2022 年 11 月 22 日 Iratxe Vazquez 著

脅威の数と多様性が増し、攻撃対象領域も拡大している今、セキュリティインシデントの検出・分析・対応という SOC （セキュリティオペレーションセンター）の主目的は、ますます複雑さを増しています。またデータ量とセキュリティアラートが急激に増加しており、その対応に多くのリソースが必要とされています。

SOC のリーダーや専門家の 31% は、情報の過多は大きな障害であると回答し、34% は作業負荷の増加がやる気を削ぐ主な原因であるとしています。また 31% は、大量のアラートが原因で脅威の優先順位付けができないことを指摘しています。このようなアラートは、ほとんどが誤報であり、これはコンテキストの欠如によって引き起こされます。さらに、CSO が発表したデータによると、34% の専門家は、ツールが多すぎることで運用に困難を感じており、これがセキュリティの効率に影響を与えています。

SOC チームはこのような時代の変化に応じるため、自動化によってアラートの数を減らし、問題に対処する必要があります。これによりリソースが最適化され、検知と対応へのプロアクティブなアプローチのためのプロセスに時間を割くことができます。プロアクティブなアプローチでは、既存のセキュリティ対策では発見できないネットワークに侵入する脅威を検出・対応し、被害が発生したり深刻化したりする前に対処することができます。

SOC を最新式にするメリット

一般論として、SOC を最新のものにすることで、チームは効率的に業務を遂行できるようになり、タスクも達成しやすくなります。しかし最新の SOC が組織にとって何を意味するのかを理解するには、SOC が企業にもたらす 6 つの主要なメリットを知る必要があります。

1. インシデント検知の時間を短縮する: 企業がシステム上の脅威を検知するのにかかる時間は、平均 212 日です。しかし 24 時間 365 日体制で監視を行えば、異常なアクティビティを特定、調査する時間の短縮が可能です。早期に検知するには、何が起きているのかをコンテキストに即して可視化し、脅威が使用する手法に関する最新の深いナレッジと関連付け、迅速に事態を理解し対応する必要があります。検知、優先順位付け、調査を自動化することで、チームがアラートの数に圧倒されるのを防ぎ、本当に注意を要する異常なアクティビティを分析できるようになります。疑わしいシグナルを早期に検出し、インシデントの検出と対応時間を改善するには、継続的な監視が不可欠です。
2. セキュリティインシデントに関連するレスポンスタイムとコストを削減できる: IBM のデータによると、セキュリティインシデントの封じ込めにかかる平均時間は約 75 日、平均コストは約 435 万ドルです。SOC は、侵入の初期段階における常時監視と検知を通じて攻撃の影響を早期に軽減し、ビジネスのダウンタイム、正常な状態に戻すためのコスト、データの損失、訴訟などによる経済的・風評的被害を低減します。また IBM の調査では、攻撃された企業にインシデントレスポンスチームがあった場合、大規模な攻撃に関連するコストを 58%（平均 266 万ドル）削減できることが示されています。
3. サイバー攻撃のリスク低減・サイバーレジリエンスの向上: インシデントの制御に成功した時点で、影響を受けたアセットや、利用された脆弱性、回避されたセキュリティ制限を分析することにより、攻撃対象領域を縮小し、組織のセキュリティプログラムに関連する対策とプロセスを改善することができます。新たな脅威を効果的に予測し、将来のサイバー攻撃に対してより強固になることができます。
4. 企業セキュリティに総合的なアプローチを提供する: Security Brief の記事によると、世界の IT およびビジネスリーダーの 62% が、セキュリティを阻害する盲点があることを報告しており、攻撃対象領域を 62% しか可視化できていないと推定しています。この点、最新の SOC のプロセスとプラクティスは、根本原因、アクションの過程、インシデント発生時に影響を受けたシステムを総合的に可視化することで、脅威を早期に検知し、さらなる攻撃の発生を防ぐことも可能にします。これにより、企業は将来のリスクと攻撃者に先んじることができます。
5. チーム内や社内の他部門とのコミュニケーションの改善: 検知、調査、対応プロセスに関わる関係者間の連携不足は、セキュリティプログラムにおける主な障害のひとつです。それぞれが独立した環境で作業すると、コミュニケーションギャップが生じ、脅威の検知に遅れが生じ、対応プロセスも遅くなり、組織に深刻な影響を与える可能性があります。一元化された直感的、かつコラボレーティブなハブを構築することで、インシデント発生時にセキュリティチームのメンバーや関係者のすべてのワークフローが相互に繋がり、より効率的かつアジャイルな作業が可能になります。
6. 会社の評判を高める: 専用の最新 SOC を設置することで、その企業が、扱うデータのセキュリティとプライバシーを重視していることが証明されます。これにより、従業員、顧客、パートナーの間で信頼が生まれ、データを共有する必要がある場合に、データの保護について疑念を抱かないようになります。

以上のように、最新式 SOC を導入するメリットは数多くあります。全体として、企業とそのセキュリティ運用チーム（SecOps）の防御的・攻撃的セキュリティの強化、および企業にとってのリスクとセキュリティコストの大幅な削減につながります。しかし、従来の SOC を最新式の SOC に変革する作業は、複雑な場合があります。eBook の「Modern SOC and MDR: what they are and why they matter」では、セキュリティ運用チームの最新化プロセスを詳細に説明し、今日の SOC のニーズについて幅広く解説しています。

今日では、これまで以上に、一歩先を行き、企業の生産性と評判を危険にさらす脅威を予測することが必要となっています。ウォッチガードがどのように成熟した組織やパートナーの SOC の構築と刷新を支援しているかについては、Security Operations Centers （英語）のページをご覧ください。