📌 結論から理解する
CSIRT=「事故対応チーム」、SOC=「24時間監視センター」
CSIRT(Computer Security Incident Response Team)はセキュリティインシデント発生時に対応する専門チームです。
SOC(Security Operation Center)は常時ネットワークやシステムを監視し、脅威を早期発見する組織です。
CSIRTとSOCの役割の違い
| 比較 | CSIRT | SOC |
|---|---|---|
| 主な役割 | インシデント対応・指揮 | 常時監視・早期検知 |
| 活動のタイミング | インシデント発生時 | 24時間365日常時 |
| メンバー | 社内横断チーム(IT・法務・広報など) | セキュリティ専門アナリスト |
| 関係 | SOCが検知→CSIRTへエスカレーション→CSIRT対応 | |
CSIRTの活動内容
インシデント発生前
- 対応手順書の整備
- 訓練・演習
- 脆弱性情報の収集
- セキュリティ教育
インシデント発生時
- 初動対応の指揮
- 影響範囲の特定
- 経営層・関係者への報告
- 外部機関との連携
関連機関・組織
JPCERT/CC
日本のサイバーセキュリティインシデント対応調整機関。脆弱性情報の収集・公開、インシデント対応支援
IPA
情報処理推進機構。試験実施機関でもあり、セキュリティ情報・ガイドラインを提供
警察
サイバー犯罪として被害届・告訴が必要な場合は警察へ相談
SIEM(セキュリティ情報・イベント管理)
SIEM(Security Information and Event Management)は、複数のシステムのログ・イベントを一元的に収集・分析し、脅威を自動で検知するシステムです。
- SOCで使われる中核ツール
- 大量のログから不審なパターンを自動検知
- 相関分析(複数ログを組み合わせて攻撃を特定)
SIEM=ログ収集・相関分析・自動アラート。SOCの「目」として機能する。
🧠 確認クイズ
Q1. CSIRTの主な役割として正しいのは?
Q2. JPCERT/CCの説明として正しいのは?
Q3. SIEMの機能として最も適切なのは?