SOCとは、「Security Operation Center」の頭文字からなる言葉で、ネットワーク機器やサーバー、アプリケーションのログを監視、解析し、サイバー攻撃の兆候を早期に発見することを目的とした組織のことを指す。

例えば､IPアドレスやメールアドレスを詐称するなりすまし攻撃のように､巧妙なサイバー攻撃を正常なものと区別して対処することは難しく､高度な専門知識が必要とされる。こうした状況下で、情報システム部門がシステム運用の片手間で監視や分析を行うという対応は、もはや現実的ではなくなってきている。ネットワークトラフィックの増加で、分析すべきログの量も増大している。これらのさまざまな要因を背景に、サイバー攻撃の兆候を見抜き、防御を専門とするSOCの設置が企業で進んでいる。

一方で、セキュリティ対策を専任する組織として、CSIRT（Computer Security Incident Response Team）を設置する企業も増えている。SOCがサイバー攻撃の早期発見を主眼に置いているのに対し、CSIRTはサイバー攻撃などのセキュリティインシデントが発生した際に、必要な対策を迅速かつ確実に遂行することを目的とする。企業が持続的な成長を果たすために、SOCとCSIRTを連携させながら、セキュリティインシデントへの対応力を高める動きが進んでいる。

セキュリティ人材不足とSOC

SOCが担う業務は、ログの監視や分析にとどまらない。分析結果をレポーティングし、企業内で必要なセキュリティ対策の設計・立案などにも関与する。SOCが適切に機能すれば、企業のセキュリティ力を高めることにつながる。

近年、企業のSOC設置には高いハードルが横たわっている。SOCの運用で求められる、高度なセキュリティ知識・ノウハウを有するセキュリティ人材が国内で全般的に不足しているためだ。

このようなセキュリティ人材不足を背景に、SOCをアウトソースするという選択肢を視野に入れる企業も増えている。また、昨今の働き方改革の影響も同様に、SOCのアウトソースを後押しする結果となっている。いつ発生するかわからないサイバー攻撃に対し、防御側は24時間365日の監視体制が求められることが社内設置のハードルとなっているのだ。SOCの設置にあたっては、自社の置かれた環境や、情報資源の価値を考慮に入れながら、自社に最適な方法を選択することが求められている。