組織が間違ったパフォーマンス指標を使用してセキュリティ運用センターを測定すると、完全に機能しなくなるリスクがあると、英国国家サイバーセキュリティセンターの建築CTO、Dave Chismon氏は述べています。
チケットベースのメトリクスは焦点を外している
ITサービスデスクに適用されるのと同じチケットベースのメトリクスを使用してSOCを評価すると、実際の攻撃を検出および対応するという中核的な目的に積極的に逆行する可能性があります。
Chismon氏が説明する問題は、不健全なインセンティブの1つです:
- SOC分析者がチケットをいかに迅速にクローズするかで測定されると、アラートを適切に調査するのではなく、偽陽性として却下するよう促されます。
- 作成された検出ルール数を測定すると、低品質なルールの増殖につながる傾向があります
- ログの品質ではなくログボリュームに依存することは、カバレッジの誤った感覚を作成し、有用なデータの保持期間を短縮する可能性があります。
SOCが機能していることを示す唯一のメトリクスは、「検出時間」(TTD)または「対応時間」(TTR)として通常表現される、タイムリーな方法で攻撃を検出および対応するかどうかであると、同氏は主張しています。
「しかし、組織の多層防御は攻撃が組織の環境に到達することが非常にまれなイベントであるべきことを意味するため、これを測定することは難しい場合があります」と同氏は指摘しました。
したがって、同氏は現実的な脅威をシミュレートし、検出機能をテストするためにレッドチーミングおよびパープルチーミング演習を使用してこれを補うことを推奨しています。
「レッドチーミングの秘密の性質はより現実的な攻撃をより正確に模倣できますが、パープルチーミングはSOCにより良い価値を提供できます(「秘密でない」ことで節約した時間を攻撃経路のより大きなカバレッジに充てることができるため)」と同氏は付け加えました。
目標はアナリスト中心のSOCであるべき
NCSCはまた、SOC分析者を組織のシステムを深く理解し、使用する脅威とツールを理解し、積極的に敵を追跡するために必要なデータを持つ専門家として扱うことを提唱しています。
もちろん、彼らはそれを実行するのに十分な時間も与える必要があります。
Chismon氏は、分析者が妥当な攻撃について理論を立てログで証拠を検索する仮説主導の脅威ハンティングを、SOCが実行できる最も効果的な活動と考えています。
「多くの場合、分析者は何も見つけませんが、仮説主導の脅威ハント実施の実際の成果は、技術の理解の向上、およびハント後に分析者が提案するアラート(またはハーデニング提案)です」と同氏は説明しました。
SOCはまた、実際の攻撃から気をそらす可能性のある時間がかかる作業を防ぐために、偽陽性が多すぎるルールを定期的に再評価する必要があります。
最後に、SOC分析者は次の点についても評価される必要があります:
- 直面している脅威をどの程度理解しているか(メトリクス:ドキュメンテーションの完全性、読まれて対応されたレポート)
- 様々なツールでどの程度熟達しているか(メトリクス:完了した特定のトレーニング、取得した認定資格)
- 保護している組織をどの程度理解しているか(メトリクス:組織システムのドキュメンテーション、SOC分析者とIT管理者間の関係の質)
NCSCはまた、分析者の満足度が重要であり、継続的に低いモラールは通常、文化または管理に何か修正が必要なことの兆候であると述べています。
翻訳元: https://www.helpnetsecurity.com/2026/04/28/soc-performance-metrics/
