セキュリティに関する組織体制
こんばんは
本日はセキュリティに関する組織体制について調査しました。
セキュリティに関する組織体制
以前はセキュリティインシデントの観点からセキュリティの知識を深めようと調査していたのですが、観点を変えて企業体制の観点から調査してみました。
体制抜粋*1
上記体制を見ると真っ先にCSIRTとSOCの役割の差はなんだ?となりますね。 以下の通りです。
SOCとの違い
CSIRTと似たような組織に「SOC(ソック)」というものがあります。SOCとは「Security Operation Center(セキュリティオペレーションセンター」の略です。SOCは企業内において情報システムの脅威の監視や分析を行うための組織のことです。 SOCではファイアウォールや侵入検知システムなどのセキュリティ機器やネットワーク機器のログを監視し、分析によりインシデントの発見や特定、連絡などを行います。インシデントの影響範囲を調査し、想定されたリスクや指標に基づいてインシデントの評価を行います。
SOCもCSIRTと同じくセキュリティ関連の組織ですが、CSIRTとは異なる点があります。CSIRTとはインシデントが発生した時の対応に重点が置かれており、SOCは脅威となるインシデントの検知に重点が置かれているという点です。
CSIRTのほうが経営よりなので、SOCと比較して経営よりな気がします。 おそらく、両者の役割自体が似通っているので、権限の強さ的にCSIRTがセキュリティの企画検討を行い、SOCはその決定に準じてオペレーションを行うのみ。 結果、SOCに所属していてはスキルが身につかずにますますCSIRTの言いなり文化になってしまうような。そんなイメージを持ちました。(あくまで妄想なので実態はわかりません)
決められたオペレーションや定常的な作業を繰り返すことが多い運用チームは、得てしてスキルが伸び悩むんですよね。 結局、頭ひねって考えたり実現するために手を動かすところが一番勉強できる。
ということで、将来CSIRTの一員となって組織をセキュリティから守ってくれ。と無茶振りされても大丈夫なように、 引き続き調査を進めていこうと思います。
~おしまい~