CSIRT/SOCの基礎知識
CSIRTとSOCの違い
CSIRT(Computer Security Incident Response Team:シーサート)とSOC(Security Operations Center:ソック)は、どちらもセキュリティ対応の専門チームですが、その役割は異なります。
| 項目 | CSIRT | SOC |
|---|---|---|
| 主な役割 | インシデント対応・管理 | セキュリティ監視・運用 |
| 活動タイミング | インシデント発生時が中心 | 24時間365日の継続監視 |
| 主な機能 | 対応調整、封じ込め、根本原因分析 | アラート監視、トリアージ、初動対応 |
| 組織的位置付け | 全社横断的な調整機能 | IT/セキュリティ部門内の監視機能 |
| 外部連携 | JPCERT/CC、法執行機関との連携 | ベンダー、脅威インテリジェンスとの連携 |
- CSIRT(Computer Security Incident Response Team)
- セキュリティインシデントへの対応・管理を担う組織です。マルウェア感染やランサムウェア攻撃が発生した際に、影響範囲の特定、封じ込め、復旧、再発防止までを統括します。日本では、JPCERT/CC(Japan Computer Emergency Response Team Coordination Center)が国レベルのCSIRTとして活動しています。
- SOC(Security Operations Center)
- セキュリティ機器のログやアラートを24時間体制で監視し、脅威を検知する機能を担います。フィッシング詐欺の兆候や不正アクセスの試みなど、日常的な監視を通じて攻撃の早期発見を目指します。
- 両者の連携と統合
- SOCがアラートを検知し、重大なインシデントと判断された場合にCSIRTにエスカレーションするという連携が一般的です。組織規模によっては、SOCとCSIRTを統合した体制(CSOC:Cyber Security Operations Center)を構築することもあります。
なぜ専門チームが必要か
マルウェア感染対策において、専門のインシデント対応チームが必要な理由は以下の通りです。
- インシデント対応の専門性
- マルウェア感染への対応には、技術的な分析能力、封じ込めの判断力、証拠保全の知識など、高度な専門性が求められます。一般のIT担当者だけでは、適切な対応が困難なケースが多くあります。証拠保全と法的対応を適切に行うためにも、専門知識を持つチームが必要です。
- 24時間365日の監視要件
- サイバー攻撃は時間を選びません。特に標的型攻撃(APT)では、業務時間外や休日を狙った攻撃が行われることがあります。継続的な監視体制がなければ、攻撃の発見が遅れ、被害が拡大します。
- 組織横断的な調整能力
- インシデント対応は、IT部門だけでなく、法務、広報、経営層など、組織全体の協力が必要です。ステークホルダーコミュニケーションを含む調整機能を担う専門チームがなければ、対応が混乱します。
- 脅威インテリジェンスの活用
- 最新の攻撃手法やランサムウェアグループの動向を把握し、自組織への影響を評価するには、専門的な知識と情報収集能力が必要です。
体制設計の選択肢
内製vs外部委託
CSIRT/SOCの構築にあたっては、内製(自社で運用)か外部委託(アウトソーシング)か、あるいはそのハイブリッドかを選択する必要があります。
| 体制 | メリット | デメリット | 向いている組織 |
|---|---|---|---|
| 完全内製 | 自社環境への深い理解、迅速な対応 | 人材確保・育成コスト、24時間体制の負担 | 大企業、金融機関、重要インフラ |
| 完全外部委託 | 専門性の確保、24時間対応、コスト予測可能 | 自社理解の限界、ベンダー依存 | 中小企業、セキュリティ専門人材不在 |
| ハイブリッド | バランスの取れた体制、コスト最適化 | 役割分担の明確化が必要 | 中堅企業、多くの組織で推奨 |
- 内製のポイント
- 自社環境への深い理解に基づく対応が可能ですが、セキュリティ人材の確保・育成は大きな課題です。日本では約5万人のセキュリティ人材が不足しているとされ、採用競争が激化しています。24時間体制を内製で構築するには、最低でも5〜8人の専任者が必要です。
- 外部委託のポイント
- 専門ベンダーのノウハウと人材を活用できますが、自社の業務やシステムへの理解には限界があります。委託範囲と責任分界点を明確にし、適切なコミュニケーション体制を構築することが重要です。
- ハイブリッドの推奨
- 多くの組織では、ハイブリッド体制が現実的です。例えば、平日日中は社内チームが対応し、夜間・休日はMDRサービスに委託するという形態です。重要な判断は社内で行いつつ、監視・分析の負荷を外部に分散できます。
組織規模別の推奨体制
組織の規模やリソースに応じた推奨体制を示します。
- 大企業(従業員1,000人以上)
- 専任CSIRT+内製SOCを推奨します。CSIRT責任者(CSIRT長)を置き、SOCアナリスト、インシデントレスポンダー、脅威インテリジェンス担当など、専門人材を配置します。24時間3交代制のSOCを運用し、自社環境に特化した監視・対応を行います。MDRをサブとして活用し、カバレッジを補完することも有効です。
- 中堅企業(従業員300〜1,000人)
- 兼任CSIRT+MDR活用を推奨します。CSIRTは専任者を数名配置するか、IT部門との兼任とします。SOC機能はMDRサービスに委託し、24時間監視を実現します。重要なインシデントの判断と対応調整は社内で行います。
- 中小企業(従業員300人未満)
- IT責任者+MSSP/MDRを推奨します。専任のセキュリティ担当者を置くことが難しい場合、IT責任者がセキュリティも兼務し、監視・対応はMSSP(Managed Security Service Provider)またはMDRサービスに全面的に委託します。インシデント発生時の連絡先と対応フローを明確にしておくことが重要です。
MDR/MSSP活用
MDR(Managed Detection and Response)とMSSP(Managed Security Service Provider)は、外部委託の主要な選択肢です。
| サービス種類 | 主な機能 | 特徴 | 代表的なサービス |
|---|---|---|---|
| MDR | 検知・対応まで含む | アナリストによる能動的な対応 | CrowdStrike Falcon Complete、SentinelOne Vigilance |
| MSSP | 監視・アラート通知中心 | 機器運用と監視に特化 | NTTセキュリティ、ラック |
| SOC as a Service | SOC機能の外部化 | SIEM運用を含む監視サービス | 各SIEMベンダーのマネージドサービス |
- MDR選定のポイント
- 対応範囲(検知のみか、封じ込めまで行うか)、対応時間(SLA)、使用するツール(EDR等)との互換性、日本語対応、価格体系などを比較検討します。自社の環境や要件に合ったサービスを選択することが重要です。
チーム構成と役割
必要な役割
CSIRT/SOCに必要な役割と、それぞれの責任・スキル要件を示します。
| 役割 | 主な責任 | 必要なスキル |
|---|---|---|
| SOCマネージャー | SOC全体の運営管理、経営層への報告 | マネジメント、セキュリティ全般の知識 |
| Tier1アナリスト | アラート監視、トリアージ、初動対応 | 基本的なセキュリティ知識、ツール操作 |
| Tier2アナリスト | 詳細分析、インシデント調査 | ログ分析、ネットワーク・OS知識 |
| Tier3アナリスト | 高度な分析、マルウェア解析 | リバースエンジニアリング、フォレンジック |
| インシデントレスポンダー | 封じ込め、復旧、再発防止 | システム管理、危機対応力 |
| 脅威インテリジェンスアナリスト | 脅威情報の収集・分析、自組織への適用 | 情報分析、英語力、業界知識 |
| フォレンジック担当 | 証拠収集・保全、詳細調査 | デジタルフォレンジック、法的知識 |
- SOCマネージャー
- SOC全体の運営を統括し、KPIの管理、予算管理、人員配置、経営層・CISOへの報告を担当します。技術的なスキルに加え、マネジメント能力とコミュニケーション能力が求められます。
- SOCアナリスト(Tier1/2/3)
- SOCの中核となる技術者です。Tier1は24時間の監視と初動対応、Tier2はより詳細な分析、Tier3は高度なマルウェア解析や複雑なインシデントの調査を担当します。段階的なスキルアップパスを設計することで、人材育成と定着を図ります。
- インシデントレスポンダー
- インシデントの封じ込め、システム復旧、復旧と事業継続までを担当します。技術的なスキルに加え、危機的状況下での冷静な判断力が求められます。
- 脅威インテリジェンスアナリスト
- APTグループやランサムウェアグループの動向を追跡し、自組織へのリスクを評価します。外部の脅威情報フィードを自組織の監視ルールに反映させる役割も担います。
人員配置の考え方
24時間体制を構築するための人員算出の考え方を示します。
- 必要カバー時間の算出:24時間×365日 = 8,760時間/年
- 1人あたりの年間稼働時間:8時間×週5日×52週 = 2,080時間(ここから休暇・研修等を引く)
- 実稼働時間:約1,700〜1,800時間/人・年
- 最低必要人数:8,760 ÷ 1,750 ≒ 5人
- シフトの重複・引継ぎを考慮:×1.3〜1.5 = 6.5〜7.5人
- 24時間3交代制の例
- 1シフト8時間×3シフト=24時間をカバー。各シフトに最低1人、理想的には2人を配置。休暇・研修を考慮すると、最低5〜6人、理想的には8人程度が必要です。
- 現実的なアプローチ
- 中堅以下の企業で8人の専任者を確保することは困難です。以下のような現実的な選択肢を検討します。
- 夜間・休日はMDRサービスに委託
- オンコール体制(待機制)の活用
- 自動化による人員削減
スキルセットと資格
CSIRT/SOCメンバーに推奨される資格を示します。
| 資格 | 内容 | 対象レベル |
|---|---|---|
| 情報処理安全確保支援士 | 日本の国家資格、セキュリティ全般 | 全レベル |
| CISSP | セキュリティマネジメント全般 | マネージャー、シニア |
| GCIH(GIAC) | インシデントハンドリング | Tier2以上 |
| GCFE(GIAC) | フォレンジック | フォレンジック担当 |
| CEH | エシカルハッキング | Tier2以上 |
| 各ベンダー認定 | SIEM、EDR等の製品固有 | 運用担当 |
運用プロセスの整備
監視プロセス
SOCの日常業務である監視プロセスを整備します。
- アラート対応フロー
- SIEMやEDRから発生するアラートに対し、トリアージ(優先度判定)→分析→対応→クローズという流れで処理します。ソーシャルエンジニアリングを起点とした攻撃など、人的要因のアラートも見逃さないよう注意が必要です。
- トリアージ基準
- アラートの重要度を判定するための基準を明確にします。以下の要素を考慮します。
- 影響を受けるシステム・データの重要度
- 脅威の種類(ランサムウェアは最優先)
- 攻撃の進行段階(侵害後か、未遂か)
- 誤検知の可能性
- エスカレーションルール
- どのような場合に上位者やCSIRT、経営層にエスカレーションするかを明確にします。重大インシデントの判断基準と連絡先を事前に定義しておきます。
| アラート重要度 | 対応開始時間 | エスカレーション先 | 例 |
|---|---|---|---|
| Critical(緊急) | 即時 | CSIRT長、経営層 | ランサムウェア検知、大量データ持ち出し |
| High(高) | 15分以内 | Tier2以上 | マルウェア実行検知、不正アクセス成功 |
| Medium(中) | 1時間以内 | Tier1で対応可 | 不審なプロセス、ポリシー違反 |
| Low(低) | 翌営業日 | — | 情報収集目的のスキャン |
インシデント対応プロセス
重大なインシデントが発生した場合の対応プロセスを整備します。ランサムウェア対応プレイブックなど、脅威別のプレイブックを整備しておくことが有効です。
- 検知(Detection):監視システムまたは報告によりインシデントを認知
- トリアージ(Triage):影響範囲と重要度を迅速に評価
- 封じ込め(Containment):被害拡大を防止するための措置
- 根絶(Eradication):マルウェアの除去、脆弱性の修正
- 復旧(Recovery):システムの復旧、業務再開
- 事後対応(Post-Incident):報告書作成、再発防止策の実施
- 封じ込めの判断
- ネットワーク遮断、端末隔離などの封じ込め措置は、事業への影響も大きいため、慎重な判断が必要です。「被害拡大のリスク」と「対応措置による事業影響」を比較し、最適な判断を下します。判断基準と権限を事前に明確にしておくことが重要です。
- 証拠保全との両立
- 封じ込めや復旧を急ぐあまり、証拠保全がおろそかになるケースがあります。法的対応や保険請求に備え、証拠保全と対応措置を両立させる手順を整備しておきます。
連携体制
CSIRT/SOCは単独で機能するものではなく、組織内外との連携が不可欠です。
- IT部門との連携
- システム復旧、パッチ適用などはIT部門の協力が必要です。平時から連携体制を構築し、インシデント時の役割分担を明確にしておきます。
- 経営層への報告
- 重大インシデントは経営判断を要します。報告基準、報告ルート、報告内容のテンプレートを整備し、迅速かつ的確な報告ができるようにします。経営層向けサイバーリスク管理で解説した経営層の役割と連携します。
- 外部機関との連携
- JPCERT/CCへの報告、警察への相談、業界ISACとの情報共有など、外部機関との連携も重要です。事前に連絡先と手順を確認しておきます。
ツール・技術基盤
必須ツール
CSIRT/SOCの運用に必要なツールを紹介します。
| ツールカテゴリ | 役割 | 代表的な製品 |
|---|---|---|
| SIEM | ログ収集・分析・相関分析 | Splunk、Microsoft Sentinel、Elastic SIEM |
| EDR/XDR | エンドポイントの監視・検知・対応 | CrowdStrike、SentinelOne、Microsoft Defender for Endpoint |
| チケット管理 | インシデント・タスク管理 | ServiceNow、Jira、TheHive |
| SOAR | 対応の自動化・オーケストレーション | Splunk SOAR、Palo Alto Cortex XSOAR |
| 脅威インテリジェンス | IOC、脅威情報の管理 | MISP、Recorded Future |
- SIEM(Security Information and Event Management)
- 各種ログを集約し、相関分析によって脅威を検知するプラットフォームです。SOCの中核となるツールですが、導入・運用には専門知識が必要です。ログソースの設計、検知ルールのチューニング、アラートの適正化などが継続的な課題となります。
- EDR/XDR
- エンドポイントの振る舞いを監視し、ファイルレスマルウェアなど従来のアンチウイルスでは検知困難な脅威を検出します。XDR(Extended Detection and Response)は、エンドポイントに加えてネットワーク、クラウドなど複数のレイヤーを統合監視します。
- チケット管理システム
- インシデントの進捗管理、タスク割り当て、履歴管理に使用します。後から振り返りや監査を行えるよう、対応履歴を確実に記録することが重要です。
脅威インテリジェンスの活用
外部の脅威情報を自組織の防御に活用します。
- 外部フィードの活用:商用・無料の脅威インテリジェンスフィードをSIEMやEDRに取り込み、既知の脅威を検知
- IOC(Indicators of Compromise)の管理:IPアドレス、ドメイン、ファイルハッシュなどの侵害指標を管理・活用
- MITRE ATT&CKの活用:業界標準・フレームワークとして、攻撃者の戦術・技術をマッピングし、検知カバレッジの評価に活用
成熟度向上と改善
成熟度評価
CSIRT/SOCの成熟度を評価し、改善の方向性を明確にします。
| 成熟度レベル | 特徴 | 改善の方向性 |
|---|---|---|
| レベル1:反応的 | インシデント発生後に対応、体制が未整備 | 基本的な監視体制の構築 |
| レベル2:定義済み | プロセスが文書化、基本的な監視を実施 | 自動化、検知能力の向上 |
| レベル3:管理 | KPIに基づく管理、継続的な監視 | 脅威インテリジェンスの活用、プロアクティブな対応 |
| レベル4:最適化 | 高度な自動化、脅威ハンティングを実施 | AIの活用、先進的な取り組み |
継続的改善
- KPIの設定と測定
- SOCの効果を測定するKPIを設定し、継続的にモニタリングします。
- MTTD(Mean Time to Detect):脅威の発生から検知までの平均時間
- MTTR(Mean Time to Respond):検知から対応完了までの平均時間
- 誤検知率:アラートに占める誤検知の割合
- カバレッジ:監視対象資産のカバー率
- インシデント振り返り
- インシデント対応後に振り返りを行い、検知の遅れ、対応の課題、プロセスの改善点を洗い出します。根本原因分析の手法を活用します。
- 訓練と演習
- 定期的な訓練・演習を通じて、チームのスキル向上と手順の検証を行います。机上演習、インシデント対応訓練、レッドチーム演習などを組み合わせます。
よくある質問
- Q: SOCを24時間体制にするには何人必要ですか?
- A: 最低でも5〜6人が必要です。24時間を3シフトでカバーし、休暇・研修を考慮すると、1シフトあたり2人×3シフト×1.3倍(余裕係数)で約8人が理想的です。ただし、中小企業では現実的でないため、夜間・休日はMDRサービスに委託するハイブリッドモデルが一般的です。コストと効果のバランスを考慮して体制を設計してください。
- Q: CSIRT/SOCを構築するのにどのくらいの予算が必要ですか?
- A: 体制規模により大きく異なります。内製SOCの場合、人件費(5人で年間5,000万円以上)、ツール費用(SIEM・EDR等で年間1,000万〜5,000万円)が主なコストです。MDRサービスを活用する場合は、月額数十万〜数百万円程度から利用可能です。組織規模とリスクに見合った投資レベルを検討してください。
- Q: セキュリティ人材がいない場合、どうやってCSIRTを立ち上げればよいですか?
- A: まずはMSSP/MDRサービスの活用から始めることを推奨します。外部サービスで監視・対応の基盤を確保しつつ、社内のIT担当者をセキュリティ分野に育成していきます。外部の研修や資格取得支援、CSIRTコミュニティへの参加なども有効です。段階的に内製化を進めることで、現実的な体制構築が可能です。
- Q: CSIRTとSOCは別々に作るべきですか?
- A: 組織の規模とリソースによります。大企業では別々の機能として構築することで専門性を高められますが、中堅以下の企業では統合した体制(CSOC)が効率的です。重要なのは、「監視」と「対応」の機能が確実に存在し、連携できることです。名称にこだわるよりも、実質的な機能の確保を優先してください。
- Q: 外部委託した場合、自社でやるべきことは何ですか?
- A: 外部委託しても、以下は自社の責任で行う必要があります。①重大インシデントの最終判断(身代金対応、公表判断等)、②ビジネス影響の評価、③社内外のステークホルダーへの説明、④セキュリティポリシーの策定・維持、⑤外部委託先の管理・評価。「丸投げ」ではなく、協働関係を構築することが成功の鍵です。
まとめ
CSIRT/SOCは、マルウェアをはじめとするサイバー脅威から組織を守るための専門チームです。構築のポイントを整理します。
- 役割を理解する:CSIRTは対応・調整、SOCは監視・検知を担う
- 体制を選択する:内製、外部委託、ハイブリッドから自社に適した形態を選ぶ
- 人材を確保・育成する:必要な役割とスキルを明確にし、計画的に人材を確保する
- プロセスを整備する:監視、対応、連携のプロセスを文書化し、訓練する
- ツールを活用する:SIEM、EDR等の技術基盤を整備する
- 継続的に改善する:KPIの測定と振り返りで成熟度を向上させる
組織的マルウェア対策や、マルウェア感染対策の全体像もあわせてご参照ください。
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- CSIRT/SOCの構築は、各組織の規模・業種・リスク特性に応じて設計してください。
- 外部サービスの選定は、十分な評価・比較を行ったうえで判断してください。
- 記載内容は作成時点の情報であり、製品・サービスの内容は変更される可能性があります。
更新履歴
- 初稿公開
