SOCが危機に陥っている7つの理由と、それを解決する5つのステップ

最近、SOCの有効性について多く考えるようになりました。そして、少し不快に感じるかもしれない立場を取ろうと思います。組織がセキュリティオペレーションセンター（SOC）や最先端の検知技術に何百万ドルも投資しているにもかかわらず、前例のないレベルで侵害が発生しています。

オーストラリア、アメリカ、イギリスの大企業を観察した結果、今日見られる高度なアイデンティティベースの攻撃に効果的に検知・対応できているSOCは、わずか20分の1程度しかありません。

これは技術の問題ではありません。パラダイムの問題です。そして、現在のSOC運用アプローチが壊れていることを認める時が来ました。SOCの問題を解決する方法に入る前に、7つの主要な課題を掘り下げていきます。

長年にわたり、アイデンティティとアクセス管理の周囲に高度な防御を構築してきたにもかかわらず、ハッカーは究極の近道を見つけました。それは、ユーザーを騙して認証情報を渡させることです。

こう考えてみてください。もし車を盗みたいなら、何時間もかけて盗難防止システムを突破するより、持ち主に鍵を渡してもらう方が簡単です。サイバーセキュリティの現場でまさにそれが起きています。

AIはソーシャルエンジニアリングを強化し、攻撃者が非常に説得力のあるなりすましを仕掛けられるようになりました。これにより、何百万ドルものセキュリティアーキテクチャを、人間の行動というパッチできない唯一の要素を突いて、簡単にすり抜けてしまいます。

最近Chaleitでの仕事中、大手企業で「ABC123」の派生形をパスワードとして使い続けているアカウントが約100件も見つかりました。ダークウェブでデータが入手でき、AIが個人情報を組み合わせて標的型攻撃を作り出せる今、こうした弱点は巨大なセキュリティホールとなります。これらの攻撃ベクトルに対抗するには、まったく新しいAIセキュリティアプローチが必要です。

2. アイデンティティセキュリティの幻想

組織は強力なアイデンティティ＆アクセス管理がセキュリティの証だと自分たちを納得させています。MFAトークン、シングルサインオン、アイデンティティガバナンスプラットフォームは安心感を与えますが、誰かが正規ユーザーになりすませば、それら高価なコントロールは一瞬で無意味になります。

しかし、心配すべきはソーシャルエンジニアリングだけではありません。ブラウザベースの攻撃やCookieの窃取も、従来の認証コントロールをすり抜ける深刻なベクトルです。

問題は、私たちのシステムがアカウントを認証しているだけで、実際の人間を認証していないことです。攻撃者がソーシャルエンジニアリングでユーザーのアイデンティティを奪えば、通常のパラメータ内で長期間活動できることがよくあります。ほとんどの検知システムは、ジョン・ドウのアカウントが実際には別人に使われていることを認識できるほど高度ではありません。

例えば、あるユーザーが通常は午前9時にログインし、ニュースをチェックし、メールを確認し、月曜から水曜まで予測可能なパターンで行動しているとします。木曜日に突然、今まで使ったことのないサードパーティのSaaSアプリにアクセスしたとしましょう。金曜日にはまた9時にニュースを見ています。この木曜日の異常は目立つはずですが、ほとんどのSOCはこうした微妙な逸脱を特定する行動分析を持っていません。

今日、どの企業のSOCに入っても、脆弱性スキャナー、エンドポイント検知＆対応（EDR）プラットフォーム、セキュリティ情報＆イベント管理（SIEM）システム、AI対応の脅威検知ソリューションなど、圧倒されるほど多くのツールが並んでいます。

しかし、これだけの技術的武装があっても、基本的なセキュリティ衛生は依然として不十分です。

何百万ドルものセキュリティ予算を持つ組織でも、基本的な資産台帳や一貫したパスワードポリシー、包括的なパッチ管理が欠如しているのを見てきました。スキャンツールや監視プラットフォームは揃っていても、何を守るべきか明確に理解できていません。

問題はツールそのものではなく、導入の寄せ集め的なアプローチ、システム間の統合不足、継続的な調整と最適化の欠如にあります。

私たちは、高度なセキュリティゲームをしているつもりで、侵害を防ぐ基本を見落としています。

4. 設定ミスの死角

さらに懸念すべきは、従来の脆弱性管理プログラムが完全に見逃している「設定ミス」です。

大企業では、システムの有機的な成長、異なるシステムオーナー、レガシー環境、シャドーSaaS統合などにより、設定ミスは避けられません。脆弱性スキャナーは、ドメイン間で不一致な設定のアイデンティティシステムや、過度に許可されたクラウドサービス、セキュリティコントロールをバイパスするネットワークセグメントなどを検出できません。

こうした設定ミスは、攻撃者が認証情報の侵害で初期アクセスを得た後、横移動するための機会をしばしば提供します。しかし、ほとんどの組織は、こうしたアーキテクチャ上の弱点を特定・修正する体系的なアプローチを持っていません。

5. SOCモデルの危機

内部SOC：文脈はあるがキャパシティがない。理想的なSOCは、組織の文脈、システム、業務プロセスを理解したスタッフによる内部運用です。内部チームはどの資産が重要か、通常のユーザー行動パターンを理解し、リスク許容度について情報に基づいた判断ができます。

しかし、内部SOCは圧倒的なキャパシティ不足に直面しています。組織は、24時間365日体制を有資格アナリストで維持するのに苦労しています。財政的な圧力から、ベンダーがより低コストで同等のカバレッジを約束する場合、内部運用の維持が難しくなっています。

外部SOC：カバレッジはあるが文脈がない。外部SOCプロバイダーは24時間体制の監視と専門知識を提供しますが、効果的な検知に必要な組織の文脈を持っていません。業務プロセスを理解せず、正当な活動と疑わしい活動を簡単に区別できず、決定的な行動を取る権限も持たないことが多いです。

TPGテレコムのGMテックセキュリティ、リー・バーニー氏は次のように説明しています。「SOC契約をどう交渉したかは、契約期間中ずっと記憶に残ります。彼らの利益を奪わず、彼らの成功が自社の成功であることを理解し、失いたくない顧客になってください。嫌がられる顧客になってはいけません。」

この関係性は非常に重要です。私は、外部SOCが脅威を検知しても、責任問題や権限の不明確さから行動に移せないケースを見てきました。インジケーターは発見しても、業務への影響を恐れて対応をためらうのです。

ハイブリッドモデル：調整の複雑さ。ハイブリッドSOCは、内部の文脈と外部のカバレッジを組み合わせようとしますが、しばしば責任や調整の問題を新たに生み出します。内部と外部のチームで責任が分担されると、侵害の封じ込めや拡大を左右する貴重な数分間に、重要な意思決定が抜け落ちることがあります。

6. 検知と対応の危機

最近、クライアントとの共同シミュレーション演習で、初期侵害からわずか3時間でドメイン管理者権限を取得しました。その組織のSOC（評判の高い外部プロバイダー）は、その間にごく小さな2つの侵害インジケーターしか検知できませんでした。クライアントが完全に侵害されたことを伝えると、本当に驚いていました。

このシナリオは、私たちが信じている検知能力と、実際に達成できていることとのギャップを浮き彫りにしています。

Repurpose ITのCTO兼変革責任者ノエル・トール氏は次のように語っています。「侵害の多発は、予防重視のアプローチが失敗したことを示しています。影響の持続時間と深刻度は、検知・対応・回復の準備ができているかどうかで決まります。」

攻撃のタイムフレームは急速に短縮しており、攻撃経路の効率は高まり、潜伏期間は長くなっています。現代の攻撃者は、検知までの時間が限られていることを知っているので、素早く動きます。一方、多くのSOCは即時対応が必要なアラートの調査に何時間も、時には数日もかけてしまいます。

この課題は、心理的かつ組織的なものです。SOCは「オオカミ少年」になることを恐れています。なぜなら、誤検知が信頼を損ない、アラート疲労を生むからです。しかし、この慎重さが、完全な侵害を防げたはずの微妙な初期インジケーターの見逃しにつながっています。

最近、サイバーセキュリティ専門家Caitriona Forde氏とのライブセッションでも話しましたが、業界は侵害の明確な兆候が現れるずっと前に現れる、こうした初期インジケーターに対して危険なまでに盲目になっています。誰もが測定・ブロック・防御できるものを求めますが、まさにこうした微妙で捉えどころのない警告サインが、アラート過多のセキュリティシステムのノイズに埋もれてしまうのです。

EDRプラットフォームは不可欠で、これがなければ状況はさらに悪化していたでしょう。しかし、多くの組織はEDRを万能薬と見なしています。EDRは異常行動の検知に優れていますが、巧妙な攻撃者はこれを知っており、通常のユーザーのように振る舞うことでEDRを回避します。これは、アイデンティティ侵害が成功した時にまさに起こることです。攻撃者が正規ユーザーの認証情報を手に入れると、少なくとも最初は行動が許容範囲内に収まるのです。

だからこそ、個々のエンドポイント監視を超えて、組織全体のユーザーパターンを理解する行動分析が必要です。

SOCは、他のコントロールが失敗した時の最後の防衛線、つまりパラシュートであるはずです。しかし、多くの組織は、実際の状況下で一度もテストされたことのないパラシュートに頼っています。

最近のテーブルトップ演習では、外部SOCプロバイダーに決定的な対応を取ることを正式に免責するよう、組織に承認を求めなければなりませんでした。なぜか？SOCは法的責任を恐れ、与えられた権限を実際に使うことをためらっていたのです。たとえアクティブな脅威に直面していても、業務への影響を恐れて証拠集めを優先していました。

7. キャパシティの危機

今日のCISOが直面する最大の課題の一つは、技術ではなくキャパシティです。セキュリティリーダーがベンダー管理、契約更新、取締役会報告に圧倒され、根本的なセキュリティ課題に取り組む時間がなくなっているのを見てきました。

オーストラリアの会計年度末は、格好の事例です。CISOがセキュリティアーキテクチャや脅威対応ではなく、ベンダー関係や契約交渉に60〜70％もの時間を費やしているのを見てきました。

このベンダー管理の負担は、セキュリティ予算でほとんど考慮されない巨大な隠れコストです。

私たちは、SOC運用やセキュリティ監視へのアプローチを変える時です。より大きな予算、より多くのツール、追加の人員でセキュリティを買えると信じるのはやめましょう。

SOC危機を乗り越える5つのステップ

1. まず基本に集中する。高度な脅威検知に投資する前に、基本的なセキュリティ衛生が整っていることを確認しましょう。資産インベントリ、一貫したパスワードポリシー、包括的なパッチ管理、適切なアクセスコントロールが、高度な検知を意味あるものにします。

2. テストと運用を統合する。すべてのペネトレーションテストはSOCの訓練演習であるべきです。すべてのレッドチーム演習は、検知・対応手順が実際に機能するかをテストすべきです。セキュリティテストを、運用能力を高めるための協働的な演習にしましょう。

3. 継続的な検証を実施する。年1回のセキュリティ評価から一歩進み、セキュリティコントロールの継続的な検証を行いましょう。SOCの検知能力を、小規模かつ現実的なシナリオで定期的にテストしてください。模擬攻撃から学ぶ文化を、完璧なパフォーマンス指標より重視しましょう。

4. 文脈認識型の検知を構築する。組織固有のパターンを理解する行動分析に投資しましょう。ユーザー活動の監視は、単純な閾値アラートを超えて、侵害を示す微妙な逸脱を認識できるものであるべきです。

5. 明確な対応権限を確立する。内部・外部を問わず、SOCがどのような権限で行動できるかを明確に定義しましょう。これらの権限を文書化し、すべての関係者が、いつ・どのように行使できるかを理解していることを確認してください。

現在のSOCモデルが不十分であることを認め、ゼロから再構築するという困難な作業に取り組む必要があります。問題は、組織が高度なアイデンティティベースの攻撃に直面するかどうかではなく、それが起きた時にSOCが対応できるかどうかです。

成功する組織は、機能より基本、報告より訓練、コンプライアンスよりレジリエンスを優先します。SOCを、アウトソースして忘れてしまう静的なサービスではなく、絶えず訓練と改善が必要な「生きた能力」として扱っています。