目次
はじめに
SOC(Security Operations Center)は、サイバー攻撃を早期に検知・対応する組織です。その中で働く「SOCアナリスト」には、経験やスキルに応じた役割のレベル分けが存在します。それが Tier(ティア) です。
本記事では、Tier1〜Tier3 の違いをわかりやすく整理します。
Tier1:一次対応(フロントライン)
主な役割
- SIEMやEDRに上がるアラートを24/7で監視
- アラート内容を確認し、誤検知か真のインシデントかを切り分け
- IOC(IPアドレス、ドメイン、ハッシュ)をもとに簡単なログ検索
- 初動対応(例:端末隔離リクエスト、ユーザー連絡、チケット起票)
求められるスキル
- ネットワークやログの基礎知識
- セキュリティツール(SIEM、EDR)の操作経験
- アラートの優先度を判断できるリテラシー
- 正確で迅速な報告力
イメージ
「監視員兼トリアージ担当」
患者を最初に診る救急外来スタッフのような役割です。
Tier2:二次対応(分析と封じ込め)
主な役割
- Tier1がエスカレーションしたインシデントを詳細調査
- 攻撃経路の特定(ログを横断してタイムラインを再構築)
- 感染端末の隔離、アカウント無効化などの封じ込め対応
- アラートのチューニング(誤検知削減、検知ルール改善)
- 顧客や社内関係者への技術的な説明・レポート作成
求められるスキル
- OSやネットワークの深い理解(Windowsイベントログ、Linux syslog、プロトコル解析)
- EDRやSIEMでの高度な検索クエリ作成
- MITRE ATT&CKを用いた攻撃手法の分析
- 課題解決力とコミュニケーション力
イメージ
**「救急外来で専門医が診断と処置を行う」**ような役割です。
Tier3:高度分析・改善(エキスパート)
主な役割
- 難解なインシデントの解析(マルウェア解析、メモリフォレンジックなど)
- 脅威ハンティング(潜在的な攻撃を能動的に探索)
- 検知ルールの開発やSOARによる自動化の実装
- 脅威インテリジェンスとの連携(外部の攻撃情報を取り込み)
- SOC全体の運用改善や教育を担当
求められるスキル
- 高度なセキュリティ知識(マルウェア解析、逆アセンブル、フォレンジック)
- プログラミングやスクリプトでツール開発ができる能力
- セキュリティフレームワーク(NIST CSF、CIS Controlsなど)への理解
- 組織全体に影響する改善提案力
イメージ
「感染症の研究所で新種ウイルスを解析し、治療法を確立する専門家」 のような立場です。
まとめ
- Tier1:アラートを監視し、誤検知を切り分け、一次対応を行う
- Tier2:詳細分析と封じ込め、ルール改善、レポート作成を行う
- Tier3:高度解析、脅威ハンティング、検知開発、運用改善を担う
SOCはこの三層構造によって、日々の大量アラートを効率的に処理し、重大な攻撃に素早く対応できる体制を築いています。
コメント