なぜSOCが危機に陥っているのか―そしてそれをどう変えるか

Gorodenkoff | shutterstock.com

数百万の投資をSecurity Operations Center（SOC）や最新の検知技術に行っても、侵害は依然として日常茶飯事であり、増加傾向にあります。

私の経験では、今日直面している巧妙なアイデンティティベースの攻撃に効果的に対応できているSOCは、約20分の1にすぎません。しかしこれは技術の問題ではなく、パラダイムの問題です。そして、現在のSOC運用のアプローチが失敗していることを認識する時が来ています。

SOC危機の7つの理由

SOCの問題解決に取り組む前に、まずSOC危機を生み出した主な課題を見てみましょう。

1. AIを活用したソーシャルエンジニアリング

長年かけて構築されたアイデンティティ＆アクセス管理の高度な防御策を無力化するため、サイバー犯罪者は今やユーザー自身に認証情報を「渡させる」ことに注力しています。これを後押ししているのが、特に人工知能（AI）です。AIは、ソーシャルエンジニアリングキャンペーンを非常に説得力のあるものにし、唯一パッチを当てられない要素――人間――を悪用します。 

私たちの顧客の一つでは、最近でもほぼ100のアカウントが、パスワードとは言えない「ABC123」のバリエーションで「保護」されているのを発見しました。ダークウェブで情報が流通し、AIが個人情報を収集して標的型攻撃に利用できる場合、こうした脆弱性は巨大なセキュリティホールとなります。これらの攻撃ベクトルに対抗するには、全く新しいアプローチが必要です。

2. アイデンティティセキュリティの幻想

MFAトークン、シングルサインオンシステム、アイデンティティ管理プラットフォームは安全だという感覚を与えます。しかし攻撃者が正規ユーザーのIDを乗っ取れば、こうした高価なコントロールは無力です。ソーシャルエンジニアリングだけでなく、ブラウザベースの攻撃やCookieの窃取も認証コントロールの回避に使われます。

問題は、現在のシステムがアカウントの確認はしても、ログインしている人物が本当に正しいかどうかを確認していないことです。攻撃者がユーザーの認証情報を入手すれば、長期間ネットワーク内に潜伏し、通常のパラメータ内で活動できます。例えば、あるユーザーが通常午前9時にログインし、ニュースを読み、メールを確認し、月曜から水曜まで予測可能なパターンで行動しているとします。木曜日に突然、これまで使ったことのないサードパーティのSaaSアプリにアクセスした場合、本来ならすぐに気付くべきですが、多くのSOCにはそのための行動分析ソリューションがありません。

3. 統合されていないツール

今日、企業のSOCに入ると、圧倒的な数のツールが並んでいるのが一般的です。例えば：

• 脆弱性スキャナー、
• EDRプラットフォーム、
• SIEMシステム、または
• AIを活用した脅威検知ソリューションなど。

しかし、この技術的な武装にもかかわらず、基本的なセキュリティ衛生が不十分な場合が多いのです。私のキャリアでは、数百万のセキュリティ予算を持ちながら、基本的な資産台帳も統一パスワードポリシーも、包括的なパッチ管理戦略もない企業を見てきました。はっきり言えば、スキャンツールや監視プラットフォームがいくらあっても、「何を守るべきか」の理解がなければ役に立ちません。

問題の根本はツール自体ではなく、パッチワーク的な導入、システム間の統合不足、細かな調整や最適化の欠如にあります。

4. 設定ミス

さらに深刻なのは、従来の脆弱性管理プログラムが設定ミスをほとんど無視していることです。特に大企業では、システムの有機的な成長、異なるシステムオーナー、レガシー環境、シャドーSaaS統合などにより、設定ミスは避けられません。

ドメインをまたいで一貫性のない設定のアイデンティティシステムや、過度に寛容なアクセス権を持つクラウドサービスは、攻撃者がネットワーク内を横断的に移動するのを容易にします。しかし、多くの企業はこうしたアーキテクチャ上の弱点を特定し、修正する体系的なアプローチを持っていません。

5. SOCモデル

理想的なSOCは社内にあり、自社のコンテキスト、システム、業務プロセスを理解したスタッフで構成されるべきです。彼らはどの資産が重要か、ユーザーの通常の行動パターンを知っており、リスク許容度について適切な判断ができます。しかし、社内SOCは大きなキャパシティ不足に直面しています。特に24時間365日体制のための優秀なアナリスト確保が困難です。財政的制約から、間接費を正当化するのも難しく、外部ベンダーが低コストで同等のカバーを約束する場合はなおさらです。

外部SOCベンダーは24時間体制の監視や専門知識を提供しますが、インシデントを効果的に検知するために必要な組織的コンテキストが欠けています。彼らは自社の業務プロセスを理解しておらず、正当な活動と疑わしい活動を容易に区別できず、しばしば毅然とした行動を取る権限もありません。ベンダーと利用企業の関係性も影響します。外部SOCが脅威を検知しても、責任問題や権限の不明確さから対応しないケースも見てきました。

ハイブリッドSOCは、社内のコンテキストと外部カバーを組み合わせようとしますが、責任や調整の問題が新たに生じがちです。社内外で責任が分散すると、重大な判断が遅れ、広範な侵害を防げなくなることもあります。

6. 検知＆対応の罠

最近、顧客とのシミュレーション演習で、最初の侵害から3時間以内にドメイン管理者へのアクセスを得ることに成功しました。その企業のSOC（有名な外部ベンダー）は、この間に2つの軽微な侵害インジケータしか検知できませんでした。顧客が完全に侵害されたことを伝えたとき、彼らは非常に驚いていました。

このシナリオは、想定される検知能力と現実とのギャップを示しています。攻撃の時間枠はますます短縮され、攻撃経路は効率化し、滞留期間も長くなっています。一方、多くのSOCは、即時対応が必要な警告の調査に何時間も、時には数日もかかっています。

この課題は心理的・組織的な側面もあります。SOCは「誤検知」を恐れがちで、これは信頼を損ない、アラート疲労につながります。しかしこの慎重さが、完全な侵害を防ぐ微妙な初期兆候を見逃す原因となっています。そのため、エンドポイントを超えて全社的なパターンを捉える行動分析ソリューションの導入が推奨されます。

7. キャパシティのボトルネック

私は、セキュリティ責任者がベンダー管理、契約更新、経営陣への報告義務などに過度に忙殺され、基本的なセキュリティ課題に手が回らなくなっているのを見てきました。こうなると、ベンダー管理などにかかる時間的コストは、企業のセキュリティ予算でほとんど考慮されていない、巨大な隠れコストとなります。

この点からも、SOC運用やセキュリティ監視のアプローチを根本的に変える時が来ています。セキュリティは、予算増やツール追加、人員増強で「買える」ものではありません。

SOC危機克服のための5つのヒント

現在のSOCモデルが不十分であることを認め、ゼロから再構築する必要があります。自社が巧妙なアイデンティティベースの攻撃に直面するかどうかではなく、SOCがそれに備えているかが問われています。成功している企業は、SOCをアウトソースして放置する静的なサービスではなく、継続的な教育と進化が必要な「生きた能力」として捉えています。

この5つのヒントは、セキュリティ意思決定者やCISOがSOC危機克服に向けて前進するためのものです。

1. まずは基本から：高度な脅威検知に投資する前に、基本的なセキュリティ対策が整っていることを確認しましょう。資産管理、統一パスワードポリシー、包括的なパッチ管理、適切なアクセスコントロールがその基盤となります。
2. テストを運用に組み込む：すべてのペネトレーションテストは、SOCのトレーニングの機会としましょう。Red Team演習ごとに、検知・対応プロセスが本当に機能しているかをテストしてください。セキュリティテストを運用能力向上のための共同作業にしましょう。
3. 継続的な検証を導入：年1回のセキュリティアセスメントから脱却し、セキュリティコントロールを継続的に検証しましょう。SOCの検知能力を、現実的な小規模シナリオで定期的にテストしてください。シミュレーション攻撃から学ぶことを重視し、完璧なパフォーマンス指標に固執しない文化を作りましょう。 
4. コンテキスト重視の検知能力を構築：行動分析に投資しましょう。ユーザー活動の監視は、単なる閾値アラート以上のものにすべきです。そうすることで、侵害を示す微妙な逸脱を検知できます。
5. 対応権限を定義：社内外問わず、SOCの対応権限を明確に定めましょう。これらの権限を文書化し、関係者全員がいつ・どのように行使できるかを理解していることを確認してください。

(fm)

ITセキュリティに関する他の興味深い記事も読みたいですか？無料ニュースレターで、セキュリティ意思決定者や専門家が知っておくべき情報をすべて、あなたの受信箱に直接お届けします。