何かのシステムにぜい弱性が見つかったというニュースや、サイバー攻撃を受けたというニュースを聞いたことがあるでしょう。そんなセキュリティを保つために必要な組織がCSIRTやSOCです。会社の中でも情報システム部門などのコンピューターに直接かかわる部署で使う言葉なので、あまりなじみがないかもしれませんね。

ですが、現代は様々な分野でコンピューターを使っており、そのセキュリティは重要な問題です。そんなCSIRTやSOCについて、長年会社内の業務システムでセキュリティに関わってきたプログラマでもあるライターのwoinaryと一緒に解説していきます。

ライター/woinary

某社で社内向け業務システムの開発、運用を30年近くやっていたシステム屋さん。現在はフリーランス。セキュリティ関連の資格も持つ。ガジェットやゲーム、ラノベが大好きなおっさん。

どちらもセキュリティに関係するが、役割が違うCSIRTとSOC

image by iStockphoto

生活に欠かせないインターネットを使った各種のサービス。SNSや動画などの娯楽関係はもちろん、今や会社内や会社間でも広く使われています。そのインターネットの特徴は誰でも自由に使えること。しかし、そのために悪意を持った犯罪者もインターネットを使うことができます。

実際、サイバー攻撃やコンピューターウィルス、ランサムウェアなどの話題がニュースを賑わすことがありますよね。ランサムウェアによって病院内のコンピューターシステムが使えなくなり、診療ができなくなった事件もありました。そんなセキュリティに関係した組織がCSIRTやSOCです。

SOC:セキュリティの問題がないか日々監視する

SOCとは「Security Operation Center」の略で、日本語ではセキュリティ運用センターのこと。もともとコンピューターシステムが日々問題なく動いているかを監視する運用センター(OC)という組織がありましたが、その中でもセキュリティを専門で扱います

その役割はコンピューターシステムに対するセキュリティ攻撃がないかを監視すること。いつ攻撃があるかわからないため、通常は24時間365日、コンピューターシステムが動いているときは常に監視をしています。

CSIRT:見つかったセキュリティ問題に対して対応する

一方のCSIRTは実際にセキュリティ攻撃があったときに、それをどう防ぐかを考え、実行する組織です。「Computer Security Incident Response Team」の略で、日本語にするとコンピューターセキュリティ問題対応チームとなります。CIRTや、CERTなどと呼ばれることも。

また他にも、世界中のサイバー攻撃やぜい弱性の情報を共有して、会社内の実際にコンピューターシステムを作っている部署に伝えることや、それらのコンピューターシステムにセキュリティ上の問題がないか調べることもあります。

対応と監視?SOCとCSIRTの役割の違い

image by iStockphoto

最初にざっくり説明した通り、SOCは監視、CSIRTは対応という役割分担。それぞれの内容についてもう少し詳しく説明していきます。

\次のページで「SOCは見張り?セキュリティ攻撃がないか監視」を解説!/

SOCは見張り?セキュリティ攻撃がないか監視

広く一般の利用者が使うサービスや、大きな会社内の業務に使うシステムは、それらのコンピューターシステムが正常に動いているかどうかを常に監視していることが多いです。例えば、世界中の人が利用するSNSサービスなども、問題がないかをずっと監視しています。もちろん、人がじっと見ているわけではなく、問題なく動作しているかを監視するコンピューターが別にいるわけです。

監視するものは様々な情報ですが、その中でもサイバー攻撃があるかどうかを監視しているのがSOCサイバー攻撃はそれと分からないように、まるで忍者のように忍び込んでくるため、それを見つけるためには専門の技術や知識が必要になります。

CSIRTは対応、対策?攻撃を防ぎ、予防もする

SOCでサイバー攻撃を見つけると、攻撃を防いで撃退する必要がありますよね。それをするのがCSIRTです。例えば、侵入経路を塞ぐことや、または情報を盗み出されないようにコンピューターシステムを停めるといった対応をします。

また予防もCSIRTの仕事です。普段からサイバー攻撃の情報や侵入に利用されるようなぜい弱性の情報を世界中と共有し、対応が必要なものは作っている部門に対応方法とともに伝えます。実際に攻撃される前に対処できた方がよいので、このような予防やそのための情報交換も重要な仕事です。

必ずしも別の組織とは限らない

ここまでSOCとCSIRTという組織とその役割を説明しました。しかし、実際には必ずしも別の組織とは限りません。セキュリティの各種問題に対応するため、一つの組織となっていることもあります。ただ、その場合でもチームや役割が分かれていることは多いです。

重要なのは、SOCやCSIRTという役割があり、どちらか一方だけでは不十分であること。車輪の両輪のように、どちらの役割も重要だということです。

実際はどう?SOCとCSIRTの現実

image by iStockphoto

SOCとCSIRTはそれぞれ役割があり、どちらも重要であることを説明してきました。しかし、実際にはなかなか理想通りにはいかないもの。そんなSOCやCSIRTに関する現実を見ていきます。

その1.役割はあっても組織があるとは限らない

SOCやCSIRTは重要で、そのためにきちんと組織を作って対応している会社もあります。一方、なかなか組織をきっちりつくるところまではいけない会社も。例えば、大きなコンピューターシステムはセキュリティ以外でも日々正常に動いているかを監視しています。そのような仕事を運用と呼びますが、運用チームがSOCを兼ねていることは多いです。

CSIRTについても専業で情報を共有し、関係部署と連携できるのが理想。しかし、現実には既存の部署の仕事とかけもちのことも多いです。このように、重要なことはわかっていても、専門の組織ではないことも。また組織はあってもかけもちであることも多いのが現実です。

\次のページで「その2.きれいに役割を分けているとは限らない」を解説!/

その2.きれいに役割を分けているとは限らない

SOCとCSIRTは別の役割。本来は役割が違うので別の組織になっていることが望ましいものです。しかし、現実には同じセキュリティに関する組織だからとひとまとめになることも。ひとまとめにならない場合でも、役割の線引きは難しいところです。

例えばSOCは通常、24時間365日監視をしていますが、CSIRTは常に待機しているとは限りません。SOCで監視してサイバー攻撃を発見しても、すぐに対応できないのでは意味がありませんよね。そうなると、最初の対応はSOCの方が早くできますCSIRTでは攻撃があったらどう対応するかを決めておき、実際にそれを行うのはSOCや運用チームということが多いです。

その3.専門家不足?セキュリティの高度な知識が必要

最初に触れたとおり、サイバー攻撃は通常の利用に紛れてこっそりとやってきます。また、日々新しい技術が生まれますし、新しいサービスには新しいぜい弱性があるかもしれません。そのため、常に新しい情報や知識が必要

つまりセキュリティの専門家は高度な知識と、それを日々アップデートする努力が必要。そのため、専門家が不足しがちです。人が少ないのでかけもちになることも多いですが、かけもちでは十分な知識を得るのも難しい。そのため重要性は理解していてもなかなか専門の人材を確保できないのが現実です。

セキュリティ対策は今後必須、しかし人材不足がネック

コンピューターを使ったシステムの重要性が増す中、それを守るセキュリティも重要です。とくに最近では軍事力を使わない戦争としてのサイバー攻撃も注目されています。SNSがちょっと使えなくなっても生活が困るわけではありませんが、会社内や会社間のコンピューターシステムが止まったり、大事な情報が漏れてしまったら大変です。

そんなセキュリティを守るためにも重要なのがSOCやCSIRTSOCは監視、CSIRTは対応と役割は異なりますが、どちらか一方だけでよいものではありません。ただ、専門の知識が必要であるのに、その専門家が少ないのが問題になっています。看板だけでは意味がないため、セキュリティ人材を育成することが重要ですね。

" /> 簡単でわかりやすい!SOCとCSIRTの違いとは?監視と予防・対策?役割や問題点もプログラマーが詳しく解説 – Study-Z
IT・プログラミング雑学

簡単でわかりやすい!SOCとCSIRTの違いとは?監視と予防・対策?役割や問題点もプログラマーが詳しく解説

何かのシステムにぜい弱性が見つかったというニュースや、サイバー攻撃を受けたというニュースを聞いたことがあるでしょう。そんなセキュリティを保つために必要な組織がCSIRTやSOCです。会社の中でも情報システム部門などのコンピューターに直接かかわる部署で使う言葉なので、あまりなじみがないかもしれませんね。

ですが、現代は様々な分野でコンピューターを使っており、そのセキュリティは重要な問題です。そんなCSIRTやSOCについて、長年会社内の業務システムでセキュリティに関わってきたプログラマでもあるライターのwoinaryと一緒に解説していきます。

ライター/woinary

某社で社内向け業務システムの開発、運用を30年近くやっていたシステム屋さん。現在はフリーランス。セキュリティ関連の資格も持つ。ガジェットやゲーム、ラノベが大好きなおっさん。

どちらもセキュリティに関係するが、役割が違うCSIRTとSOC

image by iStockphoto

生活に欠かせないインターネットを使った各種のサービス。SNSや動画などの娯楽関係はもちろん、今や会社内や会社間でも広く使われています。そのインターネットの特徴は誰でも自由に使えること。しかし、そのために悪意を持った犯罪者もインターネットを使うことができます。

実際、サイバー攻撃やコンピューターウィルス、ランサムウェアなどの話題がニュースを賑わすことがありますよね。ランサムウェアによって病院内のコンピューターシステムが使えなくなり、診療ができなくなった事件もありました。そんなセキュリティに関係した組織がCSIRTやSOCです。

SOC:セキュリティの問題がないか日々監視する

SOCとは「Security Operation Center」の略で、日本語ではセキュリティ運用センターのこと。もともとコンピューターシステムが日々問題なく動いているかを監視する運用センター(OC)という組織がありましたが、その中でもセキュリティを専門で扱います

その役割はコンピューターシステムに対するセキュリティ攻撃がないかを監視すること。いつ攻撃があるかわからないため、通常は24時間365日、コンピューターシステムが動いているときは常に監視をしています。

CSIRT:見つかったセキュリティ問題に対して対応する

一方のCSIRTは実際にセキュリティ攻撃があったときに、それをどう防ぐかを考え、実行する組織です。「Computer Security Incident Response Team」の略で、日本語にするとコンピューターセキュリティ問題対応チームとなります。CIRTや、CERTなどと呼ばれることも。

また他にも、世界中のサイバー攻撃やぜい弱性の情報を共有して、会社内の実際にコンピューターシステムを作っている部署に伝えることや、それらのコンピューターシステムにセキュリティ上の問題がないか調べることもあります。

対応と監視?SOCとCSIRTの役割の違い

image by iStockphoto

最初にざっくり説明した通り、SOCは監視、CSIRTは対応という役割分担。それぞれの内容についてもう少し詳しく説明していきます。

\次のページで「SOCは見張り?セキュリティ攻撃がないか監視」を解説!/

次のページを読む
1 2 3
Share: