こんにちは、技術本部のH.T.です
今回はSumo Logic社で2025年9月4日に公開されたChristopher BeierさんのSOC効率化に関するブログを日本語化したものです。
原文はこちらをご参照ください。
------
新たなテクノロジーとデジタル化について話すとき、イノベーターが最高のセキュリティツールを市場に投入するために働く一方で、悪意のあるアクターが同時にこれらの新システムの抜け穴や脆弱性を特定するために働いていることを忘れがちです。サイバー攻撃が稀な出来事だった時代は過去のものとなり、今では攻撃はほぼ毎日発生しています。
攻撃がより巧妙になり、実質的に避けられないものとなるにつれ、CISOは「いつ起こるか」という視点で準備を進めており、「もし起こったら」という視点ではなくなっています。ほとんどの組織が、攻撃が発生した際の組織への影響を軽減するために、セキュリティインシデントの特定、管理、封じ込めを支援するセキュリティオペレーションセンター(SOC)への投資を行っています。
そして、スタンドアップが開発者だけの儀式から、より良い連携のためにチーム全体で受け入れられる慣行へと進化したように、SOCも攻撃が発生した場合の影響を軽減するために人とプロセスを結び付ける中央ハブとなっています。
エンタープライズSOCとSIEMテクノロジーの進化
エンタープライズSOCは、デジタル化と相互接続性の増加により、ほとんどの組織の管理部門の重要な部分となっています。SOCは、企業の日常業務内でセキュリティアラートの監視、管理、対応において重要な役割を果たしています。
サイバー攻撃がより巧妙になるにつれ、SOCへの要求は、データ量の増加、複雑なセキュリティツールエコシステム、データソースと攻撃ベクトルの増加とともに変化しています。効率性を維持するために、SOCはログ管理とデータ分析を超えて、自動化の採用、ビッグデータとインテリジェントな意思決定支援のためのAIの活用、そしてオブザーバビリティを通じた製品への可視性向上を受け入れる必要があります。
SOCにおけるリアルタイムセキュリティの必要性が高まっているにもかかわらず、ほとんどの企業は依然として非効率性に苦しんでいます。一部の企業は、意味のある洞察を提供できない、またはクラウドサービスを処理できないレガシーなセキュリティ情報およびイベント管理SIEMツールによって制約されています。その結果、多くの企業がクラウド環境を監視するためのSIEMと、その他すべてを処理する別のSIEMを持つことになり、これが大きな死角を生み出しています。ほとんどのSOCは、日々のセキュリティオペレーションへの可視性を高める包括的で現代的なSIEMツールの使用を通じて対処する必要がある、さまざまな運用上および技術上の課題に直面しています。
Sumo Logic Cloud SIEMは、セキュリティアナリストに企業全体の強化された可視性を提供し、攻撃の影響と文脈を理解するのに役立ちます。合理化されたワークフローと自動的にトリアージされたアラートにより、セキュリティアナリストは効率を最大化し、焦点を絞ることができます。
一般的なSOC運用上の課題
クラウド移行、デジタルトランスフォーメーション、IoTテクノロジー、サイバーセキュリティにおけるテクノロジーの進歩に伴い、ほとんどのSOCは新興テクノロジーに追いつくことに苦労しています。これにより、SOCチームの不足が生じ、組織運営のセキュリティ態勢の全体像を把握することができなくなっています。SOCが日々直面する4つの課題は以下の通りです。
1. アラート疲れ
Sumo Logicの2025年セキュリティオペレーション洞察レポートによると、セキュリティリーダーの70%以上がアラート疲れと誤検知に苦しんでおり、多くが1日に10,000以上のセキュリティアラートを受け取っています。
多くのSOCアナリストにとって、これはログを精査し、セキュリティイベント通知を確認するために何時間も費やすことを意味し、その多くは何の成果にもつながりません。課題に加えて、予防を約束するポイントソリューションが多すぎるにもかかわらず、日々の効率向上にはほとんど寄与していません。数百のセキュリティインシデントを解決することは、その多くが繰り返し発生し重要度の低いものであるため、面倒で、やる気をそぎ、ストレスフルです。
レポートによると、アラート疲れは購入者を単なるログコレクターではなく、AIコアアナリストのように振る舞うプラットフォームに向かわせています。セキュリティチームは、セキュリティチームを圧倒することなく、より良い脅威検出、パターン認識、異常検出を備えたセキュリティソリューションを求めています。
2. 「オオカミ少年」効果
SOCにとって困難なのは、アラートの多さだけでなく、これらのアラートの大部分が誤検知であるという事実であり、これがSOCアナリストを鈍感にし、ストレスを生み出します。
多くの企業は、実際のアラートを解決するよりも、誤検知をやり取りすることに大部分の時間を費やしています。セキュリティアナリストは、この傾向を認識し、アラームが真か偽かを迅速に評価する必要があります。そして、アラートをトリアージすることで、適切な関係者にエスカレーションできます。これが今日ほとんどの組織が苦労していることです—実際のアラートと偽のアラートを区別し、適切なものに対応することです。
3. 人材不足
現在、人材、スキル、知識の不足があります。人材不足はサイバーセキュリティ業界における最大の障害であり、十分な熟練した人材が存在しないからです。そしてクラウド移行により、これらの特定のスキルを持つ候補者を見つけることがさらに困難になっています。
組織がセキュリティスキルギャップを埋めるために十分な速さで採用できない場合、その負担は既存のSOCスタッフにかかります。監視および管理ツールを完全に活用する専門知識がなければ、チームはより遅く、効果的でない対応をします。セキュリティソリューションが直感的でない、または適応性がない場合、熟練したアナリストでも制約を受けます。
知識不足はスキル不足と密接に関連しています。知識が不足しすぎると、従業員が問題を認識できない可能性が高まり、実際のサイバー攻撃への対応に失敗することになります。
4. SOC KPIの設定ベンチマークの欠如
脅威の状況は常に進化しているため、セキュリティチームが時間の経過とともに運用を改善するためにSOC KPIを実装することが重要です。ここでの課題は、これらが非常に主観的であり、SOC KPIの設定ベンチマークが存在しないことです。
すべての組織の優先事項は異なりますが、SOCの成熟度とビジネスアラインメントの最も明確な見解を提供するために開始すべき、いくつかの中核KPIは以下の通りです:
- 検出と対応:MTTD、MTTR、滞在時間、検出カバレッジ
- アラート品質:真の対偽陽性率、シグナル対ノイズ比、アナリスト利用率
- ワークフローと自動化:自動化率とケース終了率
- ビジネスアラインメント:インシデントあたりのコストでSOC効率をROIに結び付ける
日々のスタンドアップでのSumo Logic Cloud SIEMの使用
当社の顧客ベース全体で、Sumo Logic Cloud SIEMは企業運営から生成される11億のイベントを日々処理し、それらを処置レベルで約10,000のアラートに絞り込みます。そこで文脈的検証、誤検知調整、エスカレーションが発生します。
その後、基本的なルールと高度な相関技術を適用して、アラートを約10の実行可能なアラートに削減します。これによりアラート量は削減されますが、チームは効率を測定しKPIを追跡するために詳細なインシデントレポートが必要です。Cloud SIEMは、レポートと可視性を簡素化するSOCダッシュボードでこの課題を解決します。
SOCスタンドアップ概要
Sumo Logicは、すべての重要な脅威相関、傾向、アラート内訳を1つのビューにキャプチャするシングルペインオブグラスを提供します。すべてのエントリは組織レベルの脅威検出ユースケースへの可視性を提供し、以下を提供します:
- ハニカムビュー:相関、アラートビュー、1日あたりの対応するアラート内訳を統合
- トレンド分析:時間枠でのすべてのアラートを追跡し、色分けされたベースラインでフラグを立てる
このようなSOCダッシュボードを構築することを決定する前に、セキュリティインフラストラクチャ、ロジックのソースと性質、どの機能が組織の特定のセキュリティ目標達成に役立つかを評価する必要があります。
Sumo Logicダッシュボード内訳
Sumo Logicは、日々のSOC運用の実行の困難を軽減するシングルペインオブグラスを提供します。
Sumo Logicは、すべての相関の40,000フィートビューを提供するだけでなく、アラート概要、インシデント概要、SOC KPIによる内訳も提供します。
これらは読みやすさと消費のために別々のペインに分かれています。すべてのダッシュボードは当社のSIEMソフトウェアによって生成される相関によって駆動され、KPIの追跡のために責任アナリストと応答も考慮しています。
SOCダッシュボード:アラート概要
SIEMダッシュボードのこの部分は、アラートを監視し、アラートと動作の要約版を提供します。アラート概要を4つの部分で表示します:アラートの傾向と動作、常習犯、MITRE ATT&CKマッピング、地理的位置情報。
SOCダッシュボード:インシデント概要
これは、調査のためにトリアージおよび優先順位付けされたアラートの総インサイトを表示します。システム生成のインサイト(デフォルトでシグナルクラスタリングアルゴリズムから適応)、ユーザー生成のインサイト(アナリストによってアラートから手動でエスカレーション)、およびインサイトの詳細(Cloud SIEMで生成されたインサイトの概要で構成)が含まれます。
SOCダッシュボード:SOC KPI
このペインは、検出、対応、修復のインサイト終了の平均時間を追跡します。各アナリストがインサイトをどのように終了し、必要な解決の種類を監視します。また、良性アラート、実際のインシデント、誤検知をダッシュボード全体で可視化する方法で解決タイプをカウントします。
☆note
SumoLogic社では、SumoLogic社の日々のスタンドアップでCloud SIEMダッシュボードを使用しており、これにより効率、協力、重要な指標への焦点が大幅に改善されています。
-------
Cloud SIEMの実際の動作を確認したい、デモ環境を利用したいなどその他ご要望がございましたら、下記よりテリロジーへ、お問合せください。
