コード化で検出機能を強化：DaC (コードによる検出)の戦略的優位性

セキュリティチームがDaC (コードによる検出)で検出エンジニアリングを強化する方法

セキュリティ責任者は、組織が特定の攻撃を検出可能かどうかをどのように判断すればよいでしょうか？有能で経験豊富なチームが高度なツールを駆使すれば、確かに検出の信頼性は高まりますが、それでも方法が適切に体系化されていなければ検出漏れが発生する可能性があります。

DaCは、検出のための開発、テスト、改良を継続的なサイクルで行う、検出エンジニアリングの新しいアプローチであり、セキュリティ環境全体の包括的なカバレッジを維持するための最も効果的な方法の1つです。Splunkの年次レポート、『2025年のセキュリティの現状：強力でスマートな未来志向のSOCを構築』では、回答者の63%が今後DaCを「頻繁に」または「常に」使用したいと考えていることが示されています。しかし、実際にDaCの導入がそこまで進んでいるのはわずか35%にとどまっており、期待と実態のギャップが浮き彫りとなっています。

このギャップが生じる理由としては、時間とリソースの初期先行投資が必要であることに加えて、別の説明も考えられます。それは、SOCの担当者にとってはDaCのメリットは明らかであるものの、経営幹部は「これに価値があるのか？」と疑問を抱いている可能性があるということです。DaCはビジネス全体に計り知れない価値をもたらしますが、組織はまずそのメリットを享受できる態勢を整えなくてはなりません。 

科学的手法に基づいた検出カバレッジ

検出エンジニアリングは、職人的な技術というよりは科学的な技術と考えるべきです。SOCの検出手法を体系化するプロセスがなければ、リーダーはカバレッジについて尋ねられた際に、概算に頼らざるを得なくなります。たとえば、EDR (エンドポイント検出/対応)ツールが提供するカバレッジには一定程度の有効性はありますが、カスタムのビジネスアプリケーションやSaaS製品などを見逃してしまうことがよくあります。正確なカバレッジを把握できなければ、脅威は簡単に見落とされてしまうでしょう。

DaCを導入すれば、SOCが検出のカバレッジを正確に把握できるようになり、その検出ルールがどのような条件のもとで有効に機能するか、あるいはしないかといったことを正確に把握できるようになるため、推測に頼る必要がなくなります。たとえば、異なる種類の入力データ、バージョンの異なるプラットフォームやデータ変換用プラグインなど、複数の依存関係がある状況でテストを行う場合などには、DaCを使用していなければ作業はますます複雑化してしまうでしょう。DaCではまた、各検出ロジックをコード化して、人間と機械の両方が読み取れる形のドキュメントとして一元的に管理することも必要です。環境と検出コンテンツがコードで記述されることにより、アナリストはテストやレポート作成といった手間のかかる作業を自動で実行することができるようになります。実際、『2025年のセキュリティの現状』の回答者の半数以上(52%)が、DaCによってワークフローの自動化が実現したと答えています。

ワークフローの自動化は、SOCの効率を向上させるとともに、オーバーワーク状態にあるアナリストにとっても福音となります。さらに、組織のセキュリティカバレッジを取締役会に報告しなければならない経営幹部にとっても朗報といえるでしょう。DaCにより、実務担当者だけでなく経営幹部も、コード化されたデータについて質問し、カバレッジに関する正確な情報を入手できるようになります。また、各検出をMITRE ATT&CKなどのフレームワークにマッピングすることもできます。

DaC導入のジャーニー

DaCは、きわめて専門的なプロセスとワークフローを中心としたアプローチです。そのため、DaCを導入するからには、検出エンジニアリングチームの運用実務が変化することは避けられません。『2025年のセキュリティの現状』によると、46%のチームはベンダーが提供する検出機能に頻繁または常に依存し、そのうえで社内アナリストがその微調整を行っているというのが現状です。この現状を鑑みれば、ほとんどの組織にとって、DaCの導入には文化的な変革が求められます。しかも、組織に深く根付いた習慣や働き方が関係しているため、その変革は容易なことではありません。

DaCの取り組みが成功する可能性が高いのはどのような組織でしょうか。それは、継続的な改善と適応性(DaCの2つの重要な原則)を可能にするベストプラクティスをすでに取り入れている組織です。

SOCがDaCに効果的に移行し、そのメリットを享受するためには、以下の基本的なプラクティスを確立することがきわめて重要です。

継続的なフィードバックループを実装する：検出のためのフィードバックループを構築することで、アナリストは場当たり的な対応ではなく、全体像について体系的に考えることができます。検出の一般的なワークフローは、調査、検出、監視、展開です。成熟度の高い検出エンジニアリングチームであれば、脅威がどのように振る舞うか、検出機能によって脅威がどのように可視化されるか、その結果、誤検知が生成されるかどうかを理解しています。そして検出機能が本番環境に展開されたら、何らかの脆弱性が存在していないかを継続的に調査します。この際には、検出ロジックを失敗させることを意図した、より複雑なテストによる調査を自動で実行できれば理想的でしょう。一方、成熟度が低いチームは、緊急事態の発生時に検出ルールを作成したり、本番環境でテストを実行したりといった、後手に回った対応をすることになるかもしれません。

コードリポジトリを活用する：ExcelシートやJiraではなく、Gitなどのコードリポジトリを使用することで、コードのマージやコミットが容易になり、アナリストは開発者と同様の視点や考え方で作業できるようになります。これは取り入れるべき重要なマインドセットです。なぜなら、DaCは、継続的な監視と改善といったDevSecOpsの原則に基づいているからです。コードリポジトリは、運用上の重要なメリットももたらします。それはたとえば、誰がいつ検出ロジックを変更したかについての明確な監査証跡が残ること、条件付きトリガーによるCIジョブの自動化がサポートされること、リビジョン履歴を保持しているため、検出ロジックに問題が生じた際には必要に応じて容易に元に戻せることなどが挙げられます。また、バージョン管理システムにより、コラボレーションも容易になります。これは、DaCを採用するチームが備えるべきもう1つの重要なスキルです。

すべてを文書化する：DaCは、単に検出ロジックをコード化するだけで終わりではありません。環境内では、データ、設定、検出ロジック自体などを含め、何らかの変化が生じることは避けられませんが、その際にその検出ロジックを改善できることが重要です。ドキュメントやレポート記録は、チームがこうした変化を理解し、臨機応変に対応するのに役立ちます。そして、最も成熟度の高い検出エンジニアリングチームは、そのドキュメントもDaCを使用して自動生成しています。

成熟度の高い検出エンジニアリングチームの構築は、一朝一夕で成し得るものではありません。それは、それぞれのベストプラクティスの積み重ねの上に実現していく息の長いジャーニーです。セキュリティチームがDaCの原則を取り入れることで、このアプローチがもたらすメリット、それも数多くのメリットを簡単に活用することができます。

検出機能の品質ギャップに取り組む方法と、DaCがもたらすメリットについて詳しくは、『2025年のセキュリティの現状』レポートをダウンロードしてください。

このブログはこちらの英語ブログの翻訳、中里 美奈子によるレビューです。