本文へ移動します

SBTのスベテ

SOC アナリストってそもそも何してるの?

阿部 巧

阿部 巧

こんにちは。
SOC アナリストの阿部 巧です。

今回は、『SOC アナリスト』の仕事内容についてお話したいと思います。

当社のご提供する 「マネージドセキュリティサービス」資料請求・お問い合わせはこちら


SOC とは

そもそも、SOC とは一体何の略かご存知でしょうか。
SOC とは、Security Operation Center の略です。(以下、SOC)

SOC では日々、さまざまな「モノ」を監視しています。 プロキシやファイアウォールのログ、エンドポイント(例えば、社員一人一人が利用するパソコンやスマホ)の通信ログや操作ログを24時間365日リアルタイムで監視しています。 また、外部に公開されているサイトへのアクセスを監視している場合もあります。


SOC での働き方とは

SOC とは、のところでも触れましたが、24時間365日の業務の為、シフト制になっています。
日勤と夜勤を日単位で組み合わせて働くのが基本です。
平日に休みがとれたりするので、土日混んでいる観光スポットに平日空いているタイミングで遊びに行けます。


サイバー攻撃が来た時に SOC アナリストが考えることとは!

では、実際に SOC アナリストがサイバー攻撃を受けた時にどう判断し、対応するのかを説明したいと思います。

まず、SOC アナリストが攻撃にどう気づくのかですが、SOC アナリストは、さまざまなログを収集し分析を行うツールを用いて監視を行っています。
そのツールから発報されるアラート内容を分析するのが SOC アナリストの仕事になります。

SIEM
例えば、とあるアプリケーションサーバーについての脆弱性が世間に公開され、その脆弱性を突くことができるエクスプロイトコード(攻撃コード)も公開されたとしましょう。
攻撃者は、公開されたエクスプロイトコードを用いて、実際に攻撃を実施してきます。
その攻撃が SOC で監視している環境内で検知した場合、SOC アナリストは以下のようなことを考えます。

  • 実際に攻撃を受けているシステムにその脆弱性が存在するのかどうか
  • 検知した通信パケット内に外部へ通信させるようなコードがあるか
    →あった場合外部への通信が発生しているかも併せて確認する
  • 検知した機器以外でも、アラート等が発報されていないか

上記のようなことを考え、分析し、最終的にそのアラート内容がお客様にとって「白か黒か」の判断を下します。
大事なのは、「グレー」判断は決してしないということです。
ただ、分析するアラートは日々大量にあるため、判断を下すまであまり時間をかけられないというのが現状です。私も SOC アナリストになった時、この「白か黒か」の判断を下せるようになるまで非常に時間がかかりました。
慣れてくると今まで1時間くらいかけて判断していたものが10分から15分くらいで判断できるようになりました。


SOC アナリストに必要なこととは?

いつも SOC アナリストを目指す人に聞いている質問があります。それは、セキュリティが「好きかどうか」です。
正直セキュリティの仕事は非常に地味な業務がほとんどです。
この仕事を続けるために必要なことは、私は資格よりもまずは「好きかどうか」だと思っています。
※もちろん資格も大事ですけどね!笑

ではでは。

当社のご提供する 「マネージドセキュリティサービス」資料請求・お問い合わせはこちら


お問い合わせ

製品・サービスに関するお問い合わせはお気軽にご相談ください。

ピックアップ

セミナー情報
クラウドエンジニアブログ
NOZ
メールマガジン登録