セキュリティエンジニアからキャリアアップ転職できる職種のひとつにSOC (セキュリティ オペレーション センター) アナリストがあります。ここでは、SOCアナリストの仕事内容や必要なスキルなどについてまとめました。
SOCアナリストとは
SOCアナリストは、サイバーセキュリティの監視・対応を行い、組織をサイバー攻撃から守る専門職です。ネットワーク機器やセキュリティ製品を24時間365日、リアルタイムで監視して、サイバー攻撃や脅威の検出・検知、ログ分析を行います。検出したインシデントに対しては迅速に対応しなければいけません。組織全体のデジタルアセットを保護することが目的で、監視範囲は幅広く、ネットワークインフラストラクチャ、クラウドリソース、エンドポイントデバイス(サーバー、パソコン、タブレット、スマートフォンなど)、業務システム、データベース、そしてWebサイトなどをカバーします。
また、新たな脅威情報を収集し、組織全体のセキュリティポリシー策定や対策改善を行うこともSOCアナリストの仕事です。他の部門やサードパーティのITセキュリティプロバイダーと協力して業務を行います。
SOCは、こうした包括的なセキュリティ体制を維持する専門チームのこと。オペレーションセンターにアナリストが常駐して業務を行うのが一般的ですが、最近は在宅やリモート環境で運営している会社もあります。
SOCアナリストの年収
jobtagによるとSOCアナリストの年収は、420万円~1086万円(※1)でした。スキルによって幅があります。セキュリティエンジニアの平均年収は473万円程(※2)です。経験やスキル次第では、一般的なセキュリティエンジニアよりも高い年収を得られる可能性があります。
(※1)参照元:jobtag( https://shigoto.mhlw.go.jp/User/Occupation/Detail/321)2024年9月17日調査時点
(※2)参照元:求人ボックス(https://求人ボックス.com/セキュリティエンジニアの年収・時給)2024年9月17日調査時点
SOCアナリストの仕事内容
SOCアナリストの仕事は、主に次のようなものがあります。
- サイバー攻撃の検知・分析
- システムの監視・ログ分析
- インシデント対応と復旧
- チーム・組織内の調整
- セキュリティポリシーの策定と実施
重要な仕事は、サイバー攻撃を早期に検知して分析することです。攻撃が検出された場合は、迅速に分析し、適切な対応を決定する必要があります。サイバー攻撃を検知するためには、常時監視を行わなければいけません。監視のログはデータとして集約します。そのログを分析することもSOCの重要な仕事です。
セキュリティインシデントが発生すると、被害を最小限に抑えるために一次対応を行います。また、インシデント後は、レビューを通じて、セキュリティ強化策の策定にもつなげます。
SOCが必要とされる背景
標的型メールやランサムウェアといったサプライチェーン攻撃の被害が年々増加していることが、SOCが必要とされる背景にあります。経済産業省では、2023年に「サイバーセキュリティ経営ガイドライン」を改訂。サイバーセキュリティ対象の変化・拡大やサプライチェーン全体を通じた対策の推進の必要性の高まりといった内容が新たに盛り込まれました。セキュリティ製品を導入している企業は多いものの、その運用や検知されたアラートの分析は、専門家でなければ対応できないため、SOCアナリストの需要が高まっています。
SOCアナリストになるには
学歴や資格が必須とはされていませんが、理工学部の情報系や社会情報系を専攻した大卒以上のエンジニアが多いです。情報技術やサイバーセキュリティに関連する学位を取得しましょう。セキュリティ関連のソフトウェア開発会社など、近接した業界からの転職やシステムを設計するエンジニア・プログラマーからのキャリアチェンジも可能です。
SOCとCSIRT(シーサート)の違い
どちらも組織のセキュリティを強化するための重要な役割を果たしていますが、それぞれの機能には明確な違いがあります。
SOCは、24時間体制でネットワークやシステムを監視し、サイバー攻撃や脅威をリアルタイムで検知・分析することが主な業務です。異常な活動を早期に発見し、迅速に対応することでインシデントの発生を未然に防ぐことを目的としています。
一方、CSIRTは、実際にセキュリティインシデントが発生した場合、その対応を専門とするチームです。インシデントの原因究明や復旧作業、再発防止策の策定などを行い、被害を最小限に抑えるための活動に焦点を当てています。
SOCが重大な脅威を検知した場合、CSIRTにエスカレーションし両者が協力してインシデント対応にあたります。この両者の連携により、組織の包括的なセキュリティ体制が強化されます。
SOCとMSS(マネージドセキュリティサービス)の違い
SOCは、主に自社内で運営されるセキュリティ組織であり、24時間体制でネットワークやシステムを監視し、脅威を検出・分析します。SOCの主な業務は、アラート発生時の対応やインシデントの調査・分析です。
一方、MSSは外部のセキュリティベンダーによって提供されるマネージドサービスであり、セキュリティ機器の管理やログ監視などを含む広範な業務を委託できます。MSSは、特に社内リソースが不足している企業にとって有用です。専門的な知識と技術を活用することでコスト効率を高めます。
SOCアナリストに必要なスキルセット
SOCアナリストに必要なスキルには、脅威分析、ログ管理、SIEMやEDR、SOARなどのセキュリティツールの使用、インシデントレスポンスがあります。ネットワークとシステムの深い理解、PythonやPowerShellを始めとしたプログラミングスキル、クラウドセキュリティの知識も必要とされるでしょう。また、問題解決能力やコミュニケーション能力も重要です。
SOCアナリストに必要な資格
基礎資格
基礎資格には、以下のものがあります。
- 基本情報技術者試験(FE)
- 応用情報技術者試験(AP)
- LPIC(Linux技術者認定試験)
- CCNA(Cisco Certified Network Associate)
- CCNP(Cisco Certified Network Professional)
他にもCompTIA Security+やEC-Council's Certified SOC Analyst (CSA)は、SOCアナリストのエントリーレベルの資格として捉えられるでしょう。
専門資格
SOC業務の専門性を証明できる資格には次のようなものがあります。
- Splunk Core Certified Power User
- CND(Certified Network Defender)
- NW(ネットワークスペシャリスト試験)
- CEH(Certified Ethical Hacker)
- 情報処理安全確保支援士(登録セキスペ)
- GCIH(GIAC Certified Incident Handler )
- CISSP(Certified Information Systems Security Professional)
次に未経験からSOCアナリストへ転職するためのポイントをご紹介します。
未経験からSOCアナリストへ
転職するには?
転職難易度は変わる
SOCアナリストを含むセキュリティ領域のエンジニアを未経験から目指す場合、まず注目したいのは「どの業界でスタートするのか」。業界によって積める経験値や転職難易度が大きく変わる領域でもあるからです。
次によくある3つのセキュリティ業界を比較した調査結果を紹介していますので、転職活動の一助になれば幸いです。
新たな職業の選択肢を!をコンセプトに、様々な職業の魅力を伝えるWebメディアを展開するZenken株式会社。 このページは「セキュリティエンジニア」という職業にフィーチャーするWebメディア「ガドマガ」編集チームが調査しまとめています。