SANSの調査に見るセキュリティチーム(SOC)をめぐる4つの課題とは？

「SANS 2023 SOC Report」（英語）は、世界中のセキュリティオペレーションセンター（以下SOC）の現状を測る重要な指標となっています。このレポートは、サイバーセキュリティ運用の将来を形づくるデータに基づいた洞察や新たな動向を提供しています。

SANS Instituteが毎年行うSOC調査は、サイバーセキュリティ業界にとって重要な情報源となっています。第7回目となる今回の調査では、スレットハンティング業務、SOAR、スタッフの採用や確保など、新しい観点が追加されました。

調査の回答者はサイバーセキュリティ、テクノロジー、銀行や金融、政府組織などに所属している方が中心で、世界規模で8か国から集計したものとなります。回答者は多い順にSOCアナリスト、セキュリティ管理者、SOCマネージャー、セキュリティ管理者となっております。詳しい人数分布などについては、レポートをご覧ください。

SOCチームに関する調査のポイント

今回の調査では、サイバーセキュリティの計画を考える上で要なトレンドがいくつか取り上げてられています。今回の調査の主要なポイントを紹介します。

各社はSOCチームの予算をどのように決定しているか

予算を立てる際、24.3%のSOC管理者は上層部と密に話し合って予算を策定する方式をとっています。42%はSOC管理者が推奨事項を上申し、その情報を元に上層部の意思決定者が予算を配分すると回答しています。対して13%は、意思決定者がSOC管理者からの推奨事項に対して注意を払わず、別の判断基準で予算を配分していると回答しています。このトピックにおいて特に注目すべき点は、SOCで使用する予算の設定に関して、組織の業種や規模による傾向がほとんどないことです。組織の規模が著しく大規模、または小規模であったり、特殊な業態である場合でも、予算は上層部とSOC管理者の間で双方合意のもと合理的に割り当てられるべきでしょう。トレンドマイクロは経営層と現場の間でのセキュリティに対する認識の統一には、多くの組織が取り組む価値がある課題と考えており、4/25開催のJapan IT Weekにおいても同様のテーマで登壇を行います。

SOC業務において計測するべき指標がなにか

SOC業務において脅威を発見するまでの平均検出時間(Mean Time To Detect)やインシデントの解決までにかかる平均解決時間(Mean Time To Resolve)などといった計測指標は不可欠な要素となっています。実際に本調査においても全体の約88.8%が何らかの計測指標を定期的に活用しているほど、重要な構成要素となっています。逆に指標を活用していないと回答した割合は全体のわずか11.2%であり、そのほとんどが政府機関に所属する回答者でした。SOCの業務において計測指標を活用している場合、計測指標の利用者の満足度は高く、77%が役に立つと考えています。一方で、計測指標が活用されている中でも23%の不満を抱える回答者が存在する点は、今後のさらなる調査の余地があります。

参考記事：『時間』と『可視化』で考える、経営層に必要なセキュリティKPI～Gartner IT SYMPOSIUM/Xpo™ 2023講演レポート～

SOC業務の価値をどう定量化するか

SOC業務の価値を定量化することは複雑であり、回答者の56.3%が定量化を行なっていないと答えています。ただし、定量化に取り組んでいると回答した内の84%が、インシデント業務のコストを50%以下に減らすことができたと報告しており、定量化に取り組むこと自体に一定の効果があるように見えます。また、インシデントの検出（Mean Time To Detect）、解決（Mean Time To Resolve）、復旧（Mean Time To Recovery）にかかる時間の削減も、SOCの価値の定量化においてよく使用される指標の1つと回答しています。これらの指標となる時間の削減は、インシデント対応の全体的なコスト削減に直結し、それによってSOC業務の価値を示すことができます。

SOCチームにおいて人員をどう配置するか

SOCの効率的な運営には、適切な人員配置が不可欠です。現在の傾向として、最も平均的なSOCのスタッフ数は11人から25人（全体の24.8%が回答）であることが分かりました。今回の調査では、さらに人員配置の必要性に焦点を当て、流動的な知識や技能が求められるSOC業務において、「資格をもつ人材」がどれほど重要であるかも明らかにしています。

参考記事：セキュリティ専門企業の社内セキュリティ人材確保戦略～採用者編～

SOCチームが抱える主要な課題

今回の調査からは、SOCチームが直面する重大な課題がいくつか浮かび上がっています。その中でも特筆すべきは以下の各点となります

「木を見て森を見ず」という問題

調査結果によると、回答者の16%が「発生している事象の背景に関する情報が不足している」という点について懸念を深めています。この不安は前年と比較しても高まっており、SOCの活動においてセキュリティイベントの背景を正確に理解することの大切さを物語っています。セキュリティアラート1つをとっても、背景情報が不足していると、適切な意思決定やセキュリティ上の問題に迅速に対応することが難しくなります。

参考記事：高度なサイバー攻撃の対抗策のカギとなる「XDR」。今求められる3要素とは？

自動化の不足

SOC運用におけるもう1つの大きな課題は、自動化が不足している点です。自動化プロセスがないことで、手動での作業に時間を取られ、繰り返しが多くなり、効率も効果も落ちてしまいます。この問題は、セキュリティ運用をスムーズにし、インシデントへの対応力を高めるために、自動化の導入がいかに重要かを示しています。

ITシステム全体に対する可視性の欠如

組織は、システムやIT資産全体の可視性が一部に限られているという問題に直面しています。これが原因で、セキュリティの脅威を素早く検出して対応する能力が低下しています。ITインフラの全体像が見えないと、攻撃者に狙われる「盲点」が生じやすくなります。この問題を解決するには、企業や組織においてITシステム全体にわたる可視性を向上させる戦略が求められます。

スキルを有するスタッフの不足

サイバーセキュリティ分野では、スキルのあるスタッフの不足が続いています。サイバーセキュリティに専門性を持つ人材に対する需要は、市場の供給を常に上回っており、組織にとって強固なセキュリティチームを築き、維持することは難しい問題となっています。こうした不足の解決に向かっては、適切なサイバーセキュリティ人材を惹きつけ、育成し、維持するための戦略的な取り組みが求められます。

一方で好ましい点として、調査結果からSOCチームの管理への支援不足という課題を抱える回答者は、減少していることがわかっています。これはここまでにあげた、背景情報や可視性、自動化の不足などの課題解決に向けて予算確保が進んでいることを意味し、前向きな変化といえます。経営陣からの支援は、SOC管理に必要な変更や改善を実施する上で極めて重要です。トレンドマイクロの過去の調査でも経営陣の関わりがセキュリティ成熟度に有意に影響していることがわかっています。

図：経営層の関わりの大きさ別の組織のセキュリティ成熟度平均
（n=305, 経営層の関わりはリーダーシップ、報告、経営会議での取扱い、予算指示などの観点で計測, セキュリティ成熟度は25の段階設問を用意し測定, 詳細はこちら）

調査結果を踏まえたセキュリティ運用の改善策

今回の調査では、SOCが現在直面している複数の重要な課題が示されています。これらを踏まえ、戦略的に運用面での改善を検討することが重要です。

第一に自動化の必要性があります。これにより複雑かつ繰り返しの多いタスクの負担を軽減することが可能です。これに向けては、インシデントを自動的に検出し、自動で対応することができる先進的なセキュリティプラットフォームへの投資を後押しすべきでしょう。

参考記事：サイバーセキュリティプラットフォームとは？～セキュリティ投資を抜本的に変える転換点に～

次に、可視性の向上も優先事項です。企業や組織は、リアルタイムでIT環境全体を洞察し、リスクを迅速に特定し、素早く対処するためことができるツールへの投資が必要です。

さらに、サイバーセキュリティ分野の熟練した人材の不足に対しては、セキュリティ全般を包括する研修プログラムを開発する、セキュリティ教育を実施する組織との連携を深める、新しい才能を引き寄せるキャリアパスを作る、などの対策を行うことで改善が可能です。これらの取り組みは、SOC全体のレジリエンスを高めることにも寄与します。

これらの課題改善を進める上で、経営陣がサイバーセキュリティ対策の価値を認識することも重要です。経営陣による積極的な投資や指示が、革新的なセキュリティの実装や幅広い採用への道を開き、企業や組織の防衛力強化につながります。

まとめ

今回の調査では、大きく変化するサイバーセキュリティ世界の潮流が示されており、その中で今後の見通しを把握し、プロアクティブに対応することが重要であることを、改めて強調しています。サイバーセキュリティに関わる全ての人にとって、最新情報を得ること、そして柔軟に対応することがこれまで以上に不可欠となっています。

もっと大きな視点で見れば、強固なSOCを築くことは、技術、方法、そして人の専門知識が複雑に絡み合う絶え間ない改善と成長のプロセスといえます。デジタル世界が私たちの生活にますます深く組み込まれていく中で、徹底的かつプロアクティブなサイバーセキュリティ対策の必要性は高まる一方となっています。

SOCチームへの支援

トレンドマイクロは、最先端のソリューションを駆使して、最新の脅威から企業や組織、さらにそれらのデータを守るための包括的な製品群を提供しています。

SOCの業務で使用している脅威検出機能を強化したい場合や、ゼロデイ攻撃に対する堅固な防御策を探している場合でも、トレンドマイクロからは、各ニーズに応じたソリューションが提供できます。XDRやASRMなど最先端の技術を駆使してSOCチームの業務を円滑化するよう支援します。

本記事は、2024年2月21日にUSで公開された記事Exploring Changing SOC Landscapesの抄訳です。