SOC (セキュリティオペレーションセンター) アナリストになるには

セキュリティエンジニアからキャリアアップ転職できる職種のひとつにSOC (セキュリティオペレーションセンター) アナリストがあります。ここでは、SOCアナリストの仕事内容や必要なスキルなどについてまとめました。

SOCアナリストとは

SOCアナリストは、サイバーセキュリティの監視・対応を行い、組織をサイバー攻撃から守る専門職です。ネットワーク機器やセキュリティ製品を24時間365日、リアルタイムで監視して、サイバー攻撃や脅威の検出・検知、ログ分析を行います。検出したインシデントに対しては迅速に対応しなければいけません。組織全体のデジタルアセットを保護することが目的で、監視範囲は幅広く、ネットワークインフラストラクチャ、クラウドリソース、エンドポイントデバイス（サーバー、パソコン、タブレット、スマートフォンなど）、業務システム、データベース、そしてWebサイトなどをカバーします。

また、新たな脅威情報を収集し、組織全体のセキュリティポリシー策定や対策改善を行うこともSOCアナリストの仕事です。他の部門やサードパーティのITセキュリティプロバイダーと協力して業務を行います。

SOCは、こうした包括的なセキュリティ体制を維持する専門チームのこと。オペレーションセンターにアナリストが常駐して業務を行うのが一般的ですが、最近は在宅やリモート環境で運営している会社もあります。

SOCアナリストの年収

jobtagによるとSOCアナリストの年収は、420万円～1086万円（※1）でした。スキルによって幅があります。セキュリティエンジニアの平均年収は473万円程（※2）です。経験やスキル次第では、一般的なセキュリティエンジニアよりも高い年収を得られる可能性があります。

（※1）参照元：jobtag（ https://shigoto.mhlw.go.jp/User/Occupation/Detail/321）2024年9月17日調査時点

（※2）参照元：求人ボックス（https://求人ボックス.com/セキュリティエンジニアの年収・時給）2024年9月17日調査時点

SOCアナリストの仕事内容

SOCアナリストの仕事は、主に次のようなものがあります。

サイバー攻撃の検知・分析
システムの監視・ログ分析
インシデント対応と復旧
チーム・組織内の調整
セキュリティポリシーの策定と実施

重要な仕事は、サイバー攻撃を早期に検知して分析することです。攻撃が検出された場合は、迅速に分析し、適切な対応を決定する必要があります。サイバー攻撃を検知するためには、常時監視を行わなければいけません。監視のログはデータとして集約します。そのログを分析することもSOCの重要な仕事です。

セキュリティインシデントが発生すると、被害を最小限に抑えるために一次対応を行います。また、インシデント後は、レビューを通じて、セキュリティ強化策の策定にもつなげます。

SOCが必要とされる背景

標的型メールやランサムウェアといったサプライチェーン攻撃の被害が年々増加していることが、SOCが必要とされる背景にあります。経済産業省では、2023年に「サイバーセキュリティ経営ガイドライン」を改訂。サイバーセキュリティ対象の変化・拡大やサプライチェーン全体を通じた対策の推進の必要性の高まりといった内容が新たに盛り込まれました。セキュリティ製品を導入している企業は多いものの、その運用や検知されたアラートの分析は、専門家でなければ対応できないため、SOCアナリストの需要が高まっています。

SOCアナリストになるには

学歴や資格が必須とはされていませんが、理工学部の情報系や社会情報系を専攻した大卒以上のエンジニアが多いです。情報技術やサイバーセキュリティに関連する学位を取得しましょう。セキュリティ関連のソフトウェア開発会社など、近接した業界からの転職やシステムを設計するエンジニア・プログラマーからのキャリアチェンジも可能です。

SOCとCSIRT（シーサート）の違い

どちらも組織のセキュリティを強化するための重要な役割を果たしていますが、それぞれの機能には明確な違いがあります。

SOCは、24時間体制でネットワークやシステムを監視し、サイバー攻撃や脅威をリアルタイムで検知・分析することが主な業務です。異常な活動を早期に発見し、迅速に対応することでインシデントの発生を未然に防ぐことを目的としています。

一方、CSIRTは、実際にセキュリティインシデントが発生した場合、その対応を専門とするチームです。インシデントの原因究明や復旧作業、再発防止策の策定などを行い、被害を最小限に抑えるための活動に焦点を当てています。

SOCが重大な脅威を検知した場合、CSIRTにエスカレーションし両者が協力してインシデント対応にあたります。この両者の連携により、組織の包括的なセキュリティ体制が強化されます。

SOCとMSS（マネージドセキュリティサービス）の違い

SOCは、主に自社内で運営されるセキュリティ組織であり、24時間体制でネットワークやシステムを監視し、脅威を検出・分析します。SOCの主な業務は、アラート発生時の対応やインシデントの調査・分析です。

一方、MSSは外部のセキュリティベンダーによって提供されるマネージドサービスであり、セキュリティ機器の管理やログ監視などを含む広範な業務を委託できます。MSSは、特に社内リソースが不足している企業にとって有用です。専門的な知識と技術を活用することでコスト効率を高めます。

SOCアナリストに必要なスキルセット

SOCアナリストに必要なスキルには、脅威分析、ログ管理、SIEMやEDR、SOARなどのセキュリティツールの使用、インシデントレスポンスがあります。ネットワークとシステムの深い理解、PythonやPowerShellを始めとしたプログラミングスキル、クラウドセキュリティの知識も必要とされるでしょう。また、問題解決能力やコミュニケーション能力も重要です。

SOCアナリストに必要な資格

基礎資格

基礎資格には、以下のものがあります。

基本情報技術者試験（FE）
応用情報技術者試験（AP）
LPIC（Linux技術者認定試験）
CCNA（Cisco Certified Network Associate）
CCNP（Cisco Certified Network Professional）

他にもCompTIA Security+やEC-Council's Certified SOC Analyst (CSA)は、SOCアナリストのエントリーレベルの資格として捉えられるでしょう。

専門資格

SOC業務の専門性を証明できる資格には次のようなものがあります。

Splunk Core Certified Power User
CND（Certified Network Defender）
NW（ネットワークスペシャリスト試験）
CEH（Certified Ethical Hacker）
情報処理安全確保支援士（登録セキスペ）
GCIH（GIAC Certified Incident Handler ）
CISSP（Certified Information Systems Security Professional）

SOCのスペシャリスト達に
聞いてみた！
他の領域との違いや仕事の面白味

現在SOCアナリストとして活躍する皆さんにアンケートを実施。
インフラ系の監視・運用との違いや仕事の面白味などを、ご自身の経験をもとに回答してくれました。

Q.インフラ系の監視・運用との違いや仕事の面白味を聞かせてください

一般のインフラ系エンジニアの監視・運用の場合、ネットワーク、サーバー、データベースなどのインフラ全般の監視と運用を行います。スキルとしては、ネットワーク管理、サーバーの設定と保守、パフォーマンスの監視、トラブルシューティングが求められるでしょう。

SOCアナリストの面白味は、リアルタイム性の高いサイバー攻撃への対応に伴う緊張感と達成感、高度な専門性を駆使して組織を守る使命感、チームワークを通じて問題を解決する際に生まれる連帯感にあります。

セキュリティインシデントの場合、状況によってはお客様先でニュースになることもあります。最前線でお客様の環境をお守りしているという意識を持つことができ、それがやりがいにつながります。

また、お客様のお困りごとを共に解決していくことで感謝されることはとても誇りに思うことができます。

SOC関連はマルウェア（脆弱性）と隣り合わせになる業務だと思います。常に新しいものが出てくるマルウェアに対し、新しい対応や対策など、よい意味で新鮮味があり、その都度対応方法や対策を考える必要があるため、考えるスキルが身につくと感じます。

また、インフラ系でもあると思いますが、知識や経験が増えれば増えただけ対応・対策に対する判断力が増し、クライアントへよりよい提案が出来る点も面白味の一つになると思います。

各会社で対応が違い、必要なスキル、知識が違い、自分の経験から提案することができるところや、時には自分にない考えを教えてもらうなど、新しいことを覚えることもでき、お客様と一緒になって対応を行っていけるところが面白いです。

今回アンケートに回答してくれたSOCアナリストの皆さんは、いずれもSOCチームのリーダー的存在の方々です。
新人セキュリティエンジニアがつまずきやすいポイントやどんなことを意識しながら新人フォローを行っているかなども聞いてみました。

Q.新人セキュリティエンジニアがつまずきやすいポイントは？
また、SOC各チームのリーダーとして意識していることとは？

SIEMやIDSなどの専門的なセキュリティツールの操作に慣れるまで時間がかかることがあります。新人の場合、インシデント対応のプロセスや手順を理解し、迅速に対応することが難しいこともあるでしょう。また、最新の脅威情報を把握し、それを実際の業務に適用するというのは、新人の頃は少しハードルが高いかもしれません。

新人をフォローする際は、継続的なトレーニングでツールや業務プロセスへの習熟を促し、経験豊富なメンターを割り当てて相談しやすい環境を整えます。また、定期的にフィードバックを提供して改善点を明確に伝えるとともに、チームビルディングを通じて新人が孤立せず、積極的に協力できる文化づくりを心がけています。

各新人のバックボーンが違う中で、共通して苦労するのはセキュリティの除外設定/抑止設定するということは、業務影響を考慮しないといけません。

また、除外設定するということは穴あけ作業になり、設定に伴うリスクも考え、そのリスクを許容して頂いた上で設定するために適切な内容を検討する過程は他の業種では経験したことのない難しい作業です。

仕事を覚えてきた段階で起こり得る事として『思い込みによる判断ミス』があると考えてます。覚えることも多い、新しいことも多い中で知識や経験を活かせることもある一方、経験がない案件などにぶつかった際に上記のような問題に当たると思います。

意識しているフォロー内容としては、新人さんの答えをまず出してもらい、その答えに辿り着くプロセスを確認した上で、正しい部分、修正が必要な部分をしっかりフォローして、一緒に精度を高められるようにすることを意識しています。

人によって知識が異なっているため、その人に合わせた教え方をするように心がけないと、相手にも伝わらないし、自分にもストレスがかかります。

上記を意識しつつ、自分が考えている基準に達することができるまで教えるように心がけてます。

今回アンケートに答えてくれたのは、当メディアの監修企業でもあるアウトソーシングテクノロジーのセキュリティサービス課で、SOCアナリストとして複数のセキュリティ業務に関わっているエンジニアの方々。その多くは未経験からの出発だったようです。

次に未経験からSOCアナリストへ転職するためのポイントをご紹介します。

未経験からSOCアナリストへ
転職するには？

ガドマガ編集チームより

選ぶ業界によって積める経験や
転職難易度は変わる

SOCアナリストを含むセキュリティ領域のエンジニアを未経験から目指す場合、まず注目したいのは「どの業界でスタートするのか」。業界によって積める経験値や転職難易度が大きく変わる領域でもあるからです。

次によくある3つのセキュリティ業界を比較した調査結果を紹介していますので、転職活動の一助になれば幸いです。

未経験者におすすめなのは？
セキュリティ業界調査を見る

いかがでしたでしょうか。今回アンケートにも協力してくれたアウトソーシングテクノロジーは、IT未経験からでもセキュリティエンジニアになれる育成・サポート体制が整っている企業です。最後に簡単に紹介させていただきますので、興味のある方は詳細を確認してみてください。

ページ監修

Sponsored by OSTechグループ
株式会社アウトソーシングテクノロジー

豊富な案件を通してキャリアアップできる

国内外グループ全266社、日本国内に54の営業拠点を構える（※2023年12月時点）OSグループの一員であるアウトソーシングテクノロジー。2004年の設立以来、「人材 × テクノロジー」のソリューションサービスで、現場の課題解決をサポートしています。

事業の柱である「人材」の育成にも注力。特にセキュリティエンジニアは、セキュリティメーカーやベンダーと共同でセキュリティ人材育成プロジェクトを推進するなど、セキュリティ業界未経験者はもちろん、経験者がより経験を積むための育成体制を整え、2024年には約150名、2025年には約280名のセキュリティ人材輩出を計画（※2024年2月19日時点、公式HPより）しています。

カジュアル面談も積極的に行っているそうなので、キャリアを検討する一選択肢として活用してみてはいかがでしょうか。

カジュアル面談フォームを
CHECK

アウトソーシングテクノロジー
の会社情報まとめはこちら

運営会社情報

このページを調査したのは…

Zenken株式会社「ガドマガ」編集チーム

新たな職業の選択肢を！をコンセプトに、様々な職業の魅力を伝えるWebメディアを展開するZenken株式会社。このページは「セキュリティエンジニア」という職業にフィーチャーするWebメディア「ガドマガ」編集チームが調査しまとめています。