant、CrowdStrike)、オープンソースフィード(AlienVault OTX、MISP)、ISACからの情報、自社で発見したIOCを一元管理します。STIX/TAXII形式での情報共有が標準となっています。
- 自動化されたエンリッチメント
- 検知したIOCを自動的に脅威インテリジェンスと照合します。例えば、外部通信先のIPアドレスが、既知の攻撃グループのインフラと一致すれば、即座にアラートを上げます。誤検知を減らし、対応の優先順位付けを支援します。
コミュニケーション基盤
効果的なインシデント対応には、円滑なコミュニケーションが不可欠です。
インシデント管理システム
- チケット管理
- すべてのインシデントをチケット化し、進捗を追跡します。JIRA、ServiceNow、TheHive等を使用します。各チケットには、検知時刻、重要度、担当者、ステータス、タイムライン、実施した対応、証拠へのリンクを記録します。チケットの一元管理により、対応の抜け漏れを防ぎます。
- エスカレーションフロー
- 重要度と経過時間に応じた自動エスカレーションを設定します。例:Criticalアラートは15分以内にレベル2に、30分以内にCSIRTに自動エスカレーション。SLA(Service Level Agreement)の遵守を自動監視します。
情報共有ツール
- リアルタイムコミュニケーション
- Slack、Microsoft Teams等のチャットツールで、リアルタイムの情報共有を行います。インシデント専用チャンネルを作成し、関係者を招集します。重要な決定事項は、後で検索できるよう、チケットシステムにも記録します。
- ドキュメント共有
- Confluence、SharePoint等で、プレイブック、手順書、過去のインシデントレポートを共有します。バージョン管理を徹底し、常に最新情報を参照できるようにします。
ツール選定マトリクス
| ツールカテゴリ | オプション1 | オプション2 | オプション3 | 選定基準 |
|---|---|---|---|---|
| SIEM | Splunk(高機能) | Sentinel(クラウド) | ELK Stack(OSS) | ログ量、予算、既存環境 |
| SOAR | Cortex XSOAR | Splunk Phantom | Tines(低コスト) | 自動化範囲、統合性 |
| EDR | CrowdStrike | SentinelOne | Microsoft Defender | カバレッジ、コスト |
| サンドボックス | Cuckoo(OSS) | FireEye | WildFire(Palo Alto) | 分析深度、自動化 |
| 脅威Intel | Recorded Future | MISP(OSS) | AlienVault OTX | 情報品質、コスト |
| チケット | ServiceNow | JIRA | TheHive(OSS) | 既存システム統合 |
運用プロセスの最適化|効率と品質
技術基盤の整備だけでは不十分です。効率的な運用プロセスと適切な品質管理が、CSIRT/SOCの実効性を決定します。
インシデント分類とトリアージ
膨大なアラートの中から、真に重要なものを識別することが、SOC運用の要です。
重要度判定マトリクス
インシデントの重要度を客観的に判定する基準を設定します。
重要度判定マトリクス
| 影響度 / 緊急度 | 高(即座の対応必要) | 中(24時間以内) | 低(1週間以内) |
|---|---|---|---|
| 重大(事業停止) | Critical - 即時対応、経営層通知 | High - 4時間以内対応 | Medium - 営業日内対応 |
| 高(重要システム) | High - 1時間以内対応 | Medium - 営業日内対応 | Low - 計画的対応 |
| 中(一般システム) | Medium - 営業日内対応 | Low - 計画的対応 | Low - 定期メンテで対応 |
| 低(影響限定的) | Low - 計画的対応 | Low - 定期メンテで対応 | 情報 - 記録のみ |
判定要素
- 影響を受けるシステムの重要度
- 影響を受けるユーザー数
- データの機密性
- 攻撃の継続性
- 既知の攻撃との関連性
エスカレーション基準
明確なエスカレーション基準により、適切なタイミングで上位者やCSIRTに引き継ぎます。
- 時間ベースのエスカレーション
- Critical:15分以内にレベル2、30分以内にCSIRT。High:1時間以内にレベル2、4時間以内にCSIRT。Medium:営業時間内にレベル2、必要に応じてCSIRT。この時間内に解決しない、または対応方針が決まらない場合は自動エスカレーションします。
- 事象ベースのエスカレーション
- 以下の事象は、重要度に関わらず即座にCSIRTにエスカレーション:①データ漏洩の可能性、②[ランサムウェア](/security/devices/ransomware/)感染、③複数システムへの横展開、④[DDoS攻撃](/security/networking/ddos/)、⑤経営層・VIPへの攻撃、⑥メディア報道の可能性。
シフト体制と要員計画
24/365運用には、適切なシフト設計と要員計画が不可欠です。
- 24/365体制の構築
- 3交代制で最低9名必要です(3名×3シフト)。休暇・研修を考慮すると12名が理想的です。各シフトの構成:レベル1アナリスト2名、レベル2アナリスト1名。深夜・休日は手当で人件費が1.5倍となるため、年間人件費は通常の1.3-1.4倍を見込みます。シフトパターン:日勤(8:00-17:00)、準夜勤(16:00-1:00)、夜勤(0:00-9:00)が一般的です。
- オンコール体制
- レベル2/3エンジニアとCSIRTメンバーは、オンコール待機を行います。月間拘束時間の上限を設定し(120時間以内推奨)、代休制度を整備します。オンコール手当(拘束手当+出動手当)を適切に支給し、モチベーション維持とバーンアウト防止を図ります。オンコール中の飲酒禁止、30分以内の対応開始など、明確なルールを定めます。
- スキルローテーション
- 監視→分析→対応のキャリアパスを設計します。レベル1で1-2年経験後、レベル2に昇格、さらに1-2年でレベル3またはCSIRTメンバーへ。3-6ヶ月ごとに異なる役割を経験させ、スキルの偏在を防ぎます。モチベーション維持のため、明確なキャリアパスと評価基準を示します。単調な監視業務だけでは人材が定着しないため、定期的な新しいチャレンジ機会を提供します。
品質管理とKPI
CSIRT/SOCの実効性を測定し、継続的に改善するには、適切なKPIが必要です。
MTTD(平均検知時間)
Mean Time To Detect(MTTD)は、インシデント発生から検知までの時間です。
- 測定方法
- 実際のインシデント発生時刻(事後調査で判明)と、SOCでの検知時刻の差を測定します。ただし、発生時刻が不明な場合も多いため、レッドチーム演習や既知のテスト攻撃での測定も併用します。
- 目標値
- 業界標準:Critical脅威は1時間以内、High脅威は4時間以内。先進的な組織では、Criticalを30分以内、Highを2時間以内に設定しています。現状がこれより長い場合、検知ルールの改善、自動化の拡大、人員増強を検討します。
MTTR(平均対応時間)
Mean Time To Respond(MTTR)は、検知から初期対応完了までの時間です。
- 測定方法
- 検知時刻から、初期封じ込め完了(例:アカウント無効化、ネットワーク隔離)までの時間を測定します。完全な根絶・復旧ではなく、被害拡大防止の時間を重視します。
- 目標値
- レベル1対応:30分以内、レベル2対応:4時間以内、CSIRT引き継ぎ:24時間以内に初期封じ込め完了。自動化により、定型的な対応は5-10分に短縮可能です。
誤検知率の管理
- 誤検知の影響
- 誤検知が多すぎると、アナリストの疲弊、真の脅威の見逃し(オオカミ少年効果)、組織の信頼低下を招きます。逆に、誤検知を恐れすぎると検知漏れが増加します。適切なバランスが重要です。
- 目標値
- 誤検知率(False Positive Rate):10%以下が目標です。つまり、10件のアラートのうち、真の脅威は1件以上。検知漏れ率(False Negative Rate)は測定困難ですが、レッドチーム演習で評価します。定期的にルールチューニングを行い、誤検知と検知漏れの両方を減らします。
シフト体制パターン
| 体制タイプ | 人員配置 | カバレッジ | コスト | 適用ケース |
|---|---|---|---|---|
| 完全24/365 | 12-15名(3シフト) | 常時3-5名 | 高 | 金融、重要インフラ |
| 営業時間+オンコール | 5-7名(日中)+待機 | 日中:5名、夜間:待機 | 中 | 一般企業 |
| 外部+内部ハイブリッド | 内部3-5名+外部MDR | 常時監視(外部)、対応(内部) | 中 | 中堅企業 |
| 完全外部委託 | 内部1-2名(管理) | 外部による常時監視 | 低-中 | 中小企業 |
KPIダッシュボード例
| KPI | 目標値 | 現状値 | 傾向 | アクション |
|---|---|---|---|---|
| MTTD(Critical) | <30分 | 45分 | ↗ 改善中 | 検知ルール追加 |
| MTTR(レベル1) | <30分 | 25分 | ↗ 目標達成 | 継続維持 |
| 誤検知率 | <10% | 15% | → 横ばい | ルールチューニング実施 |
| アラート処理数 | - | 850件/日 | ↗ 増加 | 自動化拡大検討 |
| エスカレーション率 | 5-10% | 8% | → 適正 | 継続監視 |
| 研修受講率 | 100% | 92% | ↘ 低下 | 未受講者フォロー |
継続的改善|成熟度向上
CSIRT/SOCは、構築して終わりではありません。継続的な改善により、能力を高め、変化する脅威に適応します。
演習と訓練
定期的な演習により、対応能力を維持・向上させます。
- テーブルトップ演習
- 月1回、2時間のシナリオベース訓練を実施します。全メンバーが参加し、役割確認、手順検証、コミュニケーション改善を図ります。シナリオ例:[ランサムウェア](/security/devices/ransomware/)攻撃、[APT攻撃](/security/scams/apt/)、[DDoS攻撃](/security/networking/ddos/)、内部不正。実際のインシデント発生を想定し、誰が何をするか、どう連絡するか、どこに相談するかを確認します。技術的な対応よりも、組織としての動き方に重点を置きます。
- レッドチーム演習
- 年2回の実践的攻撃シミュレーションを実施します。外部の専門家(ペネトレーションテスター)が攻撃者役となり、実際の攻撃手法で組織を攻撃します。SOCの検知能力評価、対応手順の検証、盲点の発見が目的です。演習は事前通知なし(ブラインド型)または部分的通知で実施し、リアルな対応を評価します。外部専門家の活用により、客観性を確保します。
- パープルチーム活動
- 月1回、攻撃側(レッドチーム)と防御側(ブルーチーム)が協働します。レッドチームが攻撃手法を実演し、ブルーチームが検知方法を改善します。脅威ハンティング、検知ルールの改善、新手法への対策立案を行います。MITRE ATT&CKフレームワークを活用し、各戦術・技術に対する検知能力を体系的に評価・改善します。[初動対応](/security/devices/malware-infection/column/incident/initial-response/)の質を継続的に向上させます。
ナレッジマネジメント
過去の経験を組織の資産として蓄積し、活用します。
プレイブック整備
- 攻撃タイプ別プレイブック
- 各インシデントタイプに対応した詳細な手順書を作成します。必須プレイブック:①フィッシング、②マルウェア感染、③ランサムウェア、④データ漏洩、⑤DDoS攻撃、⑥不正アクセス、⑦内部不正。各プレイブックには、検知方法、初動対応、エスカレーション基準、証拠収集手順、封じ込め方法、根絶手順、復旧ステップ、事後対応を含めます。
- 継続的な更新
- インシデント対応後は、必ずプレイブックをレビューし、改善点を反映します。四半期ごとに全プレイブックを見直し、最新の脅威や社内環境の変化に対応します。実際に使用してみて不明確な点、改善が必要な点を洗い出します。
過去事例のデータベース化
- インシデントレジスター
- すべてのインシデントを記録し、検索可能なデータベースとします。記録内容:日時、種類、影響範囲、根本原因、対応内容、教訓、改善策。類似インシデント発生時に、過去の対応を参照することで、対応時間を短縮できます。
- ナレッジ共有セッション
- 月1回、重要なインシデントや教訓を共有するミーティングを開催します。担当者がプレゼンテーションを行い、質疑応答を通じて理解を深めます。失敗から学ぶ文化を醸成し、責任追及ではなく改善に焦点を当てます。
外部連携強化
組織単独では対処できない脅威に対し、外部との連携が重要です。
業界ISAC参加
- 情報共有の価値
- 業界特有の脅威情報を早期に入手できます。金融ISAC、製造業ISAC、医療ISACなど、業界別の情報共有組織に参加します。自社で発見した脅威情報も共有することで、業界全体のセキュリティレベル向上に貢献します。
- 実践的な連携
- 定期的なミーティング、情報交換、共同演習を通じて、関係を構築します。インシデント発生時に相談できる人脈を作ることが重要です。匿名化された情報共有により、風評リスクを避けながら協力できます。
FIRST等の国際連携
- FIRST(Forum of Incident Response and Security Teams)
- 世界中のCSIRTが参加する国際組織です。年次カンファレンス、トレーニング、情報共有プラットフォームを提供します。グローバルな脅威動向、最新の対応手法、ツールの情報を入手できます。メンバーシップを取得することで、信頼されたCSIRTとして認知されます。
- JPCERT/CC連携
- 日本の国家CSIRTであるJPCERT/CCとの連携は必須です。重大インシデント発生時の相談、脅威情報の提供・受領、法執行機関との調整支援を受けられます。定期的な情報交換により、関係を維持します。
よくある質問(FAQ)
- Q: CSIRTとSOCは両方必要ですか?
- A: 理想的には両方ですが、段階的構築が現実的です。優先順位:①小規模(100名以下):仮想CSIRTのみ構築、SOC機能は外部MDRを活用。②中規模(100-500名):専任CSIRT(3-5名)+外部SOC(MDR/MSSP)。③大規模(500名以上):内部CSIRT(5-8名)+ハイブリッドSOC(内部5名+外部夜間監視)。SOCは24時間監視が必要な場合のみ内製化を検討します。多くの場合、MDRサービス活用が費用対効果で優れています。重要なのは、インシデント発生時に迅速に対応できる体制の確保です。形だけの組織より、実効性のある小さな体制の方が有効です。
- Q: 24時間365日監視は本当に必要?
- A: 業種とリスクレベルによります。必須の業種:金融機関、医療機関、重要インフラ事業者、ECサイト運営企業(24時間営業)、グローバル企業(時差対応)。推奨する業種:機密情報を大量に保有する企業、過去に重大インシデントを経験した企業。選択的でよい場合:一般企業(営業時間+オンコール対応で可)、小規模事業者。コスト削減案:①夜間・休日は自動対応+オンコール体制(重要アラートのみ待機者が対応)、②重要システムのみ24時間監視、③MDRサービス活用(外部に夜間監視を委託)。完璧を目指すより、持続可能な体制構築が重要です。監視の「穴」を作らないよう、営業時間外の対応ルールを明確にすることが鍵です。
- Q: 必要な人員数の目安は?
- A: 組織規模とリスクレベルで変動しますが、最小構成の目安:SOC(24/365内製):12名(3シフト×4名)、CSIRT(営業時間):3-5名、管理者(SOCマネージャー、CSIRT責任者):各1名。合計16-18名。中規模組織(ハイブリッド型):内部SOC 3-5名(営業時間)+外部MDR、CSIRT 3名、管理者1-2名。合計7-10名。小規模組織(仮想型):兼任CSIRT 3-5名、管理者1名、SOC機能は完全外部委託。合計4-6名(兼任)。効率化の工夫:①SOAR活用で自動化を進め、必要人員を30%削減、②MDR等の外部委託で固定費を変動費化、③他部門との兼任体制(ただし優先順位の明確化が必要)。重要なのは、バックアップ体制とスキルの冗長性確保です。特定の人に依存する体制は、退職や病欠で機能不全に陥ります。
- Q: SIEMは必須ですか?
- A: 組織規模により異なります。SIEM導入が必須:①ログ量が1日1GB以上、②監視対象が100台以上、③コンプライアンス要件(金融、医療等)、④24/365監視を実施。代替案:①小規模組織:EDR(エンドポイント監視)+クラウドネイティブツール(Azure Monitor、CloudWatch)で十分。②中規模組織:クラウドSIEM(Microsoft Sentinel、Chronicle)を従量課金で利用。③予算制約がある場合:オープンソース(ELK Stack)を活用。重要なのは、ログの収集と分析能力であり、高額な商用SIEMは必須ではありません。使いこなせないツールを導入するより、シンプルなツールを効果的に運用する方が重要です。段階的アプローチ:第1段階でEDRとクラウドログ分析、第2段階で需要が増えたらSIEM導入、という方法も有効です。自社のログ量、監視対象、分析能力を評価してから判断しましょう。
まとめ|持続可能なCSIRT/SOC運用へ
効果的なCSIRT/SOC構築は、一朝一夕には実現できません。本記事で解説した以下のポイントを押さえ、段階的に構築・改善することが成功の鍵です。
重要なポイント
1. 役割の明確化
CSIRTとSOCの役割を明確に区分し、適切な連携体制を構築します。SOCは検知と初動、CSIRTは包括的な対応とコーディネーションを担当します。
2. 現実的な組織モデル
自社の規模、予算、リスクに応じた現実的なモデルを選択します。完璧な内製化より、外部サービスを活用したハイブリッド型が多くの組織に適しています。
3. 適切な技術基盤
SIEM/SOARを中心とした技術基盤を整備しますが、使いこなせないツールの導入は避けます。段階的に拡充し、自動化を進めます。
4. 効率的な運用プロセス
明確なトリアージ基準、エスカレーションルール、KPIにより、効率的な運用を実現します。誤検知の削減と対応時間の短縮に継続的に取り組みます。
5. 継続的な改善
定期的な演習、プレイブックの更新、外部連携により、能力を継続的に向上させます。インシデントから学び、同じ失敗を繰り返さない文化を醸成します。
次のステップ
CSIRT/SOC構築を進めるには、以下の順序で取り組むことを推奨します:
- 現状評価:既存の監視・対応能力を評価し、ギャップを特定
- 組織モデル選定:規模と予算に応じた現実的なモデルを選択
- クイックウィン実施:EDR導入、基本的なログ監視など、短期で効果が出る施策から開始
- 段階的拡充:SOARによる自動化、CSIRT体制強化を段階的に実施
- 継続的改善:演習、レビュー、KPI測定を通じて継続的に改善
詳細なインシデント対応プロセス、セキュリティ教育プログラム、ベンダー選定については、関連記事をご参照ください。また、SIEM/SOAR導入の技術的な詳細も別途解説しています。
効果的なCSIRT/SOC運用により、マルウェア感染をはじめとする多様なサイバー脅威に迅速に対応し、事業への影響を最小化できます。完璧を目指すのではなく、持続可能で実効性のある体制を構築することが重要です。
関連記事
- マルウェア感染:包括的な対策ガイド
- マルウェア対策の組織体制構築ガイド
- セキュリティ体制構築と運用
- インシデント初動対応ガイド
- フォレンジック調査の実施
- インシデント対応計画
- SIEM/SOAR統合による自動化
【重要なお知らせ】
- 本記事は一般的な情報提供を目的としており、個別の組織状況に対する助言ではありません
- CSIRT/SOC構築には、各組織の規模、業種、リスクプロファイルに応じたカスタマイズが必要です
- 実際の構築にあたっては、セキュリティコンサルタントや専門家への相談を推奨します
- 記載内容は作成時点の情報であり、ツールや脅威状況は変化する可能性があります
- 本記事の内容を実践した結果について、当サイトは一切の責任を負いかねます
更新履歴
- 初稿公開
