今回はSumo Logic社の2025年セキュリティオペレーションインサイトレポートに関する記事を日本語化しました。
原文はこちらをご参照ください。
Sumo Logicの「2025年セキュリティオペレーションインサイトレポート」は、単なる業界調査ではありません。SOCの声を代弁するものです。
積み上がったキュー、古いアラート、作動していない自動化、スクロールはできても有益な情報がないダッシュボードに至るまで、このレポートはすべてのアナリストやCISO(最高情報セキュリティ責任者)が長年感じてきた「システムには根本的な見直しが必要だ」という感覚を、数字によって裏付けています。
以下に、私たちがデータから得た最も明確な教訓と、先進的なセキュリティチームがそれらの知見をどのように行動に移しているかを示します。
SIEMインフラストラクチャには近代化(モダナイゼーション)が必要
知見: セキュリティリーダーの75%が新しいSIEMソリューションを積極的に評価しており、ほとんどの組織が現在のシステムを3年以上使用しています。
意味: 現代のセキュリティ環境は、クラウドサービス、API、SaaSアプリケーション、コンテナ・オーケストレーション・プラットフォームから、かつてないほど大量のテレメトリデータを生成しています。
レガシーのSIEMは、効果的な脅威検出に必要な速度と規模でこのデータを処理するのに苦労しています。
これは、クラウドファーストのバンキング・プラットフォームであるMambuが、レガシーSIEMではテレメトリデータの監視における重要な抜け漏れを検出できないという事態を経験しています。
重要性: 組織は、クラウド・ネイティブ環境向けに設計されたSIEMプラットフォームを優先すべきです。
これにより、データをリアルタイムで取り込んで分析し、事後対応型ではなく、事前対応型のセキュリティ体制を実現できます。
効果的なオペレーションにはコンテキスト(文脈)インテリジェンスが不可欠
知見: 回答者の85%が、次期セキュリティ・プラットフォームの重要な要件として脅威インテリジェンスの統合を挙げており、行動分析やUEBAも同様に重視しています。
意味: 現代のSOCが直面している課題は、データの不足ではなく、異なるデータソース間のコンテキスト(文脈的)な相関関係の欠如です。
効果的な脅威検出には、シグネチャベースの検出方法だけに頼るのではなく、ユーザーの行動パターン、リスク・プロファイル、経緯を理解することが求められます。
重要性: 統合された行動分析と自動化されたリスク・スコアリングを提供するセキュリティ・プラットフォームを導入し、生のアラートを、適切な優先度分類がなされた実用的なインテリジェンスへと変換するべきです。
人工知能(AI)はオペレーション効率の課題に取り組む必要がある
知見: 1日平均10,000件にものぼるアラート量への対応から、回答者の90%が、セキュリティ・プラットフォームの選定において高度なAI機能を「極めて重要」または「非常に重要」と考えています。
意味: セキュリティ・オペレーションにおけるAIの導入は、アラートの相関付け、行動モデリング、インシデントの要約を通じて、アナリストの作業負荷を軽減することに焦点を当てるべきです。
必要なAI機能には、重複アラートの統合、適応型ベースラインの確立、コンテキストに基づいたインシデント概要の作成などが含まれます。
重要性: 人間の専門知識を置き換えようとするものではなく、自動化によってアナリストの生産性を向上させるAIを搭載しているセキュリティ・プラットフォームを評価すべきです。
AIによる決定の根拠を明確に説明し、アナリストの信頼と能力を構築できるソリューションに注目してください。
測定可能な成果をもたらす自動化の必要性
知見: 84%の組織が組み込みの自動化機能を望んでいる一方で、現在の自動化の実装に満足しているのはわずか28%です。
意味: 多くの自動化の取り組みは、アラートを担当者に振り分けることに留まっており、実行可能なレベルの対応まで自動化できていません。
本来、効果的な自動化とは、アカウントの無効化、対応履歴の記録(ケースの文書化)、関係者への通知といった一連の対応処理を人手を介さずに実行できるものでなければなりません。
重要性: 「検出」プロセスと「対応」プロセスを、一元化されたワークフローに統合する自動化フレームワークを導入すべきです。
また、その自動化の信頼性を担保し、組織(現場)からの信頼を得るために、厳格なテストプロセスとバージョン管理体制を確立することが重要です。
SIEMプラットフォームは投資収益率(ROI)を推進しなければならない
知見: SIEMへの投資から満足のいくROI(投資収益率)を得ていると報告したセキュリティ・リーダーはわずか50%であり、95%がベンダー・ロックインへの懸念を表明しています。
意味: ROIの低さは多くの場合、複数のインターフェースや手動のデータ転送プロセスを必要とする断片化されたツールセットによって引き起こされる、オペレーションの非効率性に起因します。
これらの非効率性が、アナリストの燃え尽き症候群や脅威検出効果の低下につながっています。
重要性: シームレスな統合を可能にし、オペレーションの複雑さを軽減するために、オープンAPI、移植性の高い検出ルール、柔軟なデータモデルを提供するセキュリティ・プラットフォームを優先すべきです。
まとめ
このレポートは、セキュリティ・オペレーションの近代化が、戦略的なテクノロジー投資と運用改善を通じて、必要不可欠かつ達成可能であることを示しています。
現代のセキュリティ・オペレーションにおける成功には、可視性、コンテキスト・インテリジェンス、人工知能、自動化、合理化されたワークフローを統合し、アナリストの能力に負担をかけるのではなく、むしろ強化するような、まとまりのあるシステムとしてのSIEMプラットフォームが不可欠です。
- カテゴリ:
- Sumo Logic
