Splunkが提示する、未来志向のSOCを構築するポイントとは？

Splunk Service Japanは6月4日、SOC(セキュリティオペレーションセンター)が直面している課題を掘り下げたグローバル調査レポート「2025年のセキュリティの現状」を公開した。同レポートからセキュリティ業務が停滞し、組織が脅威にさらされる要因が明らかになったという。

調査結果で浮き彫りとなったSOCの実情

調査は、Oxford Economics社の協力を得て、2024年10月～同12月にグローバル2058人のセキュリティリーダー(セキュリティ担当ディレクター、サイバーセキュリティ担当バイスプレジデント、セキュリティ運用担当ディレクター、セキュリティアナリストなど)を対象に実施。対象国はオーストラリア、フランス、インド、日本、ニュージーランド、シンガポール、英国、米国の9カ国、業界はビジネスサービス、建設・エンジニアリング、消費財、教育、金融サービス、政府機関(連邦/中央、州、地方)、ヘルスケア、ライフサイエンス、製造、テクノロジー、メディア、石油・ガス、リテール(小売り)・卸売り、通信、運輸・輸送・物流、公益の16種類。

冒頭、Splunk Services Japan セキュリティ・ストラテジストの矢崎誠二氏は「日々膨大に発生するセキュリティイベントをSOCの担当者がどのように効率的にハンドリングしていくのかは、非常に重要な課題になっている。一方、チューニングしすぎてセキュリティイベントを処理することができないから、アラートを発報させないという考え方もあり、運用は上手くいくが実際に大きな問題があると対策が難しくなってしまう。これが今日におけるSOCの実情」と指摘した。

Splunk Services Japan セキュリティ・ストラテジストの矢崎誠二氏

同氏によると、主な調査結果として「SOCの効率化は捉えどころがない」「AIがSOCを未来に導く」「未来のSOCを推進するスキル」「脅威検知の時代」「SOCの統合と接続」の5つが見えてきたという。

SOCの効率化について、矢崎氏はCSIRT(Computer Security Incident Response)と連携する必要性を強く訴えているが、サイバーセキュリティ全体となると定義は分かれていても、その境目が曖昧とのことだ。

同氏は「SOCは、どこで何が生じているかなど検知に関することが主な役割。ただ、センシングにはエンドポイントやネットワーク、サーバ、クラウドなどの領域に対するセンシングの仕組みがありますが、ツールが十分に統合されていないため管理に時間と労力がかかっている。雑務が進歩を阻害してモチベーションをそいでしまっている」と話す。

SOCの非効率性を生む主な要因

AIに関しては、調査結果では効率が「ある程度向上した」または「大幅に向上した」と回答した割合は59%となった一方で、「完全に信頼している」と回答した割合はは11%と不信感も拭えないようだ。

矢崎氏は「AIは完全な万能薬ではないが、効率性の向上を目指すSOCにおいては間違いなく、正しい方向に導いている」との見解を示した。

AIに対する不信感はあるが正しい方向に導いているという

「検知エンジニアリング」という考え方

SOCを推進するスキルでは1位が「検知エンジニアリング(Detection Engineering)」となり、「DevSecOps」「コンプライアンス管理」と続く。特に、未来志向のSOCを構築するために検知エンジニアリングが注目されており、調査では74%が最も重要なスキルとして挙げている。

検知エンジニアリングとは、組織で使用する検出の品質・精度の基準を設定し、高度な脅威も正確に発見できるように検出を設計・開発・調整。リアルタームのパフォーマンス指標に基づいてコンテンツを迅速にアップデートするために検出をコードとして導入する作業も担当する。

検知エンジニアリングの概要

脅威検知の時代について矢崎氏はデータが複雑化してきて検出の新たなジレンマが生まれているという。

同氏は「検出の品質が低く、逆を言えば誤検知率が高くなっており、データの品質が低下している。テレメトリでは、データの一部を要約してSIEM(Security Information and Event Management)に送るが、そもそも検索に対象にしなければならない内容が漏れていたり、特定のフォーマットがデータとして崩れてしまっていたり、問題を検出できないことがある。組織に適合した内容に合わせなければ検知ロジックは攻撃側で簡単に変えることができる」と述べている。

このような脅威検出の新たな時代に向けた最新のアプローチが「Detection as Code」(DaC：コードによる検出)となる。

矢崎氏は「これは検知エンジニアリングをディレクションするためのロジックを一度作成したら終わりではなく、計画的に内容を確認しつつ過去のバージョンと比較しながら、どこで変化しているのかということをコードとして理解して進めていくもの」と説明する。

「Detection as Code」(DaC：コードによる検出)の概要

SOCの統合と接続に関してはセキュリティツールが分散し、連携していなと回答した割合は78%となっている。

そのため、これらを統合することでインシデント対応の迅速化やツールの保守にかかる時間の短縮、脅威カバレッジの拡大などのメリットを享受できるという。

同氏は未来志向のSOCを構築するステップとして、ツールセットを整理し、スキルセットをアップデートしたうえで、アラート対応の負担を軽減してドメイン特化型の生成AIの導入、コラボレーション基盤の構築、DaCをチーム全体で取り入れる段階的なアプローチを推奨している。

未来志向のSOCを構築するステップ

セキュリティレベルの向上には垣根を超えた連携・協力が重要

続いて、アクセンチュアテクノロジーコンサルティング本部セキュリティグループアソシエイト・ディレクターの滝口博昭氏が国内におけるSOCの現状と課題について解説した。まず、同氏は国内のセキュリティレベルの向上に向けてベンダーが利用者とリスクコミュニケーションを行うなど、垣根を超えた連携・協力が重要だと指摘している。

アクセンチュアテクノロジーコンサルティング本部セキュリティグループアソシエイト・ディレクターの滝口博昭氏

滝口氏はSOC=MSS(侵入検知サービス)として定義し、MSSから見たCSIRTの現状と課題を以下のように説明した。

「日本企業のCSIRTチームの現状は、適用範囲が明確ではなく与えられたタスクをこなすだけであり、外部ベンダーと受動的なコミュニケーションのため場当たり的な対応で戦略が定まっていない。また、外部のセキュリティベンダーが企業のセキュリティ戦略の不足点や目指すゴールを十分に理解していない」(滝口氏)

こうした現状をふまえ、あるべき姿としてCSIRTチームはセキュリティ戦略のブレインであり、外部ベンダーが同じゴールのもと対等にコミュニケーションを取りつつ、セキュリティ戦略の実行はベンダーを含めたワンチームで動く必要があるという。

日本企業のCSIRTチームの現状とあるべき姿

MSSの活用における日本と海外の相違点に関して、提供される内容は大きな違いはないものの、日本では包括的なサービスとして提供するケースが多いとのこと。また、日本企業におけるMSS活用の傾向はベンダーと対等に会話しておらず、スキルセット不足で受動的かつセキュリティ戦略を十分に活用できていない点を挙げている。

こうしたことから、日本企業では自社の社員をセキュリティ戦略のブレインとして育成するとともに、外部リソースを含めたワンチームで包括的体制を構築することが望ましいという。