目次
1. SOCアナリストの出発点
SOCアナリストは、サイバー攻撃の最前線で活動する「サイバー防衛のオペレーター」です。
最初に配属されるのは Tier1 で、主にアラート対応や初動調査を担当します。
ここで経験を積むことで、徐々に高度な分析やインシデント対応に進む道が開けます。
2. Tierごとの役割とスキル
Tier1:モニタリング&トリアージ担当
- 役割
- SIEMやEDRに上がったアラートを確認
- 誤検知と真のインシデントを切り分け
- 必要に応じてTier2にエスカレーション
- 必要スキル
- 基本的なセキュリティ知識(Security+レベル)
- ログの読み方、正常/異常の見分け方
- プレイブック通りの初動対応
Tier2:詳細分析・対応リード
- 役割
- Tier1から上がった案件を深掘り分析
- 攻撃手法をMITRE ATT&CKにマッピング
- インシデント対応(隔離、IOC収集、根本原因分析)
- 必要スキル
- EDRログやパケットキャプチャの解析力
- 不審ファイル解析(静的/動的分析の基礎)
- CEHやCySA+レベルの知識
Tier3:高度分析・改善
- 役割
- 難易度の高いインシデントの対応(APT、ゼロデイ攻撃)
- 検知ルールの改善、プレイブックの最適化
- SOC全体の分析基盤の改善(SIEMチューニングなど)
- 必要スキル
- 高度なマルウェア解析、フォレンジック調査
- Threat Intelligence の活用
- GCIHやOSCPなど高度資格が評価されやすい
3. SOCの次に広がるキャリア
CSIRT(Computer Security Incident Response Team)
- 役割:社内インシデント対応の司令塔。SOCで検知されたインシデントを全社横断的に対応。
- 必要スキル:IRフロー設計、経営層への報告、法務や広報との連携。
- キャリア例:SOC → CSIRT → セキュリティマネージャー
Threat Hunter(脅威ハンター)
- 役割:既存の検知ルールに引っかからない攻撃を能動的に探す。
- 必要スキル:攻撃者視点(レッドチーム的思考)、スクリプトやクエリ言語(KQL, Splunk SPL)活用力。
- キャリア例:SOC Tier2/3 → Threat Hunter → Threat Intelligence Analyst
セキュリティアーキテクト / コンサルタント
- 役割:セキュリティ製品の導入・設計や全体戦略を担う。
- 必要スキル:クラウド知識(AWS/Azure Security)、ゼロトラスト設計、CISSPやCISMなど。
- キャリア例:SOC経験 → セキュリティアーキテクト → CISO候補
4. 学習とキャリア形成のヒント
- 最初は広く学ぶ:Security+ や SSCPで基礎を固める
- 次に深掘り:CEH、CySA+で分析力を強化
- 高度化:GCIH、CISSPでIRやマネジメントへ
- 実務経験を重ねる:ログ分析の積み上げが一番の財産
5. まとめ
- SOCアナリストは Tier1 → Tier2 → Tier3 と段階的にスキルを磨く
- その先に CSIRT、Threat Hunter、アーキテクト などのキャリアが広がる
- 重要なのは「日々のログ分析の経験」と「学習の積み重ね」
コメント