LASSIC Media らしくメディア
セキュリティ人材不足をCSIRT/SOCの外注で補完する進め方
LASSIC IT事業部|元請(プライムベンダー)としてシステム保守・運用を受託
この記事のポイント
- CSIRT(インシデント対応)とSOC(監視・検知)は役割が異なり、両方を社内で完結させるには高度な専門人材と24時間365日体制が必要です
- セキュリティ人材の採用難は深刻で、SOC外注・MDR・セキュリティSES・CSIRT構築支援など外注で補完する選択肢が現実的な対策になっています
- 社内に指揮・意思決定機能を残しつつ、監視運用を外注するハイブリッド体制が多くの企業で機能する進め方です
目次
CSIRTとSOCの役割と違い — 監視・検知と対応・復旧を分けて理解する
セキュリティ人材不足をCSIRT・SOCの外注で補完するとは、自社採用だけでは確保しきれない高度なセキュリティ専門人材の役割を、外部の専門パートナーへの委託によって補う取り組みです。補完の方向性を誤らないために、まず両者の役割の違いを正確に理解しておく必要があります。
SOC(Security Operation Center)とは、組織のシステムやネットワークのログ・アラートを常時監視し、不審な動きや脅威を検知することを専門とする組織です。SIEMツール(Security Information and Event Management)などを活用して24時間365日監視を行い、異常を検出した際にCSIRTへ通知する役割を担います。
CSIRT(Computer Security Incident Response Team)とは、セキュリティインシデントが発生した際に対応・封じ込め・復旧・再発防止を専門的に担うチームです。社内外の関係者との調整・フォレンジック調査(原因究明のためのログ解析)・対外公表の判断まで、インシデントの「後処理」全般を担います。
両者は独立した機能であり、多くの企業でSOCが検知した事案をCSIRTが引き受けて対応するという連携体制を取っています。社内でどちらの機能が不足しているかを把握することが、外注で補完する方向性を決める出発点です。
セキュリティ人材不足・採用難の背景:高度専門性・需要急増・24/365体制の重圧
セキュリティ人材の採用難は、IT人材不足の中でも特に深刻な領域です。経済産業省「IT人材需給に関する調査」(2019年)では、高位シナリオで2030年に約79万人のIT人材不足が見込まれるとされており*1、セキュリティ専門人材はその中でも希少性が高い職種です。
採用難の要因は、大きく3つに整理できます。第一は高度な専門性の必要性です。セキュリティエンジニアはネットワーク・OS・アプリケーション・クラウドにまたがる幅広い技術知識に加え、攻撃者の手法(マルウェア分析・脆弱性診断等)への深い理解が求められます。一人前に育てるには年単位の実務経験が不可欠です。
第二は需要の急増です。クラウド移行・テレワーク拡大・DX推進にともないサイバー攻撃の対象範囲が広がり、セキュリティ体制の強化を迫られる企業が急増しています。独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2024」でも、ランサムウェア攻撃・標的型攻撃・サプライチェーン攻撃が上位に並んでいます*2。
第三は24時間365日体制という運用負荷です。SOCを社内で持つためには、昼夜問わず監視できる複数名のシフト体制が必要で、休暇・病欠・離職にも耐えられる人員を常に確保しなければなりません。これは中小・中堅企業はもちろん、多くの大企業にとっても現実的でない負荷です。
外注で補完する4つの選択肢:SOC外注・MDR・セキュリティSES・CSIRT構築支援
セキュリティ人材不足を外注で補完する主な選択肢は、以下の4つに整理できます。それぞれ委託できる範囲と適したケースが異なります。
| 外注形態 | 委託できる主な範囲 | 向いているケース |
|---|---|---|
| SOC外注(マネージドSOC) | 24/365のログ・アラート監視、脅威検知、 インシデント通報 |
監視体制を社内で持てない。 シフト体制の構築が困難な場合 |
| MDR(Managed Detection and Response) | 監視・検知に加え、脅威への初動対応支援・ 封じ込め支援まで一体提供 |
検知後の対応まで委託したい。 CSIRTが未整備な場合 |
| セキュリティSES(技術者常駐・派遣) | セキュリティエンジニアの常駐・派遣による 既存チームの戦力補完 |
社内チームの人員が不足。 内製スキルを段階的に高めたい場合 |
| CSIRT構築支援 | インシデント対応手順書の整備・訓練支援・ 体制設計のコンサルティング |
社内CSIRTをゼロから立ち上げたい。 有事の対応手順が整備されていない場合 |
SOC外注(マネージドSOC):監視の負荷を丸ごと外出し
マネージドSOCは、ログ・アラートの24時間365日監視をサービスとして提供するものです。MSSP(マネージドセキュリティサービスプロバイダ)と呼ばれる専門事業者が、SIEM・EDR(Endpoint Detection and Response)・ファイアウォールのログを集約・分析し、異常を検知した場合に顧客企業へ通報します。
社内でシフト体制を組めない企業にとって、監視の継続性を確保する有力な手段です。ただし、通報を受けた後の対応判断(どう封じ込めるか・誰に連絡するか)は自社で担う必要があります。
MDR(Managed Detection and Response):検知から初動対応まで一体提供
MDRとは、監視・検知にとどまらず、脅威への初動対応支援や封じ込め支援までをマネージドサービスとして一体提供する外部サービスです。マネージドSOCが「検知して通報する」であるのに対し、MDRは「検知して対応を支援する」まで踏み込む点が異なります。
CSIRTが社内に未整備の企業や、インシデント発生時に迅速な対応リソースが確保できない企業にとって、MDRは対応の初動を補う有効な選択肢です。対応の最終意思決定(対外公表・業務継続判断)は自社が担いますが、技術的な封じ込め作業を外部が支援します。
セキュリティSES:既存チームに即戦力を加える
セキュリティSES(Software Engineering Service)とは、セキュリティエンジニアが顧客企業に常駐・派遣される形態です。脆弱性診断・セキュリティ設計レビュー・SOC運用の補佐など、既存の社内セキュリティチームに即戦力を加えたい場合に適しています。
常駐エンジニアが社内の業務フローを学びながら稼働するため、社内チームへの技術移転も期待できます。採用が難航している間の一時的な補完から、中長期の体制強化まで活用できる柔軟な形態です。
CSIRT構築支援:有事対応の「型」を整備する
CSIRT構築支援は、インシデント対応手順書(プレイブック)の策定・インシデント対応訓練(サイバー演習)の実施・CSIRT体制設計のコンサルティングなどを提供するものです。社内CSIRTが存在しない、または存在しても形骸化している企業に向いています。
インシデント対応を誤ると、個人情報漏えいの場合は個人情報保護法に基づく報告義務の履行遅れ、対外公表のタイミングを誤ることによる信頼失墜など、事業上の重大なリスクにつながります。有事の「型」を事前に整備しておくことは、被害の最小化において重要な投資です。
ハイブリッド体制の設計:社内に残す機能と外注できる範囲
セキュリティ体制を外注で補完する際に重要なのは、「社内に残すべき機能」と「外部に委ねられる機能」を整理することです。すべてを外注すると意思決定の主体が曖昧になり、インシデント発生時に対応が遅れるリスクが生じます。
社内に残すべき機能:指揮・判断・対外調整
セキュリティインシデント発生時の最終意思決定(業務停止の判断・対外公表の判断・経営陣への報告)は、外注先には委ねられません。また、セキュリティポリシーの策定・リスク評価の方針決定・経営と現場をつなぐCISO(Chief Information Security Officer:情報セキュリティ統括責任者)機能も、社内が担う領域です。
社内に残すべき機能をひと言で表すと「指揮・判断・対外調整」です。外注先はこれらの意思決定を支えるデータ(監視ログ・インシデントレポート・脅威情報)を提供する役割を担います。
外注できる範囲:監視運用・検知・対応作業の実行
24時間365日のログ監視・アラートのトリアージ(緊急度の分類)・初動封じ込めの技術的作業・フォレンジック調査補助・脆弱性診断の実施などは、専門パートナーに委託できる工程です。これらは標準化されたプロセスが整っており、外注先が専用ツールと訓練された人材で効率よく担えます。
外注先からの通報・レポートを受け取り、判断を下すのは社内の担当者でなければなりません。この連携が機能するためには、エスカレーションフロー(誰に何をどのタイミングで通報するか)と、通報を受けた際の社内対応手順を事前に文書化しておくことが不可欠です。
規模別のハイブリッド体制の目安
中小企業の場合は、社内に1名程度のセキュリティ担当者(情報システム部門兼務でも可)を置き、SOC監視とCSIRT対応支援を外注するケースが現実的です。大企業・グループ会社を持つ場合は、社内にCSIRTの枠組みを設け、SOC監視とインシデント初動対応をMDRサービスで補完する体制が機能しやすいです。
いずれの規模でも、外注先との定期レビュー(月次の脅威動向共有・インシデント対応振り返り)を設けることで、外注に頼りきらない体制を維持できます。
費用感の目安(市場参考値)
セキュリティ外注の費用は、委託範囲・企業規模・監視対象のシステム数によって大きく異なります。以下は市場参考値であり一次資料ではないため、具体的な金額は個別の見積もりで確認してください。
マネージドSOCの場合
マネージドSOCは月次の継続サービスが一般的で、監視対象デバイス数・ログ量・対応言語・レポート頻度などによって月額費用が変わります。監視対象が少ない小規模な構成から始められるサービスも存在します。導入時の初期設定費(ログ連携設定・チューニング)が別途かかるケースもあります。
MDRサービスの場合
MDRはSOC外注より委託範囲が広い(対応支援まで含む)ため、費用水準が上がる傾向があります。エンドポイント数・クラウド環境の規模・対応レスポンス時間の要件(24時間以内対応か否か等)によって費用が異なります。MSSP系の大手サービスから、中小企業向けのパッケージ型MDRまで幅があります。
セキュリティSESの場合
セキュリティエンジニアの常駐・派遣の費用は、エンジニアのスキルレベル・稼働日数・業務内容によって変わります。セキュリティ職種は一般的なITエンジニアより希少性が高く、市場単価も高い傾向があります。費用レンジは市場参考値であり一次資料ではない点を前提に、個別見積もりが必要です。
CSIRT構築支援の場合
CSIRT構築支援はプロジェクト型の契約が多く、体制設計・手順書作成・訓練実施の工程ごとに費用が発生します。スポットのコンサルティングから、訓練まで含む包括的な支援まで範囲が異なります。一度整備すれば継続コストは下がるため、初期投資として予算を確保しておくことが大切です。
委託先の選び方:対応範囲・体制・国内法令対応の3軸
セキュリティ外注の委託先を選ぶ際には、対応できる範囲・監視体制の実態・国内の法令・ガイドライン対応の3軸で評価することをお勧めします。
対応範囲軸:SOC・CSIRT・MDRのどこまで担えるか
委託先によって得意領域が異なります。SOC監視に特化した事業者、MDRとして検知から対応まで担う事業者、CSIRT構築コンサルティングを主力とする事業者、セキュリティSESを中心とする事業者が存在します。自社の不足が「監視」なのか「対応」なのか「体制設計」なのかを明確にした上で、対応範囲が合致する委託先を探すことが重要です。
提案時に「インシデント発生時にどこまで関与するか」を具体的に確認してください。「通報のみ」と「封じ込め支援まで」では現場の体験が大きく異なります。
体制軸:24/365の実態・エスカレーション先の確認
SOC外注やMDRで最も確認すべき点は、24時間365日体制の実態です。「24/365対応」と記載されていても、夜間・休日は自動アラートのみで人が確認するのは翌営業日というケースがあります。エスカレーション先(実際に対応するエンジニアのチーム規模・スキルレベル)と、インシデント通報から実際に担当者が動くまでのSLA(サービスレベル合意)を事前に確認してください。
また、担当者の交代・引き継ぎ体制についても確認しておくことが大切です。主担当が離職した場合の業務継続性がセキュリティサービスでは特に重要です。
国内法令・ガイドライン対応軸:個人情報保護法・NISC・IPA準拠
日本国内で事業を行う企業に対しては、改正個人情報保護法(2022年施行)によるインシデント時の報告義務が課されています。委託先が国内の法令・ガイドライン(NISC:内閣サイバーセキュリティセンター、IPAのガイドライン等)に準拠した対応を提供できるかどうかを確認してください。
海外系のMDRサービスは機能が充実している反面、報告書の言語・対応フローが国内法令の要件と合わないケースがあります。インシデント対応報告の書式・提出先・タイムラインが国内要件と合致するかを事前に確認することが大切です。
LASSICによるセキュリティ支援体制
LASSICのIT事業部では、元請(プライムベンダー)としてシステム保守・運用を受託しており、その実務経験をもとにセキュリティ体制の補完・外注化の相談に対応しています。委託範囲の整理から委託先の選定基準策定まで、IT人材不足に対応した体制構築のご相談はIT開発支援サービスページからどうぞ。
まとめ:セキュリティ人材不足を補完する3つの判断軸
本稿では、CSIRTとSOCの役割の違い・セキュリティ人材不足の背景・外注で補完する4つの選択肢・ハイブリッド体制の設計・費用感・委託先の選び方を整理しました。要点を3つにまとめます。
第一に、CSIRTとSOCは機能が異なります。SOCは監視・検知の専門組織であり、CSIRTはインシデント対応・復旧・再発防止を担うチームです。社内のどちらの機能が不足しているかを把握することが、適切な外注形態を選ぶ前提になります。
第二に、外注の選択肢はSOC外注・MDR・セキュリティSES・CSIRT構築支援の4つがあります。それぞれ委託できる範囲と適したケースが異なるため、自社の不足領域(監視・対応・体制設計)に合わせて選択することが大切です。MDRはSOC外注より委託範囲が広く、検知から初動対応支援まで一体で提供されます。
第三に、ハイブリッド体制が現実解です。セキュリティポリシー策定・最終意思決定・対外調整は社内が担い、24時間365日の監視運用や対応作業の実行は外注に委ねることで、人材不足と体制維持の両立を図れます。外注先とのエスカレーションフローと定期レビューを設けることで、外注に頼りきらない体制を維持することが大切です。
よくある質問
SOCとCSIRTはどう違うのですか?
SOC(Security Operation Center)は、ログ・アラートを24時間365日監視し、脅威を検知して通報する「監視・検知の専門組織」です。CSIRT(Computer Security Incident Response Team)は、インシデントが発生した後に封じ込め・復旧・再発防止・対外調整を担う「対応・復旧の専門チーム」です。SOCが異常を検知してCSIRTへ連携し、CSIRTが対応を指揮するという役割分担が一般的です。
MDRとSOC外注はどう違うのですか?
SOC外注(マネージドSOC)は主に監視・検知・通報を提供するサービスです。MDR(Managed Detection and Response)は、監視・検知に加えて、脅威への初動対応支援や封じ込め支援までをマネージドサービスとして一体で提供する点が異なります。CSIRTが未整備な企業や、インシデント時の対応リソースが社内に不足している企業には、MDRがより手厚い補完手段になります。
セキュリティ外注で社内に残すべき機能はどれですか?
セキュリティポリシーの策定・リスク評価の方針決定・インシデント発生時の最終意思決定(業務停止判断・対外公表判断)・経営陣への報告は、外注先に委ねることができない社内の機能です。外注先はこれらの意思決定を支える監視データやインシデントレポートを提供しますが、判断を下すのは社内の担当者(CISO機能)でなければなりません。
セキュリティ外注の費用はどのくらいが目安ですか?
費用は委託範囲・監視対象の規模・契約形態によって大きく異なります。以下は市場参考値であり一次資料ではないため、具体的な金額は個別見積もりで確認してください。マネージドSOCは月額継続型の契約が多く、監視対象デバイス数や対応言語によって費用が変わります。MDRはSOC外注より対応範囲が広い分、費用水準が上がる傾向があります。
委託先を選ぶときに確認すべき点は何ですか?
主に3点を確認することをお勧めします。第一に「対応範囲」として、SOC監視のみか・MDRとして対応支援まで担うかを明確にすること。第二に「24/365体制の実態」として、夜間・休日の実際のエスカレーション先とSLA(対応時間の保証)を確認すること。第三に「国内法令対応」として、改正個人情報保護法に基づくインシデント報告の書式・フローが国内要件と合致しているかを確認することです。
著者:テレリモ総研編集部 鈴木 亮佑
ご不明な点はお問い合わせフォームからもご連絡いただけます。
- *1 出典:経済産業省「IT人材需給に関する調査」(2019年)— 2030年のIT人材需給差(高位シナリオ)として約79万人規模の不足が見込まれることを示す。URL: https://www.meti.go.jp/policy/it_policy/jinzai/houkokusyo.pdf
- *2 出典:独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2024」(2024年)— URL: https://www.ipa.go.jp/security/10threats/10threats2024.html
