セキュリティ オペレーション センター(SOC)の整理統合
少ないリソースで大きな成果を
従来型のセキュリティ運用センター (SOC) では、数十年間同じモデルが使われ、もはや効果を 発揮していません。企業と脅威環境の両方で「古い」やり方からの著しい変化が生じている ためです。
今こそ現代的な SOC の実現に向けて取り組み、SOC を整理統合して成果の向上を果たし、 復旧の高速化、リスクの削減、総合的により強力なセキュリティ体制を実現する好機といえ ます。
具体的に SOC の何が変わったのか
従来の SOC では IT セキュリティ スタッフが肩を寄せ合わせて座り、画面を注視します。画面には無数の情報 が読み込まれ、大量のセキュリティ ツールから取得したビューとデータが表示されるとともに、絶え間なくア ラート通知があります。従来の SOC モデルでは、無数のアラートとリソースの制約に対する勝ち目のない戦い が常に問題となっていましたが、パンデミックによって従来の SOC モデルが抱える問題がさらに悪化してい ます。
リソースが従来以上に不足しており、多くの場合、全員が SOC ルームに出社することが不可能になっています。 同時に、重大なサイバーインシデントが記録的なペースで増加するなど、脅威環境は急速に悪化しています。
こうした新しい現実に対応するには、現代の SOC を整理統合し、より少ないリソースで大きな成果をもたらす よう、情勢と要求に応じて手法を最適化する必要があります。
従来の SOC で壁となる 3 つの課題
従来の SOC には、乏しい成果と貧弱なセキュリティ体制の原因となる主要な課題が 3 つ存在します。
アラートが多すぎる
つまり、従来の SOC は管理不能な量のアラートを管理しようとしています。量が多すぎるため、組織を著しく スローダウンさせるアラート疲れを引き起こすのです。また、アラートが多すぎると、大量のノイズに埋もれ ているかもしれない重大な問題を見落とす可能性が高くなります。
アラートが多すぎるという課題への解答は、重大な問題にのみアラートを発出するなど、誤検知を減らすこと です。そして、誤検出を減らすには、適切なプロセスとツールを導入して、SOC が収集するログとデータを最 適化する必要があります。
セキュリティ製品の数が多すぎる
頻繁に目にする重大な課題は、SOC が大量のセキュリティ製品を利用している点です。実際、平均的な企業で も何十というサイバーセキュリティ製品を導入している場合があります。
また、弊社の経験によると、企業が 4、5 種類のエージェントをエンドポイントに導入した上で、複数種類の ファイアウォールを導入することもあります。こうした状況は著しい混乱をもたらします。さまざまなセキュ リティ資産が相互にやり取りしない場合、途方もない混乱が生じるのです。全ツールの管理に必要な労力によっ て、ただでさえ過負荷状態の運用部門に無用な複雑さが追加されることになります。
成功を収めた SOC チームでは、優先順位付けと使用するツールの厳選を容赦なく実施しています。SOC は達成 したい成果を明確化した上で、望ましい成果の達成に必要なプラットフォームとソリューションを突き止める 必要があるのです。全ツールの設計思想が同じでお互いにやり取りできるような共通プラットフォームを導入 することが、SOC の成功には欠かせません。
手動プロセスが多すぎる
従来の SOC の多くは、インシデント レスポンスだけでなく日常の運用も手動プロセスに頼っています。人間に よる頻繁な介入と、非常に退屈であろう作業があまりにも多くの雑用で要求されるのです。実際にインシデン トが発生した場合、従来の SOC では手動のプレイブックを取り出して、類似のインシデントが前回発生した際 に SOC が取った手順を復習し、手動で手順を再現します。そして、これを何度も繰り返すのです。
手動プロセスには拡張性がなく、SOC アナリストを燃え尽き症候群に陥らせる上、現代の SOC が抱える大量の 業務に対応できません。手動プロセスのままでは、高速な平均検出時間と応答時間を効果的に達成することは 不可能です。
求められているのは、大量のプロセスに対応したインテリジェントな機械学習と自動化を導入して、人間のリ ソースを解放し、重要なタスクに投入することです。
SOC の整理統合はデジタル トランスフォーメーションのチャンス
産業としての IT は、環境の均一化とさらなる整理統合へと進んでいます。かつて、オンプレミス環境はどの企 業もあらゆる面で非常に複雑でした。
現在では、SaaS と IaaS という一般的なツール セットの利用によって、大規模なクラウド移行が発生していま す。企業のクラウド移行に伴い、オンプレミスを利用する従来の製品の中には効果を失った製品も出てきまし た。求められているのは、飛躍的な能率向上を実現するクラウドを中心とした次世代のセキュリティ製品です。
企業がクラウドに移行し、デジタル トランスフォーメーションの取り組みに乗り出している今こそ、一から見直すチャンスです。SOC が使用しているセキュリティ製品とツールに目を向け、それぞれの投資収益率 (ROI) を 明確化し、既存のセキュリティ製品をプラットフォームで定義可能なコア機能セットへと整理統合しましょう。
SOC の整理統合は防御・保護にも役立つ
どの企業でも、無秩序はセキュリティの大敵です。2021 年 12 月末に SOC を襲ったLog4j セキュリティ イン シデントを例に挙げましょう。Log4j はさまざまな場所で確認されたアプリケーション ライブラリのセキュリ ティ欠陥です。75 から 80 種類のツールを実行する従来型 SOC の場合、脆弱な資産を漏れなく特定、修復、保 護することは簡単な仕事ではありません。
プラットフォーム アプローチを採用した SOC の整理統合によって無秩序を解決すると、非常に大きな効果が生 じる可能性があります。Log4j のような問題に対する保護は、手動プロセスを組み合わせたものではなく、連 携した活動になりうるからです。
SOC の整理統合はセキュリティ チームを支える
さらに重要な点として、SOC の整理統合は従業員にも非常に良い影響を与える可能性があります。従来の SOC はキャリアではなく、サイバーセキュリティ部門に入るための踏み台と見なされがちです。その原因は、通常、 従来の SOC の人員はセキュリティ イベントに圧倒され、途方もないプレッシャーを抱えている上、手動で一般 的に混沌としたモデルを用いて業務に取り組むことを強いられる点にあります。
SOC がセキュリティ キャリアを始めるための一時的な手段にすぎないとしたら、それは恐ろしい状態です。す なわち、非常に効果的な SOC の構築に誰も取り組んでおらず、SOC で「服役」してから、もっと見込みのある 他の役職に移ろうとする人材しか存在しないということを意味します。
SOC を整理統合すると、SOC のあり方とそこで働く従業員の働き方を変えることになります。同じ繰り返しの つまらない作業ではなく、価値の高いプロジェクトやイノベーションに専念できるようになるのです。また、テ クノロジを継続的に改善して、より効果的な脅威ハンティングを行えるようになります。こうした変化の結果、 従業員が大きな影響力を発揮して能力を存分に発揮できるプロジェクトに取り組めるようになるため、従業員 の幸福度が大幅に向上します。もはや「回し車のハムスター」のようなひどい心理状態で働く職場ではなくな り、従業員がより長く在籍し、システムをさらに改善していく職場に変わるのです。
上手く連携できないばらばらのツールを複数使用して、手動プロセスで無数のアラートを取捨選択することに 時間とリソースを浪費する余裕は、どの企業にもありません。いますぐ SOC の整理統合を行い、最新の複雑な 脅威にも対応できる現代的な SOC を構築しましょう。
目指すべきは整理統合、簡素化、オーケストレーション、自動化です。