防御と運用
セキュリティオペレーションセンター(SOC)
別称: サイバー防御センター, CDC
定義
組織の IT 環境全体を 24 時間 365 日体制で監視し、サイバーインシデントの検知・調査・対応を継続的に行う集約型のチームおよび拠点。
セキュリティオペレーションセンターは、防御的サイバーセキュリティの中枢であり、人・プロセス・技術を組み合わせて、エンドポイント、ネットワーク、ID 基盤、クラウドワークロード、アプリケーションを 24 時間 365 日体制で監視します。アナリストは T1(トリアージ)・T2(調査)・T3(ハンティング/検知エンジニアリング)に階層化され、SIEM・EDR・NDR・SOAR を組み合わせてテレメトリを相関分析し、アラートを検証し、脅威を封じ込め、インシデント対応を調整します。SOC は MTTD、MTTR、滞留時間などの主要な運用指標を担い、検知エンジニアリング、脅威インテリジェンス、ポストインシデントレビューを通じて継続的に改善します。SOC は内製、ハイブリッド、または MDR サービスとしてアウトソースされる場合があります。
例
- 毎秒 5 万件のイベントを Splunk に取り込み、EDR 検知を 15 分以内にトリアージするエンタープライズ SOC。
- 複数テナントの AWS CloudTrail、Azure AD、Microsoft Defender を監視するマネージド SOC。
関連用語
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
SOAR
検知・エンリッチメント・対応アクションをプレイブックとして連結し、複数のセキュリティツール上で実行することで SOC のワークフローを自動化・オーケストレーションするプラットフォーム。
EDR(エンドポイント検知・対応)
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
インシデントレスポンス
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。
Threat Hunting
Threat Hunting — definition coming soon.
Mean Time to Detect (MTTD)
Mean Time to Detect (MTTD) — definition coming soon.