対象試験と出題頻度
SOC(セキュリティオペレーションセンター)は、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者のすべてで出題される重要テーマです。
CSIRTとの違いを正確に理解しておくことが、得点のカギになります。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★☆
ランクA(重要)必ず覚えておくべき
用語の定義
SOC(Security Operation Center:セキュリティオペレーションセンター)とは、一言で言うと「24時間365日体制でシステムやネットワークを監視し、セキュリティ上の脅威を検知・分析する組織」のことです。
イメージとしては、「ビルの警備室」のようなものです。
警備員が監視カメラの映像を24時間チェックして、不審者を見つけたらすぐに警報を鳴らす。SOCは、情報セキュリティの世界でこうした「見張り番」の役割を担う専門組織です。
情報処理試験を勉強していると、「SOCとCSIRTって何が違うの?」という疑問が浮かびがちです。この2つは試験で頻出の比較ポイントなので、違いを明確に押さえておきましょう。結論から言うと、SOCは「監視・検知」、CSIRTは「対応・復旧」を担当します。
📊 SOCの基本情報
| 項目 | 内容 |
|---|---|
| 正式名称 | Security Operation Center |
| 読み方 | ソック、エスオーシー |
| 主な役割 | セキュリティ監視、脅威検知、ログ分析、アラート発報 |
| 稼働形態 | 24時間365日の常時監視 |
解説
SOCは、組織のシステムやネットワークをリアルタイムで監視し、サイバー攻撃や不正アクセスなどの脅威をいち早く検知する専門組織です。「セキュリティの司令塔」とも呼ばれ、組織の情報資産を守る最前線に位置しています。
SOCの主な機能
SOCは、単に画面を眺めているだけではありません。高度なツールや専門知識を駆使して、以下のような活動を行っています。
📊 SOCの主な機能
| 機能 | 内容 |
|---|---|
| ログ監視・収集 | ファイアウォール、IDS/IPS、サーバーなどからログを収集し、常時監視 |
| 脅威検知・分析 | 収集したログを分析し、不審な活動やサイバー攻撃の兆候を検知 |
| アラート発報 | 脅威を検知した場合、関係者やCSIRTに速やかに通知 |
| レポート作成 | 監視状況や検知した脅威に関する報告書を作成 |
SOCが使用する主なツール
SOCでは、効率的に監視・分析を行うために、さまざまなセキュリティツールを活用しています。試験で細かく問われることは少ないですが、代表的なツールを知っておくと理解が深まります。
💡 SOCで使用される主なツール
SIEM(シーム):Security Information and Event Managementの略。複数のログを一元管理し、相関分析を行うツール
IDS/IPS:侵入検知システム/侵入防止システム。不正アクセスを検知・遮断
EDR:Endpoint Detection and Response。端末(PC等)の挙動を監視し、脅威を検知
ファイアウォール:ネットワーク境界で通信を監視・制御
SOCとCSIRTの違い(試験頻出!)
「SOCとCSIRTの違いがわからない…」という声をよく聞きます。試験では必ずと言っていいほど問われるポイントなので、ここでしっかり整理しておきましょう。
📊 SOCとCSIRTの比較
| 項目 | SOC | CSIRT |
|---|---|---|
| 主な役割 | セキュリティ監視・検知 | インシデント対応・復旧 |
| 活動のタイミング | 24時間365日の常時監視 | インシデント発生時に本格稼働 |
| 具体的な活動 | ログ監視、脅威検知、アラート発報 | 被害最小化、原因調査、再発防止 |
| キーワード | 監視、検知、分析 | 対応、復旧、再発防止 |
| 例え | 警備員(不審者を監視) | 消防団(火事に対応) |
両者の関係を一言で表すと、「SOCが異常を見つけて、CSIRTに連絡し、CSIRTが対応する」という連携関係にあります。SOCは「発見」、CSIRTは「対処」と覚えておけば、試験で迷うことはありません。
📌 試験での覚え方
SOC:Security Operation Center → 「運用」=常時監視が仕事
CSIRT:Computer Security Incident Response Team → 「対応」=インシデント対応が仕事
名前に含まれる単語(Operation/Response)が、そのまま役割を表しています。
SOCの運用形態
SOCには、自社で運営する形態と、外部の専門業者に委託する形態があります。
📝 SOCの運用形態
自社SOC(インハウスSOC):自社内にSOCを設置し、自社のスタッフで運営する。コストは高いが、自社の状況に合わせた対応が可能
外部委託SOC(マネージドSOC):セキュリティベンダーにSOC業務を委託する。専門知識を持つベンダーに任せられるが、委託コストがかかる
中小企業では24時間体制のSOCを自社で持つことが難しいため、外部委託(マネージドSOC)を利用するケースが増えています。試験ではこうした運用形態の詳細は問われませんが、「SOCは外部に委託することもできる」という点は知っておくとよいでしょう。
⚠️ 実務でのポイント
SOCの運用には、高度な専門知識を持つ人材と、24時間体制を維持するためのシフト勤務体制が必要です。また、SIEMなどの監視ツールの導入・運用コストも発生します。
そのため、大企業や重要インフラ企業以外では、外部のマネージドSOCサービスを利用することが現実的な選択肢となっています。試験ではここまで詳しく問われることは稀ですが、実務を見据えて覚えておくと役立ちます。
試験ではこう出る!
SOCは、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者のすべてで頻出です。以下のポイントを確実に押さえておきましょう。
【頻出キーワード】
- Security Operation Center(読み:ソック、エスオーシー)
- 24時間365日体制でセキュリティを監視
- ログ監視、脅威検知、アラート発報が主な役割
- SOCは「監視・検知」、CSIRTは「対応・復旧」
- SIEMなどの監視ツールを活用
試験問題で「24時間体制でシステムを監視し、セキュリティ上の脅威を検知する組織」や「ログを収集・分析して不審な活動を発見する組織」といった記述があれば、それは「SOC」に関する記述です。
📝 IPA試験での出題パターン
SOCの問題は、「SOCの役割として適切なものを選べ」「SOCとCSIRTの違いとして適切なものを選べ」といった形式が多いです。「監視」「検知」というキーワードが出てきたらSOC、「対応」「復旧」というキーワードが出てきたらCSIRTと判断すれば正解にたどり着けます。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. SOC(セキュリティオペレーションセンター)に関する説明として、最も適切なものはどれでしょうか?
- A. 24時間365日体制でシステムやネットワークを監視し、セキュリティ上の脅威を検知・分析する組織
- B. セキュリティインシデントが発生した際に、被害の最小化と原因調査、再発防止を担当する専門チーム
- C. 組織の情報セキュリティ方針を策定し、全社的なセキュリティ戦略を決定する経営層の委員会
正解と解説を見る
正解:A
解説:
SOC(Security Operation Center:セキュリティオペレーションセンター)は、24時間365日体制でシステムやネットワークを監視し、セキュリティ上の脅威を検知・分析する組織です。ファイアウォールやIDS/IPSなどからログを収集し、SIEMなどのツールを使って分析を行い、不審な活動を発見した場合はアラートを発報してCSIRTなどに連絡します。
選択肢Bは「CSIRT(シーサート)」の説明です。CSIRTはインシデント発生時に対応を行い、被害の最小化と再発防止を担当します。SOCが「監視・検知」、CSIRTが「対応・復旧」という役割分担を覚えておきましょう。選択肢Cは「情報セキュリティ委員会」などの説明であり、SOCとは異なる組織です。
