コンテンツにスキップ
Reports
Techblog Zozo Com Entry Soc Claude Agent

Claude CodeがSOC業務を全自動でやってくれるってさ - ZOZO TECH BLOG

  • URL: https://techblog.zozo.com/entry/soc-claude-agent
  • 日付: 2026-06-25
  • Tier: Tier 3
  • 要旨: ZOZO が 3 人 SOC の負荷軽減のため Claude Code で構築した自動アラートトリアージエージェント。Splunk MCP でアラート・ログを取得、OpenCTI MCP で脅威インテリジェンスを取得、SubAgent で並列調査(opencti-agent・log-search-agent)し、GraphQL/SPL テンプレート定義で検索結果を制御。Hooks で Create/Delete など書き込み操作を禁止し Read のみに制限。過去調査メモリで類似事象の判定精度向上。/notable-response・/threat-hunting・/slack-alert-triage の 3 運用コマンドで、初動対応の自動切り分けと脅威ハンティング実行。トークン権限を最小化し、MCP エンドポイントは 1Password で秘密管理。

詳細

ZOZO 情報セキュリティ部が SOC 3 人体制の大量アラート処理負荷軽減を目的に、Claude Code ベースの自動トリアージエージェント構築。Tier 1 初動対応に相当し、Read 権限のみで設計。Splunk MCP で Notable アラートと詳細ログ取得、OpenCTI MCP で脅威インテリジェンス取得、複数の SubAgent(opencti-agent、log-search-agent)を数十体並列起動して IOC 種別・調査ログ種別で分担。GraphQL・SPL テンプレートを Skill reference に記載しエージェント判断の直列化と安全性確保。Hooks で GraphQL の create/delete/stixCoreRelationshipEdit 禁止、Splunk の outputlookup/outputcsv 禁止に設定。トークン管理は 1Password CLI で vault 取得し、誤ったコミット回避。MCP IP allow list 設定必須(見落としやすい)。Splunk MCP は search・get_metadata・indexes_list_all・mcp_tool_execute ロール、OpenCTI MCP は Read 権限のみで十分(TLP:RED は常に非表示、TLP:AMBER は状況判定)。/notable-response で Notable ID からの自動調査・相関分析・対応案生成、/threat-hunting でレポート ID からの IOC・攻撃手法抽出と脅威ハンティング、/slack-alert-triage で指定時間アラート自動取得・グループ化・スレッド投稿・Critical メンション通知。過去調査メモリで過検知フィードバック・継続アクター判定を記録、調査効率化と精度向上実現。

Say Tech Co Jp Contents Blog Yamanxworld 2026vol213Zenn Dev Acntechjp Articles F00b201cabcc39