SOCそっく

SOC（Security Operation Center、ソック）は、情報じょうほうシステムを 24 時間じかん 365 日にち体制たいせいで監視かんしし、攻撃こうげきの兆候ちょうこうをいち早はやく見みつけて分析ぶんせきする組織そしき・施設しせつです。常つねに見張みはる「監視かんしセンター」の役割やくわりで、事故じこ対応たいおうを担になう CSIRT とは役割やくわりが分わかれます。

観点かんてん	SOC	CSIRT
主おもな役割やくわり	常時じょうじ監視かんし・検知けんち・分析ぶんせき	事故じこ発生はっせい後ごの対応たいおう・復旧ふっきゅう
活動かつどう時間じかん	24時間じかん365日にちが基本きほん	事故じこ発生はっせい時じに始動しどう
使つかう道具どうぐ	SIEM・EDR等	分析ぶんせき・封ふうじ込こめ手順てじゅん

たとえば SOC が SIEM のアラートから「特定とくていサーバへの不審ふしんなアクセス集中しゅうちゅう」を検知けんちすると、本物ほんものの攻撃こうげきか分析ぶんせきし、本格ほんかく的てきな事故じこと判断はんだんされれば CSIRT へ引ひき継つぎます。自社じしゃで構かまえる形かたちと、外部がいぶの専門せんもん事業じぎょう者しゃ（MSSP）に委託いたくする形かたちがあります。

試験しけんでは SOC（監視かんし・検知けんち）と CSIRT（事故じこ対応たいおう）の役割やくわり分担ぶんたんが問とわれます。「SOC が見みつけて CSIRT が対処たいしょする」という連携れんけいを押おさえましょう。