オピニオン
2025年9月15日5分
アラート疲れからAIへの過信、システム把握まで、SOCが現代の脅威に備えるための方法。
セキュリティ業界は、セキュリティオペレーションセンター(SOC)が組織を救うという前提で成り立っています。十分に投資し、十分にアウトソースし、十分に自動化すれば大丈夫だ、と。しかし実際はそうではありません。侵害は繰り返し発生し、多くの場合、SOCの目の前をすり抜けてしまいます。
前回の記事 — SOCが危機に陥る7つの理由と、それを解決する5つのステップ — では、SOCを妨げている構造的課題について述べました。
今回は、問題の核心に焦点を当てたいと思います。問題はアラート疲れやテクノロジースタックだけではありません。私たちがどのように考え、設計し、レジリエンスを構築するかにあります。
ギャップはアラート疲れだけではない、SOCは進化しなければならない
簡単な例を挙げましょう。私はかつて、五つ星ホテルでオレンジジュースとソーダを注文するのに25分も待たされたことがあります。スタッフが無能だったからではなく、プロセスが壊れていたからです。ギフトカードの切り替え、ライムの不足、間違ったグラス。そうした摩擦が重なり、最終的に私(顧客)が結果を導くことになりました。
多くのSOCでも同じことが起きています。無数のツール、ダッシュボード、アラートによってプロセスが崩壊し、兆候の見逃しや相関の不備、そして防御側が手動で結果を導かざるを得ない状況が生まれています。
ギャップは単なるアラート疲れの問題ではありません。その周囲のエコシステム全体が問題なのです。
SOCは設計上、受動的です。検知して対応する。しかし、それだけにとどまっていては、常に後手に回ることになります。
必要なのは、より高い設計基準です。これを「スイスのエンジニアリング」と呼びましょう。スイスの鉄道が機能するのは派手だからではありません。過剰なまでに仕様が定められ、テストされ、訓練されているからです。
ほとんどのSOCはそうではありません。アウトソース、インソース、コソースのいずれであっても、慢性的に仕様不足なのです。
私たちは、堅牢な基盤を構築する代わりに、検知の問題に対してさらに多くのツールを投入しています。エレガントなシンプルさを追求するのではなく、複雑さを重ねてしまっています。
複雑さはレジリエンスの敵
最近、ケンブリッジの友人とサイバーセキュリティの問題について議論した際、彼が言った言葉が心に残っています。「とてもよくやれば、答えはシンプルだ。」
この点については、Abbas Kudrati氏との共著エッセイ サイバーセキュリティにはよりシンプルでスマートな考え方が必要だ でも掘り下げました。
私たちの業界は、根本原因(設定ミスなど)を修正するのではなく、ツールやプロセスを重ねて弱点を覆い隠し、対応手順を訓練する代わりに新しいツールを購入してしまいがちです。
ハッカーはこれを知っています。彼らは企業のように働きません。休暇もなく、連休もありません。引き継ぎ時やダウンタイムを狙い、既存の環境を利用します。彼らは「現地調達」で活動し、SOCが彼らを捕まえるように設計されていないことを知っているからこそ、死角をすり抜けるのです。
思考はアウトソースできない
侵害の最初の兆候は、派手なものではなく、微妙なものです。だからこそ、コンテキストと直感がセキュリティにおいて非常に重要なのです。しかし多くの場合、経験豊富なアナリストでも見抜くのが難しいものを、ジュニアに期待してしまいます。そして「AIセキュリティがそのギャップを埋めてくれる」と自分たちに言い聞かせます。
誤解しないでください。AIにも役割はあります。しかし、私たちはAIを人間の思考の代替として使っており、人間の能力を高めるために使っていません。それは本末転倒です。AIは構造化されたデータには強いですが、コンテキストや優先順位、「何かおかしい」という感覚を与えるのは人間です。
思考はアウトソースできません。成果を出すために協働することはできますが、自分の環境を根本的に理解することは内部で行う必要があります。
ベンダーはツールや視点を提供できますが、何が自社にとって最も重要かは教えてくれません。その知識は、シナリオの訓練やシステムのマッピング、リスク許容度の合意から生まれます。つまり、難しい部分は避けられないのです。しっかりと考え抜くことが必要です。
多くの場合、組織はサードパーティに即席の答えを求めがちです。しかし本当に必要なのは、優先順位や閾値を自分たちで定義し、そのうえでパートナーに検証や強化を依頼することです。
これからどうすべきか
解決策はさらなる自動化や優れたツールではありません。丁寧な思考、脅威モデリング、自分の環境の理解です。受動的な検知から予測的防御への転換です。アラートだけでなくコンテキストを与える行動分析の構築です。
そして、緊急性が必要です。私はしばしば航空業界を引き合いに出しますが、それはこの分野が正しくできているからです。パイロットがエンジンを失ったとき、マニュアルを取り出すことはありません。彼らは訓練を積んでいます。すぐに状況を安定させるフローに従います:飛行、航法、通信。SOCにも同じ規律が必要です。スピード、直感、そしてプレッシャーに負けないエンジニアリングです。
インシデントが発生すること自体が危険なのではありません。危険なのは対応の失敗です。気づかない、どうすればいいかわからない。そこから一気に事態は悪化します。
答えは「筋肉記憶」を作ることです。パイロットが緊急時の手順を繰り返し訓練するように、SOCチームも封じ込めやエスカレーションが本能的にできるまで訓練しなければなりません。そのためには、明確な行動権限を確立し、ライブ演習で意思決定をストレステストし、攻撃者が引き継ぎや休暇、ダウンタイムを狙う現実を前提に計画する必要があります。
実際、多くの侵害は本来なら起きる必要がありません。私たちが複雑さを当たり前にし、防御の仕様を甘くし、シンプルなことをきちんとやることで生まれるエレガンスを忘れてしまったから起きているのです。
SOCは本来パラシュートであるべきです。今のままでは、多くのSOCがリップコードを引いた瞬間に失敗するでしょう。問題は、「いざという時、あなたのSOCは本当に開くと自信を持てますか?」ということです。
ニュースレターを購読する
編集部からあなたの受信箱へ
下記にメールアドレスを入力して、今すぐ始めましょう。
著者 Dan Haagman
寄稿ライター
戦略的なサイバーセキュリティの思考と研究に専念するDan Haagmanは、サイバー分野のグローバルリーダーです。彼はChaleitの創設者兼CEOであり、クライアント向けCISO、名誉実務教授、そして世界で最も複雑な組織の長年のアドバイザーでもあります。Danはまた、より広いサイバーセキュリティ業界のために作られたオープンソースの詳細なイニシアチブ「Global CISO Leadership Study」の創設者でもあります。これを通じて、彼は世界中の何百人ものCISOと対話し、知見を抽出し、学びを共有し、前提に挑戦しています。
彼はオーストラリア、ニュージーランド、シンガポール、ニューヨーク市でCISOイベントを主導する著名なカンファレンスチェアおよび基調講演者です。CoriniumのオーストラリアCISOアドバイザリーボードのメンバーであり、2025年にはシドニーで開催される名誉あるCSOアワードの審査員も務めます。
この著者の他の記事
もっと見る
翻訳元: https://www.csoonline.com/article/4056178/your-soc-is-the-parachute-will-it-open.html