SOC(セキュリティオペレーションセンター)

SOCは『Security Operation Center（セキュリティオペレーションセンター）』の略で、組織のネットワーク・端末・クラウドサービスを24時間365日監視し、サイバー攻撃の兆候を検知・分析・対応する専門組織です。システム（SIEM・EDR・IDS等）とアナリスト（人間）の両輪で成り立っており、アラートのトリアージ・インシデント判定・初動対応・報告書作成までを一貫して担います。

典型的な役割は3階層に分かれます。①『Tier1アナリスト』は一次切り分けと偽陽性除外、②『Tier2アナリスト』は深掘り調査と攻撃手法の特定、③『Tier3（脅威ハンター）』は未検知の攻撃を能動的に探索、といった具合です。加えて、インシデントレスポンス担当・脅威インテリジェンス担当・SOARエンジニアなども連携し、組織ごとの規模と成熟度に応じた体制を組みます。

自前で24時間SOCを構えるには人件費・教育・設備が大きな負担になるため、中堅以下の企業では『MSSP（Managed Security Service Provider）』や『MDRサービス』にアウトソースするケースが一般的です。この場合、社内には最低限のセキュリティ窓口担当を置き、重大インシデント発生時の意思決定と社内調整に集中する設計になります。

成熟したSOCは『KPI』で価値を示します。平均検知時間（MTTD）・平均対応時間（MTTR）・偽陽性率・重大インシデント見逃しゼロ件継続日数・演習実施回数などが代表的指標で、これらを定量的に改善していくことで、経営層にROIを説明しやすくなります。いずれにせよ、SOCはITセキュリティの『現場最前線』であり、どれほど優れた検知基盤を入れても、見て・判断し・動く人がいなければ意味をなしません。