CISOレポート2026
セキュリティリーダーがAI時代にリスクをレジリエンスに変えるための方法をご紹介しています。
人間中心のSOC設計に向けて
オーケストラを構成するのは楽器ではなく、演奏家です。しかし、SOCの設計で優勢なのは、テクノロジーが中心の考え方です。テクノロジーを使用する人間が中心ではありません。
ツールにばかり目を向けていると、ツールが生み出すはずのレジリエンスがかえって損なわれる恐れがあります。ツールが役に立つどころか仕事の妨げになって離職した有能なアナリストの知られざる話をいくつも知っています。また、セキュリティチームが日々直面している課題を放置してテクノロジーに資金を注ぎ込む組織も見てきました。
どのSOCでもたいてい目にするのは、脅威インテリジェンスプラットフォーム、オーケストレーションツール、自動検出プラットフォーム、そして、メトリクスごとに用意されたダッシュボードです。理屈では、これだけ揃えれば最高の効率が得られるはずです。しかし実際には、対処できないほどのアラートが発生し、アナリストが疲弊して、SOCとしての目標と実績の差が広がっていくことがよくあります。
ツールを評価する際、きわめて専門的な機能に目を奪われ、アナリストの日常業務との適合性を考慮しないでいると、セキュリティチームは統一された設計理念もないまま、ツールを1つずつ個別に導入することになりかねません。そうなると、素晴らしい導入目的と現場での実情との間にギャップが生じてしまいます。経営陣にとっては、今こそこのギャップを埋める好機です。そのためには、次回からの投資において、セキュリティ機能の強化と同じくらい人の働きやすさを重視すればよいのです。
ツール中心の設計に伴う人的代償
人間中心の設計では、ユーザーエクスペリエンスの原則と同様に、ツールを手にする人にとっての使用感を重視します。リーダーは、対応の優先順位付けから、コラボレーション、重圧下での意思決定まで、アナリストが能力を最も発揮できる作業スタイルを理解する必要があります。そのうえで、そうした作業をサポートするワークフローとシステムを設計するのです。
たとえば、以前に見たあるSOCでは、機能が重複する検出プラットフォームを2年間のうちに5つも導入していました。その結果、アナリストは何時間も費やしてシステム間のアラートを照合しており、ツールによってデータ形式が微妙に異なるために自動化プレイブックの実行が失敗することも頻発していました。さらに、インシデント調査ではたいてい、アナリストはさまざまなツールに対して検索を何度も実行してから、手作業でデータを1つのタイムラインに統合しなければなりませんでした。その結果として調査が長引き、兆候が見落とされ、最終的に脅威の進行が何日も見逃されるという、ほとんど致命的なセキュリティギャップが生じていました。
チームがツールだけに依存していると、環境がパッチワーク化して統合が不安定となり、データは階層ごとにサイロ化し、ワークフローは明確な方向性を持たず場当たり的になりがちです
セキュリティチームの組織体制や行動ルールがテクノロジースタックに過度に基づいていると、勢いがそがれるのは脅威ではなくSOCです。アナリストは、多数のダッシュボードを行き来しながら、アラートの矛盾を照合し、関連付けが済んでいるべきデータ同士を苦労してつなげていることになります。Splunkの『セキュリティの現状:強力でスマートな未来志向のSOCを構築』レポートでは、セキュリティ担当者の46%が、組織の防御よりもツールの保守管理に時間を取られていると回答しています。それが続くと、疲労が蓄積し、調査時間が長引き、魅力的であるはずの仕事で雑事に追われることになってしまいます。
そうなるともはや、アナリストはツールを助けではなく障害物のように感じ、やる気をなくしたり、離職したりすることになります。一人ひとりの離職に伴い、後任の採用と研修に費用がかかり、組織に蓄積された知識は失われ、チームが能力を最大限に発揮できるまでの時間は長引いていきます。こうした不安定な状態はレジリエンスを低下させ、組織は必要以上に長い間、脅威にさらされることになります。
たとえチームメンバーはとどまっているとしても、ワークフローが分断されていれば、シグナルを見逃し、無駄な作業に追われ、代償の大きいセキュリティギャップが生じる恐れが高まります。こうした結果に陥るのは、ツールの機能不足のせいでも未熟なアナリストのせいでもありません。人的な側面を考えずにシステムを設計したら必然的に予測できる結末なのです。
人間中心の設計の4つの柱
人間中心のSOCを構築するには、まず、アナリストの仕事の現状を知る必要があります。本来なら有意義な調査の実施に使うべきなのに、アラートの追跡やツールの切り替えなどに費やしている時間がどれくらいあるのかを確認します。障害、重複、ボトルネックがどこで発生しているのかを特定します。その結果から、テクノロジーがチームの役に立っているのか、それとも密かにパフォーマンスを低下させているのかがわかります。
CISOは、リーダー層がこの知見を踏まえて行動に移せるよう支援するために、次のような人間中心の設計の4つの柱に基づいてツールを評価できます。
- 使いやすさ:ツールが、アナリストのワークフローにシームレスに統合されるか。直感的なインターフェイスと論理的なナビゲーションを備え、認知負荷が最小限になっているかをチェックします。ツールによって、クリック回数が減り、関連データが統合されて、アナリストが保守管理ではなく付加価値の高い業務に集中できる状態になるべきです。
- 統合性:既存のプラットフォームやデータソースとどれだけスムーズに連携できるか。人間中心のツールは、サイロを解消し、データの関連付けに伴う反復作業を自動化し、チーム間のコラボレーションをサポートしてくれます。統合によって、コンテキストの切り替えを減らし、調査にかかる時間を短縮できます。
- 柔軟性と適応性:さまざまなワークフローや意思決定アプローチに対応できるか。アナリストがトリアージ、優先順位付け、エスカレーションを行う方法は多種多様です。硬直した手順を強いることなく、ユーザーのニーズに適応するツールがあれば、チームは重圧下でも高い生産性を発揮できるようになります。
- アナリストの作業への測定可能な効果:検出メトリクスを提供するだけでなく、ワークフローの効率化、アラート疲れの軽減、アナリストの満足度向上につながるか。アンケートの実施、現場の観察、使用状況データの分析により、ツールへの投資が人のパフォーマンス向上に本当に役立っているかどうかを判断します。
リーダーは、新しいツールの選定だけでなく、既存スタックの定期的な監査にも取り組むべきです。大まかな手順としては、まず、すべてのツールをワークフローに照らして整理し、重複する機能を特定するとともに、統合のギャップを文書化して、アナリストの生産性とセキュリティに対する効果に基づいてアップグレードや統合の優先順位を判断します。上記の4つの柱を基準に、購入時と定期監査時の両方で各ツールを評価することによって、投資は隠れた負担を生むものではなく、チームを強化するものになります。
強力なセキュリティは人が起点
セキュリティは技術的な課題と考えられがちですが、根本的には人的な課題です。ツールのみを中心に構築されたSOCは、最終的に、それ自体の複雑さによる重みに耐えきれなくなります。一方、人間を中心に構築されたSOCは、適応力が高く堅牢で、発展性があります。
チームの能力を最大限に引き出すには、セキュリティリーダーが新たな目でチームを見直すことです。ツールの集合体ではなく、効果的に運用する専門家のために設計されたシステムとして捉え直すということです。レジリエンスを実現するのは、リーダーが購入するツールではなく、リーダーがサポートする人間なのです。
チームが非効率性を排除し、よりスマートで自動化されたSOCを構築する方法について詳しくは、『セキュリティの現状』レポートをダウンロードしてください。
このブログはこちらの英語ブログの翻訳、前園 曙宏によるレビューです。
