多忙なSOCを雑務から解放する方法

SOCではスピードが命です。しかし、多忙なセキュリティアナリストはデータの準備(ラングリング)以外にも多くのタスクを抱えており、その貴重な時間が雑務に奪われてしまうことも少なくありません。

問題は、一部のSOC文化において、組織全体のセキュリティ態勢に大きな影響を与える優先事項ではなく、すぐに成果を出せたり、簡単に満足感を得られたりする影響度の低いタスクにチームが集中するよう奨励されている点にあります。

たとえば、『2025年のセキュリティの現状：強力でスマートな未来志向のSOCを構築』の回答者の約半数(46%)が、本来の組織を守る業務よりもツールの設定やトラブルシューティングに時間を取られていると回答しています。つまり、アナリストは脅威の調査や対応ではなく、デジタル管理業務に追われてしまっているのです。

メトリクスから成果に至るまで、SOCにおける成功とはどのようなものかを再定義する時が来ています。この取り組みを通じて、チームは成熟度を高め、将来を見据えたSOCを構築するための有意義で戦略的な業務に集中できるようになります。

SOCのボトルネックの主な原因

より効率的なSOCを構築するための第一歩は、最も時間を浪費している作業を突き止めることです。Splunkの『2025年のセキュリティの現状』調査レポートでは、主に3つの非効率的な領域が指摘されています。

• データ準備(ラングリング)：SIEMなどのツールにデータを取り込むだけでも時間がかかりますが、さらに重要なのは、それを使いやすい形式に整える必要がある点です。手動によるデータの整形や正規化には、ログの解析だけでなく、他のチームへのデータの要求、フィールドの抽出、複数のログタイプでのテストも含まれます。しかし、一刻を争うような脅威に直面するSOCチームにとって不可欠なのは、適切な場所で適切なデータにアクセスできることです。調査では、回答者の半数以上(57%)が、データ管理戦略が不十分であるために調査に無駄な時間がかかっていると回答しています。
• ツールの保守：ツールの保守はSOCチームにとって大きな悩みの種であり、『セキュリティの現状』の回答者の59％が、これを最も非効率な作業として挙げています。しかし、ツール関連のタスクの中には、基本的な機能の維持に役立つものもあります。たとえば、オンプレミスの不安定なインスタンスが再度オフラインになった際にリセットするなどです。他にも、検出機能の構築や改善といったタスクは、適切に行われればレジリエンスを強化することができます。コードによる検出(DaC)などの戦略を活用することで、組織のセキュリティ態勢を向上させながら、効率、スピード、規模を最大限に高めることも可能です。
• アラートの処理：アラートはSOCアナリストにとって負担となることもありますが、アラートなしではセキュリティは成り立ちません。とはいえ、回答者の55%が多くの誤検知を経験しています。誤検知が多すぎると、アナリストの時間と注意力が奪われ、しばしばアラートを疑ったり、完全に無視したりせざるを得ない状況に追い込まれます。実際、回答者の47%が、SOCの非効率性を生む要因としてアラート関連の問題を挙げています。

本質に基づいたサイバーセキュリティ文化の育成

雑務は気楽に感じられるかもしれませんが、無意識に陥りやすい罠にもなり得ます。たとえば、待ち望んだ有給休暇を取った後、多くの人は簡単なタスクから取り掛かります。受信トレイの整理や簡単にこなせる作業に対応することで、すぐに達成感が得られるからです。これは確かに心地よく、徐々に仕事モードに戻るのに役立ちますが、通常はそれほど効果的ではありません。

しかし、忙しさが必ずしも生産性の向上や実際のリスク軽減につながるわけではありません。セキュリティリーダーは、こなした作業量よりも仕事への取り組み方を重視すべきです。つまり、雑務を評価したり、体調不良なのに出勤してほとんど成果を上げない「プレゼンティーイズム」を容認したりしないということです。多くの組織やリーダーに、生産性の本質に関する文化的な転換や意識の切り替えが求められます。

重要な要素の測定

MTTDやMTTRなどのメトリクスは、組織のセキュリティ態勢を示す簡単な方法として長年使用されてきました。これらは重要な指標ですが、比較的単純なベンチマークであるため、SOCの複雑な目標(検出の精度や調査の詳細さなど)を十分に取り込むことができません。

こうしたMTT*メトリクスを強化するため、一部のSOCリーダーは、できるだけ多くのチケットを迅速にクローズまたは処理することを評価し、インセンティブの対象としています。しかし、これはアナリストに簡単なチケットを優先させ、質より量を重視する考え方を助長します。残念ながら、この方法ではレジリエンスを高めることはできません。アナリストが優先度の低いチケットを何百件クローズしても、業務の状況は変わらず、翌日もリスクは残ったままでしょう。

リーダーは、組織に成果をもたらすことについての考え方を見直し、その成果に基づいてアナリストを評価する必要があります。アナリストの業務は、単にチケットをクローズしたり反復的なタスクを実行したりするよりも、もっと本質的なものであるべきです。これには、自動化の作成、プロセスの円滑化、検出機能の改善、インシデント後の適切な処理の実施などが該当します。

自動化の機会の特定

自動化と相性抜群なのが定型的なタスクです。退屈で面倒な作業は自動化しましょう。ワークフローに反復可能な同じ手順が常に含まれている場合は、自動化に適しています。

ほとんどの場合、フィッシング調査は予測可能なプロセスであり、遅延がリスクとなり、処理量も多いため、自動化を始めるには最適といえます。一般的な標準ワークフローは以下のとおりです。

• メール内のアーティファクトを調査し、危険度を評価する
• ファイアウォールログを確認し、リンクをクリックしたユーザーがいるかどうか、またクリックしている場合は、影響を受けたデバイスを特定する
• ファイアウォールですべての呼び出しをブロックし、影響を受けたデバイスを隔離する

ここまではお決まりの流れですが、これは真陽性に対する標準的なワークフローであり、自動化の対象として最適です。

2025年時点では、フィッシング調査の手順は基本的で、対応も標準化されているため、アナリストが手作業で調査する必要はありません。自動化を導入すれば、より戦略的な取り組みのために時間を確保できます。多くのアナリストが過剰な業務で手一杯になっていることを踏まえると、自動化は時間を節約するための効果的な方法といえます。自動化によって、チームはより価値の高いタスク、スキル向上のための新たなトレーニング、より多くのプレイブックの作成に注力できるようになり、好循環が生み出されます。チームは、自動化に仕事を奪われるのではないかという不安ではなく、自動化への信頼と意欲を高めることができるでしょう。

全体的な取り組みの見直し

セキュリティリーダーが効率を改善するために、自動化やAIは必ずしも必要ではありません。SOCの成功に貢献しないタスクの削減は、優先順位や取り組みを見直すだけでも達成できます。テクノロジーは急速に変化するため、数年前に決められた取り組みが、今日でも同じように適切で価値があるとは限りません。適切な優先順位を設定するには、SOCの全員が、組織にとって最も重要なサービスとプロセスを理解している必要があります。そしてその知識は、本当に守るべき「クラウンジュエル(組織の重要資産やデータ)」を特定し、ビジネス全体のレジリエンスを強化するうえで役立ちます。

目的意識を持ってセキュリティ態勢を強化

チームを定型的なタスクから解放することは、単に時間を節約するだけではありません。アナリストの役割に目的意識を取り戻し、燃え尽き症候群を軽減するとともに、真にセキュリティを強化する業務に集中できるようにします。優先順位を見直し、自動化を適切に導入し、成功のあり方を再定義することで、セキュリティリーダーは効率性を重視した文化を築き、チームがよりスマートな防御を実現できるよう後押しできます。

チームが非効率性を排除し、よりスマートで自動化されたSOCを構築する方法について詳しくは、『2025年のセキュリティの現状』レポートをダウンロードしてください。

このブログはこちらの英語ブログの翻訳、前園 曙宏によるレビューです。