SOCをトライアスリートのように鍛えるべき理由

出典：Alamy Stock Photo（H18PDW Photography）

トライアスリートは早い段階で、ある単純な真実を学びます。どれほど高価なギアでも、ジャンクフード中心の食生活には勝てません。同じことがセキュリティ運用にも当てはまります。AIは日々のセキュリティオペレーションセンター業務に不可欠な存在になりましたが、その性能は取り込む証拠の質によって上限が決まります。薄い、あるいはノイズの多い入力は調査を遅らせ、疲労を増やし、疑念を生みます。

私はネットワークのレディネスをトライアスロンのトレーニングになぞらえて捉えるのが好きです。というのも、各種目が現代の防御に必要なものを映し出しているからです。スイムは準備（レディネス）、バイクは一貫性、ランは確信と持久力。これらの原則を適用するのにトライアスリートである必要はありませんが、同じルールが当てはまります：ゴミを入れれば、ゴミしか出てこない。

スイム：観察と分析で技術を磨く

アラートはスタートの号砲であって、ゴールではありません。アラートが発報したとき、アナリストは脅威を評価するための証拠を必要とします。これは、泳者がパフォーマンス向上のために自分のフォームを分析する必要があるのと同じです。泳ぎの技術を改善するためのデータがなければ、努力が無駄になります。ひとたび泳ぎを分析できれば、トレーニング（そして侵入検知）は本当に成果を生みます。よくあるパターンとして、パケット保持期間が7〜14日しかない一方で、攻撃者は検知されるまで30〜180日間ネットワーク内に潜伏することが多い、というものがあります。その結果、重要な活動が見えないままになります。

カバレッジは、スイマーがトレーニングを扱うのと同じように扱いましょう。まず技術を固め、それから距離を伸ばす。データでは、環境全体にわたる範囲（スコープ）と保持期間（リテンション）という2つの軸を測定します。多くのSOCチームはカバレッジ90%だと思い込んでいますが、実際に測ると70%程度に近いと判明することがあります。健全な目標は、環境の90〜95%をカバーし、検索可能で一貫したデータを6〜12か月保持することです。

時間と範囲の両方を追跡したある組織は、保持のギャップを埋めた後、カバレッジが10倍改善したと算出しました。正確な数字よりも重要なのは教訓です。測らなければ、自分の弱点がどこにあるのか分かりません。

バイク：一貫性があり、つながったデータでラインを保つ

レースに残れるようになったら、次に必要なのはフォームです。セキュリティにおける「フォーム」とは、データの一貫性です。ツールは、観測点によって送信元や宛先といった基本用語ですら一致しないことがよくあります。エンドポイントでは「送信元」は通常ローカルのプロセスを指します。ファイアウォールでは、インバウンド側の相手（ピア）を指す場合があります。あるフィードが「送信元」と言い、別のフィードがそれを別の意味で定義していると、調査は停滞し、誤検知が増え、適用するAIは混乱を増幅するだけになります。

これを解決するには、組織内の定義を標準化し、証拠を相互にクロスリンクして、IP、セッション、ユーザー、オブジェクトがソース間で整合するようにします。4つの正準データタイプをドライブトレインだと考えてください。広がりを担うネットワーク、深さを担うエンドポイント、外部コンテキストの脅威インテリジェンス、そしてそれらを結び付けるアイデンティティです。

同じくらい重要なのは、証拠を診断の副産物（排気）ではなく、第一級のプロダクトとして扱うことです。多くのログは、調査のために設計されていません。たとえばクラウドアクセスツールのプロキシログは、主にそのツールの性能をデバッグするために存在します。トラフィックがブロックされたか許可されたかは示しますが、横展開（ラテラルムーブメント）キャンペーンを追跡するうえでセキュリティアナリストを支援するようには設計されていません。これに対し、データそのものをプロダクトとして設計するアプローチがあります。NetFlowがここ、HTTPレコードがあそこ、といった10〜15の別々のログソースをやりくりする代わりに、定義が一貫し、証拠が相互にリンクされた単一の統合ログから作業します。そうすればログは排気ではなく燃料になります。

ラン：データを確信と持久力に変える

ランはレースの勝敗が決まるところです。SOCにおいて「うまく走る」とは、「たぶんそうだ」から「確実に分かっている」へ移行し、リーダーが情報に基づいて決断力のある判断を下せるようにすることを意味します。私たちが支援したあるランサムウェア事案では、証拠から、攻撃者が持ち出したと主張したデータのうち実際に盗まれていたのは10%に過ぎないことが分かりました。これにより、その企業は、ハッカーが主張どおりのものを実際には持っていないと分かったうえで、8桁（数千万〜数億円規模）の身代金要求を拒否する自信を得ました。

改善を測る一つの方法は、「原因不明」でクローズするケースがいくつあるかを追跡することです。その数が減るたびに、SOCのフィットネスは上がります。信頼できるデータは、推測に頼ったり、システムを早急に再構築して証拠を破壊したりすることなく、長期の調査を継続するために必要な持久力を提供します。

AI時代の攻撃者が向かう先と、先回りする方法

攻撃者は、あなたが最も弱いところを狙います。今日それは、エッジデバイスを悪用し、その後、正規ツール悪用（Living-off-the-Land）手法で日常業務に紛れ込むことを意味する場合が多いです。これらの行為は従来型のマルウェアアラートを発しません。検知するには、ネットワークのベースライン策定と異常検知が必要です。最近のCISAの勧告はこの点を強く訴えています。弱点に焦点を当てることで、全体のパフォーマンスを改善できます。

私が最後のIRONMANに出場したとき、水から上がった時点で2,000人の参加者中37番目でした。しかし私は昔から泳ぎが得意でした。大会に向けては、全体の成績を最も大きく押し上げられるのはどこかを考え、バイクとランのトレーニングに重点を置くようにしました。

セキュリティスタックにAIを追加する際は、まず自分たちがよく分かっている領域を自動化で攻略し、そのうえで、例外的なケースにおける強みをAIで強化しましょう。ある大学のSOCは、まずアラートの98%を自動化し、その後、3つのLLMエンリッチメントモデルを使って、残り2%の異常なアラートを特定し調査しました。ただし、データカバレッジの問題への対処とAI導入を同時に行おうとしてはいけません。コンプライアンス監査の自動化、脅威モデリングの加速、Tier 1アラートのトリアージなど、ROIの高いユースケースを1〜2個から始めてください。

今すぐ取るべき3つのアクション：

トライアスロンのトレーニングは、まず基礎を作り、その後スピードに焦点を当てます。セキュリティも同じです。計測機器がアスリートを速くするのと同様に、防御側も速くします。残念ながら、攻撃者も速くしてしまいます。すべてのトライアスリートがパワーメーターや心拍計を使い始めたとき、そうした計測機器を使わない人は不利になりました。

トレーニングには時間がかかりますが、始めるのに最適な時は今日です。データと計測を改善すれば、6か月後には、強く締めくくり、攻撃者に先んじるために必要な証拠が手に入っているはずです。