Splunkが提示する、未来志向のSOCを構築するポイントとは？

Splunk Service Japanは6月4日、SOC(セキュリティオペレーションセンター)が直面している課題を掘り下げたグローバル調査レポート「2025年のセキュリティの現状」を公開した。同レポートからセキュリティ業務が停滞し、組織が脅威にさらされる要因が明らかになったという。

調査結果で浮き彫りとなったSOCの実情

調査は、Oxford Economics社の協力を得て、2024年10月～同12月にグローバル2058人のセキュリティリーダー(セキュリティ担当ディレクター、サイバーセキュリティ担当バイスプレジデント、セキュリティ運用担当ディレクター、セキュリティアナリストなど)を対象に実施。対象国はオーストラリア、フランス、インド、日本、ニュージーランド、シンガポール、英国、米国の9カ国、業界はビジネスサービス、建設・エンジニアリング、消費財、教育、金融サービス、政府機関(連邦/中央、州、地方)、ヘルスケア、ライフサイエンス、製造、テクノロジー、メディア、石油・ガス、リテール(小売り)・卸売り、通信、運輸・輸送・物流、公益の16種類。

冒頭、Splunk Services Japan セキュリティ・ストラテジストの矢崎誠二氏は「日々膨大に発生するセキュリティイベントをSOCの担当者がどのように効率的にハンドリングしていくのかは、非常に重要な課題になっている。一方、チューニングしすぎてセキュリティイベントを処理することができないから、アラートを発報させないという考え方もあり、運用は上手くいくが実際に大きな問題があると対策が難しくなってしまう。これが今日におけるSOCの実情」と指摘した。

• 

  Splunk Services Japan セキュリティ・ストラテジストの矢崎誠二氏

同氏によると、主な調査結果として「SOCの効率化は捉えどころがない」「AIがSOCを未来に導く」「未来のSOCを推進するスキル」「脅威検知の時代」「SOCの統合と接続」の5つが見えてきたという。

SOCの効率化について、矢崎氏はCSIRT(Computer Security Incident Response)と連携する必要性を強く訴えているが、サイバーセキュリティ全体となると定義は分かれていても、その境目が曖昧とのことだ。

同氏は「SOCは、どこで何が生じているかなど検知に関することが主な役割。ただ、センシングにはエンドポイントやネットワーク、サーバ、クラウドなどの領域に対するセンシングの仕組みがありますが、ツールが十分に統合されていないため管理に時間と労力がかかっている。雑務が進歩を阻害してモチベーションをそいでしまっている」と話す。

• 

  SOCの非効率性を生む主な要因

AIに関しては、調査結果では効率が「ある程度向上した」または「大幅に向上した」と回答した割合は59%となった一方で、「完全に信頼している」と回答した割合はは11%と不信感も拭えないようだ。

矢崎氏は「AIは完全な万能薬ではないが、効率性の向上を目指すSOCにおいては間違いなく、正しい方向に導いている」との見解を示した。

• 

  AIに対する不信感はあるが正しい方向に導いているという

「検知エンジニアリング」という考え方

SOCを推進するスキルでは1位が「検知エンジニアリング(Detection Engineering)」となり、「DevSecOps」「コンプライアンス管理」と続く。特に、未来志向のSOCを構築するために検知エンジニアリングが注目されており、調査では74%が最も重要なスキルとして挙げている。

検知エンジニアリングとは、組織で使用する検出の品質・精度の基準を設定し、高度な脅威も正確に発見できるように検出を設計・開発・調整。リアルタームのパフォーマンス指標に基づいてコンテンツを迅速にアップデートするために検出をコードとして導入する作業も担当する。

• 

  検知エンジニアリングの概要

脅威検知の時代について矢崎氏はデータが複雑化してきて検出の新たなジレンマが生まれているという。

同氏は「検出の品質が低く、逆を言えば誤検知率が高くなっており、データの品質が低下している。テレメトリでは、データの一部を要約してSIEM(Security Information and Event Management)に送るが、そもそも検索に対象にしなければならない内容が漏れていたり、特定のフォーマットがデータとして崩れてしまっていたり、問題を検出できないことがある。組織に適合した内容に合わせなければ検知ロジックは攻撃側で簡単に変えることができる」と述べている。