同じくセキュリティ関連の組織であるCSIRTとの違いについてここでは触れます。
SOC(Security Operation Center)とはセキュリティデバイスやサーバのログを監視し、インシデントを発見する組織の総称。危険がないかを常時監視する「警備員」の役割を担います。一方のCSIRT(Computer Security Incident Response Team)はインシデントの対応を行う組織の総称。危険が発生した時に活動する「火消し役」です。
参考資料:CSIRT/SOCは標的型サイバー攻撃の有力な“砦” 効果を最大化する構築・運用のポイントとは
要するに、SOCは適切な運用とセキュリティ上の監視にあたる組織であり、CSIRTはセキュリティ事故が発生した時に緊急の対応にあたる組織であると言えます。また、CSIRTは再発防止策の提示まで行います。SOC同様、CSIRTもその重要性の認識は高まってきており、多くの企業で導入がなされるようになりました。政府組織でも、内閣サイバーセキュリティセンター内の緊急対応支援チーム(NIRT:National Incident Response Team)はCSIRTとして設立されています。
SOC、CSIRTという専門性の高い領域においては、コストや組織・技術的な観点からまだ多くの課題が存在します。トレンドマイクロの佐山享史氏は「体制の構築がゴールではないが、CSIRTを設置することで、外部CSIRTと情報共有できるなどのメリットがある。一方、SOCの目的はインシデントを発見する機能を作ること。いずれも『効果の可視化』に向けた指標づくりや経営陣との合意形成により適切な運用が可能になるだろう」と述べています。
今後ますます高度化を見せることが予想されるサイバー攻撃において、適切な対策の導入をよく検討し、高い技術力を持った信頼できる技術者集団に任せるのも一つの手だと言えるでしょう。