ガートナー社 2025年 SIEM部門のマジック・クアドラント
Splunkが11回連続でリーダーに選出された理由をこちらからご確認ください。
SOCで連携しないセキュリティツールがもたらす真のコスト
SOCではスピードが命です。しかし、あまりに多くのチームが、分散して連携しないツールのせいで泥沼に足を取られています。その先に待ち受けるのは、遅延、盲点、そしてビジネスリスクの増大です。
Splunkの『2025年のセキュリティの現状:強力でスマートな未来志向のSOCを構築』レポートの調査によると、セキュリティリーダーの78%が、セキュリティツールが分散しており、連携していないと回答しています。また、69%が、この分散がチームにとって「ある程度課題になっている」または「大きな課題になっている」と回答しています。これらの課題は、アナリストの時間の浪費、盲点がもたらすコストの増大、防げたはずのインシデントの発生という形で表面化します。
ツールが助けではなく障害になる
セキュリティチームは、新たな脅威の発生、コンプライアンス要件の追加、魅力的な機能の登場に合わせてツールを次々と導入する傾向があります。しかし、時間が経つにつれてスタックが肥大化するとともに、統合性が失われ、コンテキストが分断され、専門知識が希薄になっていきます。たとえば、SIEMを中心に業務を標準化したSOCで、アナリストがそのSIEMに深く習熟している場合、異なるベンダーのツールを追加すると運用が複雑になり、スタッフの増員が必要になります。しかし、予算がそれに比例して増加することはまずありません。
『2025年のセキュリティの現状』レポートによると、59%が、ツールと関連ワークフローの保守に多大な時間がかかっていると回答しています。チームはすでに、慢性的な人手不足でパンク寸前です。調査では49%が、サイバーセキュリティに関する組織最大の課題として人材不足とスキル不足を挙げています。アナリストが業務を遂行するために4つ以上のプラットフォームを使い分けなければならない状況になれば、仕事の遅れを避けるために近道を見つけようとするのも無理はないでしょう。たとえば「パッチ適用とアップグレードは1カ月ごとではなく四半期ごとにしよう」と考えるようになるかもしれません。こうした妥協はいずれ、セキュリティ態勢とパフォーマンスの両方を低下させます。
その影響は具体的な問題として現れます。ツールの重複や設定のミスによってアラートが大量に発生し、アナリストがノイズの処理に追われて真の脅威を見逃してしまう事態は実際に発生しています。また、調査で32%がSOCの非効率性を生む主な要因として挙げた専門知識の不足によって、脅威が見落とされることもあります。たとえば、複数のファイアウォールを使用しているある組織では、1人のファイアウォールエンジニアが3社のファイアウォールすべてを管理していました。しかし、エンジニアは各製品の複雑な仕様を十分には理解していなかったため、リスクの高い地域からのトラフィックをブロックするルールを作成したものの、一部のファイアウォールで正しく実装されませんでした。その結果、ルール階層の構成にミスが生じ、攻撃者はその隙を突いて防御をかいくぐり、DMZ内のExchangeサーバーを踏み台にしてランサムウェアを拡散しました。
ツールの分散は、セキュリティ態勢全体の弱体化にもつながります。たとえば、ある組織では、ログを集約するツールを使用せず、各システムからsyslogデータを個別に収集していました。その結果、可視性に大きなギャップが生じ、すべてのデバイスからログを受信できているかどうかすら明確に把握できていませんでした。また、ウイルス対策ソフトウェアは最新のものを使用していましたが、アップデートはほとんど行われていませんでした。結局、保護対策は万全だと思い込んでいただけで、実際には重大な盲点が存在していました。
最終的に、組織は難しい数学的問題に直面します。「1人のエンジニアが4つのツールを効果的に管理することはできるのか?もしできないなら何が犠牲になるのか?」ということです
連携しないツールの影響は、コンプライアンスや運用規定にも及びます。たとえば、SOCチームが、中央ITシステムのボトルネックを回避するためだけに、非公式なチケット管理システムを作り、承認やセキュリティ審査を受けずに勝手にツールを導入することがあります。これは、コンプライアンスに必要な文書化の遅れや不正ソフトウェアの蔓延につながります。アイデンティティシステムと人事システムが連携していなかったために、解雇された従業員が退職後もSlackなどのコラボレーションプラットフォームに何週間もアクセスできる状態になっていたケースもあります。このように、目の前のデータ流出のリスクが見過ごされることもあります。
ツールの分散が収益にもたらす影響
これらすべてが重なると、財務面でも厳しい現実が見えてきます。新しいツールを追加するたびに、ライセンスだけでなく、要員、トレーニング、統合、維持管理のための予算も必要になります。アーキテクチャが複雑で1つのツールに2人のエンジニアが必要であっても、予算の制約で4つのツールに1人のエンジニアしか割り当てることができない場合、効率が低下するだけでなく、リスクが増大します。
私が一緒に仕事をしたある公共機関は、ベンダーの異なる数百のツールを25個にまで削減しました。これにより、4,000万ドルもの節約に成功し、その資金を人員と能力の増強に再投資しました。たしかに機能は減りましたが、優秀な人材を確保したことにより、最終的にセキュリティ態勢を強化することができました。
多くの場合、ツールの合理化はコスト削減の目的で行われます。しかし、セキュリティリーダーは、これをレジリエンス戦略の実行機会と捉えるべきです。そのためにはまず、ツール環境の現状を確認します。
- 機能が重複しているツールはないか?
- 各ツールは全面的に導入され、適切に設定され、十分に統合されて、すべての機能が利用されているか?たとえば、アイデンティティ管理、SIEM、SOAR、人事システムを統合することは、データ漏えいを防ぐために非常に重要です。
- ツールの検出機能は組織で優先度が高いユースケースに対応しているか?
- ツールで実際にデータを監視し、それを活用しているか?
そして最も重要な点は、チームがどのツールに対して実際にメリットを感じているかです。
ツールを使う人のことを考える
ツールを評価するときは、機能の新しさよりも、実際にチームの役に立つかどうかを重視しましょう。たとえば、十分に要員が確保された1つの統合的なEDRプラットフォームは、3つの部分導入されたソリューションよりも有力な選択肢となります。特に、それによって予算をアナリストの採用、育成、定着に回せるのであればなおさらです。多くの場合、セキュリティを強化するために有効な対策は、ツールを増やすことではなく、少ないツールを賢く利用することです。
アナリストが、連携しない複数のプラットフォーム間でコンテキストをつなぎ合わせる負担を強いられることなく、統合されたエコシステムの中で効率的に業務を遂行できるように支援することが大切です
セキュリティ態勢の整備では、技術だけでなく人的側面も考慮する必要があります。ツールがチームの成功を妨げているのであれば、アプローチを見直す良いタイミングです。考えるべきは、「どの穴を埋めるべきか?」ではなく、「チームの効率を高める最も簡単な方法は何か?」です。統合、有用性、レジリエンスを重視したSOCづくりを始めましょう。
チームが非効率性を排除し、よりスマートで自動化されたSOCを構築する方法について詳しくは、『2025年のセキュリティの現状』レポートをダウンロードしてご覧ください。
このブログはこちらの英語ブログの翻訳、前園 曙宏によるレビューです。
