Splunkの『2025年のセキュリティの現状』で未来志向のSOCを考察

SOCリーダーは、先を読まない時点ですでに後れを取っています。2025年以降はテクノロジーの進化がさらに加速します。猛スピードで進むAIイノベーション、拡大するスキル不足、巧妙化し続ける脅威に対処するために、SOCチームには、将来を見据えた戦略を取り入れてレジリエンスを強化することが(半ば強制的に)求められます。 

未来志向のSOCの姿を探るため、Splunkは、9カ国、16の業界に属する2,058人のセキュリティリーダーに調査を行い、その結果を最新のレポート『2025年のセキュリティの現状：強力でスマートな未来志向のSOCを構築』にまとめました。Oxford Economics社の協力のもとで行われたこの調査により、SOCの変革を阻む最大の要因と、変革の実現に最も効果的な戦略が明らかになりました。私たちは当初、SOCにとっての大きな脅威は外部的な要因によるものと考えていましたが、一部の要因は、組織を守るという本来の任務を妨げる内部の非効率性であることがわかりました。 

実際、調査では約半数(46%)が、脅威の戦略的な調査や緩和などの任務よりも、ツールの設定やトラブルシューティングといった保守作業に多くの時間を取られていると回答しています。アラートの調査もSOCの非効率性を生む主な要因の1つで、59%が、アラートが多すぎると回答しています。さらに、57%が、データ管理戦略が不十分であるために調査に無駄な時間がかかっていると回答しています。同時に、深刻なスキル不足がSOCチームに重い負担としてのしかかり、52%が、チームが過剰な労働状態にあると訴えています。

これらの課題を克服するには、AIと自動化、高度な検出戦略を取り入れ、脅威の検出、調査、対応への統合的なアプローチを採用した未来志向のSOCを構築する必要があります。

AIとDaC(Detection-as-Code:コードを用いた検出)がスピードと柔軟性をもたらす

AIは未来志向のSOCにおいて重要な要素です。一般的な問題を解決し、関連するコンテキストを提供し、データを統合するAIの能力を見過ごすことはできません。特に、人手不足と過剰な労働状態に陥っているチームには大きな助けになるでしょう。実際、AIに対する関心は高く、調査では、サイバーセキュリティに関する2025年の優先項目として、セキュリティワークフローへのAIの導入がトップに挙げられました。また、AIをすでに導入している組織では生産性が大幅に向上し、59%がAIによって効率が「ある程度向上した」または「大幅に向上した」と評価しています。 

SOCでの責任あるAIの導入とは、適切なチェック体制を整え、AIと人間の役割のバランスを取ることを意味します。調査でも、61%がミッションクリティカルな業務においてAIを「ある程度信頼している」と回答しています。セキュリティ担当者として重要なのは、「決して信頼せず、常に検証せよ(Never Trust, Always Verify)」という基本的な考え方を胸に刻むことです。一方で、AIを完全に否定してしまうと、多くの機会を逃すことになります。特に生成AIのメリットについては、ドメイン特化型のAIによる専門的な提案を期待する声が高く、63%が、ChatGPTのような一般的に利用できるツールよりも、ドメイン特化型の生成AIツールの方がセキュリティ運用の能力を「飛躍的に高める」または「かなり高める」と評価しています。

AIはさらに、DaC (コードを用いた検出)の実現の点でも効率化への道を開きます。DaCは、検出エンジニアリングを自動化および標準化するという、新たな脅威に先手を打つための最新のアプローチです。 

多くのSOCが今でも、未知の脅威を積極的に探しに行くのではなく、エンドポイントの状況を見守り、セキュリティツールのアラートが届いてから脅威に対応するという、従来の監視手法にとどまっています。未来志向のSOCは、こうした古い考え方にとらわれず、脅威インテリジェンスを活用してプロアクティブに脅威を検出するようになるでしょう。新たな攻撃に関する情報が公開されたら、ただちにその攻撃に対応した検出を開発して、すばやく調査を開始します。 

このプロアクティブなアプローチを実現するのがDaCです。DaCは、未来志向のSOCで中心的な役割を果たすことになるでしょう。調査では、63%がDaCを今後「頻繁に」または「常に」使用したいと回答しています。一方で、現在「頻繁に」または「常に」使用している回答者は35%にとどまりました。 

この期待と現実のギャップの原因は、DaCの導入が難しいという認識にあるのかもしれません。しかし、市場はすでに成熟しており、今後、対応製品がもっと増えて、導入のハードルは下がっていくでしょう。そこさえ乗り越えれば、目の前に大きなメリットが広がります。たとえば、DaCを導入した組織の半数以上(52%)が、ワークフローの自動化を実現しています。ワークフローの自動化は、SOCにさらなる効率とスピードをもたらします。

SOC内外で連携を強化する  

SOCにはツールが欠かせません。しかし、多様なツールを個別に運用していると、作業の負担が増え、データがサイロ化し、盲点が生まれます。実際、私は以前SOCのリーダーを務めており、26万人以上の従業員を監視していましたが、常にいずれかのツールで問題が起き、それが環境全体に混乱を招くこともありました。ファイアウォールでの一見無害な変更が、組織の半分の業務を停止させるような事態を引き起こすこともあるのです。 

調査では、78%がセキュリティツールが分散していると回答し、69%はそのことが「ある程度課題になっている」または「大きな課題になっている」と指摘しています。これは、ツール間やチーム間の連携の欠如がSOCにとって重大な問題になっていることを示しています。 

今日、ほとんどのSOCは、自分たちが管理する範囲内の業務を円滑に行っています。しかし、他のチームのデータが必要になると(実際、頻繁に必要になります)、待機状態に陥ることがあります。未来志向のSOCでは、ツール間もチーム間も、もっと緊密に連携することができるでしょう。 

セキュリティチームとオブザーバビリティチーム間でのデータ共有は連携の強化につながりますが、データを常に共有していると回答した割合は9%にとどまりました。しかし、データを共有しているSOCは大きなメリットを感じており、78%がインシデント検出の迅速化を「中程度のメリット」から「革新的なメリット」として挙げています。

人事や法務などの外部チームとの連携を強化することもSOCの効率化につながります。さらに、統合プラットフォームを導入して他のチームのチケットシステムと統合すれば、チーム間のコラボレーションをよりすばやく簡単に行うことができます。ツールやチーム間の連携がなく、SOCが孤立していると、他のチームに情報がタイムリーに伝わらず、迅速な行動が求められるSOCが窮地に立たされる可能性があります。調査では、統合プラットフォームの導入によって、59%がインシデント対応の迅速化を評価し、53%がツールの保守時間の短縮を評価しています。これらのメリットを実現すれば、SOCをさらに効率化できます。

詳しい調査結果については、『2025年のセキュリティの現状』レポートの全文をご覧ください。レポートでは、レジリエンスの強化に重要なスキル、未来志向のSOCでAIが果たす役割、SOCの成果を向上させるためのSplunkのエキスパートからのアドバイスなどもご紹介しています。

このブログはこちらの英語ブログの翻訳、高山 慶子によるレビューです。