概要

SOC(Security Operations Center) はセキュリティイベントを24時間365日監視・分析・対応するための組織またはチームです。SIEM(Security Information and Event Management) は、多数のシステムからログを収集・正規化・相関分析してセキュリティ上の脅威を検知するソフトウェアです。SC試験では組織(SOC)とツール(SIEM)の役割の違いを混同しないことが重要です。

仕組みと動作原理

SOCの役割

機能説明
監視(Monitor)セキュリティイベントをリアルタイムに監視
検知(Detect)脅威・インシデントの発見
分析(Analyze)誤検知の排除・インシデントの深刻度判定(トリアージ)
対応(Respond)インシデント対応の調整・エスカレーション
改善(Improve)検知ルール・手順の継続的改善

SOC は内製(In-house SOC)の場合とMSSP(Managed Security Service Provider)に委託する場合があります。

SIEMの機能

機能説明
ログ収集FW・IDS/IPS・OS・アプリ等の多様なログを一元収集
正規化異なるフォーマットのログを統一形式に変換
相関分析複数のログイベントを組み合わせてパターン検出
アラート設定したルールに一致した場合にSOCへ通知
長期保存コンプライアンス・フォレンジクス用のログ保管

SIEMの相関分析の例

単一ログだけでは検知困難な攻撃をSIEMが相関分析で発見:

[ケース: 資格情報スプレー攻撃]
ログ1: A端末から認証サーバへのログイン失敗(user_1)
ログ2: A端末から認証サーバへのログイン失敗(user_2)
ログ3: A端末から認証サーバへのログイン失敗(user_3)
...
相関ルール: 「同一IPから5分以内に異なるアカウントへの失敗が10回以上」
→ アラート発報(資格情報スプレー攻撃の疑い)

SOAR(Security Orchestration, Automation and Response)

SIEMからのアラートに対する自動対応を実現するプラットフォームです。

SIEMSOAR
主機能検知・可視化対応の自動化・オーケストレーション
人間の介入アナリストが手動で対応プレイブックに従って自動実行
「マルウェア感染を検知してアラート」「感染端末を自動的にネットワーク隔離」

プレイブック(Playbook):インシデント種別ごとの対応手順をSOARで自動実行できる形式で定義したもの。

インシデント対応フロー(NIST SP 800-61)

準備(Preparation)
  → 検知・分析(Detection and Analysis)← SIEMが担う
    → 封じ込め・根絶・回復(Containment, Eradication, Recovery)
      → 事後活動(Post-Incident Activity)← フォレンジクスが担う

SC試験での頻出ポイント

  • SOC と SIEM の違い:SOC は組織・人、SIEM はツール。混同させる選択肢が多い
  • SIEM の相関分析の意義:個別ログでは検知困難な APT などの長期潜伏型攻撃を発見
  • ログ保管期間と法令:FISC・PCI DSS・不正競争防止法等での要件(1年以上保管が多い)
  • SOAR のプレイブック:手動対応を自動化することで MTTD(平均検知時間)・MTTR(平均復旧時間)を短縮
  • MSSPとの契約:SOCをアウトソースする際のSLA(可用性・応答時間)の定義

よくある誤問・ひっかけパターン

誤り① 「SIEMを導入すればインシデントに自動対応できる」→ 。SIEM は検知・アラートまで。自動対応には SOAR が必要です。

誤り② 「SOCはすべての企業が内製で持つべき」→ 。規模・コスト・専門人材の観点からMSSPへの委託も有力な選択肢です。

誤り③ 「ログを収集するだけで脅威を検知できる」→ 。収集したログに対して適切な相関ルールや分析なしには脅威を発見できません。

関連用語

重要キーワード

用語説明
SOCセキュリティイベントを監視・分析・対応する組織・チーム
SIEM複数ソースのログを収集・相関分析して脅威を検知するツール
SOARSIEMアラートへの対応を自動化するプラットフォーム
相関分析複数ログを組み合わせて単独では検知困難な攻撃を発見する手法
プレイブックSOARで自動実行するインシデント対応手順の定義
MSSPセキュリティ監視をアウトソースするマネージドセキュリティサービス会社