Splunk Services Japanは6月4日、Splunkが発表した年次調査「2025年 セキュリティの現状」に関する説明会を開催した。同調査はOxford Economicsの協力の下、2024年10~12月にかけて、2058人のセキュリティリーダーを対象に行われた。対象となった国は、オーストラリア、フランス、ドイツ、インド、日本、ニュージーランド、シンガポール、英国、米国の9カ国。
Splunk Services Japanの矢崎氏
説明会では、Splunk Services Japan セキュリティ・ストラテジストの矢崎誠二氏が、年次調査の結果を解説し、ゲストとして登壇したアクセンチュア テクノロジー コンサルティング本部 セキュリティ グループ アソシエイト・ディレクターの滝口博昭氏が、日本企業のCSIRTチームのあるべき姿を説明した。
矢崎氏は、サイバー脅威の検出を担うセキュリティオペレーションセンター(SOC)の現状として「オーバーワークと人材不足」そして「チューニングのしすぎ」による問題を抱えていると指摘する。実際に同氏が参加した軍事関係のサイバーセキュリティ演習では、2日間で30万件を超えるイベントが発生したことを例に挙げ、「現実的にSOCの方々が、どのようにたくさんのイベントを効率的にハンドリングするかというのは、重要な課題になっている」と話す。
一方で、チューニングをしすぎてしまいセキュリティイベントを処理しきれないため、アラートを上げないというケースもある。この方法では、SOCの立ち回りはうまくいくが、本当に大きな問題が発生した際の対策が難しいと指摘する。世界を見ても、多くのイベントを上げてそこから振る舞い検知でイベントの関連性を特定し、一連のインシデントにつなげることが、セキュリティの方向性となっている。
同調査では、「SOCの効率化と課題」「AIの活用」「SOCを支えるスキル」「脅威検出の新時代」「SOCの統合」――の5つの項目でポイントをまとめている。現状、SOCでは「ツールと関連ワークフローの保守に多大な時間や労力がかかる(59%)」や「ツールが十分に統合されていない(51%)」などが非効率性を生む主な要因として挙げられており、センシングするためのツール管理に非常に手間取っていることが課題だと認識されている。また、46%が「脅威への対応よりもツールの保守に時間を取られている」と回答しており、同氏は「このような雑務が、進歩を阻害して情熱をそいでしまっている」と警鐘を鳴らした。
次にAIの活用においては、既に89%のセキュリティのアナリストやオペレーションチームがAIを活用しており、サイバーセキュリティの防御にAIを活用する事で、効率が「ある程度向上した」あるいは「大幅に向上した」との回答が59%にもおよぶ。
しかし、AIへの不信感も依然として残っており、「あまり信頼していない」は29%、「まったく信頼していない」は2%だった。他方、「完全に信頼している」は11%、「ある程度信頼している」は61%。矢崎氏は、「AIは万能薬にはなっていないと理解しているが、効率性の向上を目指すSOCにとっては間違いなく良薬。グレーなデータの中から危険性が高いと思われるIPアドレスを探すのは、人間がそのIPが分かれば検索することは容易だが、大きな方向性の中でAIにそれを聞くということは誰でも考える内容の1つになってきている」と説明する。
未来志向のレジリエントなSOCの構築に最も必要なスキルは、「検知エンジニアリング」と「DevSecOps」がともに74%と最も高かった。以下、「コンプライアンス管理(60%)」「インシデントの分析調査(55%)」「脅威ハンティング(20%)」「プロンプトエンジニアリング(18%)」と続いた。一方で、現在不足しているスキルは「DevSecOps(53%)」「コンプライアンス管理(46%)」「検知エンジニアリング(41%)」が上位に挙がった。
検知エンジニアリング(Detection Engineering)は、サイバー攻撃を検知・防止するセキュリティソリューションを導入して安全性を高める手法。検知エンジニアは、組織で使用する検出の品質と精度の基準を設定するほか、高度な脅威も正確に発見できるように、検出を設計、開発、調整する。また、リアルタイムのパフォーマンス指標に基づいてコンテンツを迅速にアップデートするために、検出をコードとして導入する作業も担当する。
攻撃者が戦術を進化し続けている状況では、迅速かつ正確な検出がさらに重要になる。検出戦略を明確に定めることは、誤検知の削減、しきい値の迅速な調整、SOCの規模拡大に伴う保守の複雑化の抑制など、重要な課題解決にもつながるとしている。
脅威検出の新時代では、新たなアプローチ「Detection as Code(DaC)」(コードによる検出)がキーワードになるという。矢崎氏は、「データの複雑化により検出の新たなジレンマを生んでいる」と説明し、検出の品質が低い主な原因として「データの品質の低さ」や「効果的な検出を開発するスキルまたは知識がSOCに不足している」、「組織内で検出の作成が重視されていない」という経営層の理解不足も課題になっているという。
SOCチームは検出能力を向上させたいと考えており、DaCが、検知エンジニアリングの将来に柔軟性をもたらすとしている。35%がコードによる検出を「頻繁」または「常に」使用しており、63%が今後「頻繁」または「常に」採用したいと回答している。
ここまで課題として挙がった、ツールの複雑化やAIの導入、スキルのギャップを克服するには、ツールを統合してスリム化し、検知エンジニアリングのような仕組みを組み込み、SOCやCSIRTと連携することが重要だと強調した。78%が「セキュリティツールが分散し、連携していない」と回答しており、検知、調査、精査をするツールをまとめなければSOCが立ち行かなくなる。統合されたセキュリティプラットフォームを導入することでツールの保守を最小限に抑えられるほか、脅威の検出と対応に統合されたアプローチを取り入れることで、「インシデント対応の迅速化」「脅威カバレッジの拡大」などのメリットがあるという。
未来志向のSOCを構築するステップ
アクセンチュアの滝口氏
次に滝口氏が、国内におけるマネージドセキュリティサービス(MSS)の活用傾向と、SOCの課題を解説した。アクセンチュアでは、リスク把握から戦略立案、セキュリティ強化、運用・改善など主要テーマに対してサイバーセキュリティのサービスを一気通貫で提供している。
滝口氏は、日本企業のCSIRTチームはセキュリティ戦略のブレインとして機能し、組織の「旗振り役」になるべきだという。また、外部ベンダーと同じゴールを目指し、対等にコミュニケーションを取ることが重要だとしている。ベンダーからの提案をそのまま受け入れるのではなく、自社のセキュリティ戦略と照らし合わせてさらなる防御策の強化につなげられるようなコミュニケーションが望ましいと述べる。そして、セキュリティ戦略の実行はベンダーを含めたワンチームで動く必要がある。
日本企業におけるMSS活用の傾向としては、包括的なサービスが求められる傾向にあるという。しかし、スキルセット不足で受動的であることや、ベンダーと対等に話せていないことが課題となっている。この課題を解消するためには、外部サービスを活用して自社の従業員をセキュリティ戦略のブレインとして育て、外部のリソースを含めたワンチームで包括的な体制を構築することが不可欠だとした。
日本企業がとるべきCSIRTへの戦略
