SOCやMDRが監視し、CRISTが対処します。
SOC(Security Operation Center)とは、24時間365日体制でネットワークやデバイスを監視し、サイバー攻撃を検出・分析し、対応策をアドバイスする組織です。
ネットワークやデバイスのログ収集・分析によるセキュリティ脅威の監視は、従来はネットワーク担当者やシステム管理者が行うのが一般的でした。
しかし、セキュリティリスクの高まりと対応に求められる高度な専門性から、専門チームを設置するようになったのです。
一方CRIST(Computer Security Incident Response Team)とは、セキュリティインシデント発生時に、適切かつ迅速に対処する組織です。
CRISTは活動の一環として、しばしばインシデントの原因究明、影響範囲の調査なども実施します。
なお近年は、高度なセキュリティ機器の導入と専門人材の確保が難しいため、MDR(Managed Detection and Response)と呼ばれる脅威検知と対応のアウトソーシングサービスを利用する企業も増えています。
MDRは、企業内に設置したセキュリティ機器の管理・運用、インシデント発生時の1次・2次対応をその企業に代わって実施します。
SOCとCRISTは、互いに補完関係にあります。
SOCとCRISTは、互いに補完関係にあります。
つまり、ネットワークやデバイスのログ収集・分析によるセキュリティ脅威を監視するSOCが発見したセキュリティインシデントは、CRISTに報告されて迅速に対処されます。
と同時に、報告されたセキュリティインシデントは、CISOやCTOなどの経営層、CSRや広報などの他の事業部などに共有されることになります。