今日、多くの企業が次世代セキュリティオペレーションセンター(SOC)を導入していると公言しています。実際、私たちは、企業がいかに自社のセキュリティオペレーションを進化させているかを示す、多くのソートリーダーシップに関する記事を目にしており、彼らの多くは解決策をもたらすテクノロジーとしてAIに期待を寄せています。

しかし、1つの重要な疑問として、私たちは最適化を続行すべきなのか(つまりスタックをさらに構築すべきなのか)、それとも次世代SOCの基本原則のいくつかを進化させ変革していく必要があるのかということが挙げられます。この件に関しては、Deloitte/Googleによる論文に興味深い洞察が示されています。

また、SOC2.0について議論している人たちもいます。しかし、ISACAのモデルを参照するならば、私たちはNOC/SOC6.0以上の段階にいるはずです。主な焦点となる分野としては、ビッグデータレイクやラージランゲージモデル(LLM)の導入が挙げられ、今や多くの人がハイブリッド型のマネージドSOCを運営することを選択しています。

あなたの会社のSOCを真に前進させるためには、次のことが必要となります。

  1. 過去を振り返り、自社の目標が自らのビジネスにとって今もなお正しいかどうかを確認すること。
  2. 現在と将来の目標の両方に照らして、現在どの段階にいるのかを確認すること。
  3. 自社がどの段階にいるべきかに関して、明確なマイルストーンと共に、測定可能な期限付きの道筋を定義すること。

2023年の初めに、サイバーリーズンでは、今日の企業がSOCの進化におけるどの段階にいるのかを真に理解するために、セキュリティオペレーションに関するユニークな調査を依頼しました。

この調査では、米国、英国、フランス、ドイツ、アラブ首長国連邦、サウジアラビアにおいて、SOCの実務者から経営陣に至るまで、1,200社以上の企業(従業員数500人以上の企業)を対象としてアンケートを実施しました。

【グローバル調査結果】2023年版 ランサムウェアと最新のSOC〜ランサムウェアがSOCを最新化するために与えた影響〜

その結果は、企業が自らを同業他社と比較して評価するために役立つものとなっています。ただし、このアンケート結果には、国や業種によって差があったことに注意する必要があります。

すべての企業が目指している成果は、効果的な運用上のサイバーレジリエンスを確保することです。例としては、すべてのインシデントを未然に防ぐか、あるいはすべてのインシデントを特定した上で、コアなビジネスプロセスへの影響を最小限に抑えるような期間と方法でそれらを解決することが挙げられます。

では、そのような進化を実現する道程において、私たちは現在どの段階にいるのでしょうか?

成果

肯定的な結果から始めましょう。平均MTTR(平均解決時間)は2~4時間であり、大半のケースで企業はこのサービスレベル目標(SLO)を達成しています。ほとんどの回答者は、自社またはサードパーティのサービスを利用して、24時間365日体制で対応しています。

しかし、その一方で、多くの企業や組織は、すべてのアラートを同日中に処理するには程遠い状況です。実際、回答者の大半は、毎日50~80%のアラートを処理していることが判明しました。同様に、トリアージ処理の質も大きく異なっており、10%の企業ではアラートの90%が誤検知と特定されていました(平均ではアラートの20~40%が誤検知と特定)。

あらゆるSOCに対する要求は常に成長し続けるため、モダナイゼーションを目指すのであれば、2つの指標(すなわち、すべてをSLOに合わせて処理できたか、そして処理品質は十分であるか)に焦点を当てることが不可欠です。

私の経験では、私たちはMTTDやMTTRのような成果ベースの指標を過度に重視している一方で、プロセスベースの指標には十分な注意を払っていないように思われます。プロセスベースの指標の例としては、許容可能な誤検知の程度や、誤検知を減らす方法などが挙げられます。インシデントの特定、トリアージ、そして対応というプロセスを適切に制御できれば、成果ベースの指標をより有機的に達成できるはずです。

そこで、まずはデータについて、続いてデータに適用されるプロセスについて、そして最後にこれらの指標を達成するためにはいかなるツールを使用すべきかについて検討してみましょう。

すべてのインシデントが同じというわけではなく、比較的単純なものもあれば、非常に複雑なものもあります。そのため、改善を検討する際には、ビジネスのどの分野で改善を検討するかを考慮する必要があります。たとえば、私たちの業界における重要な課題の1つとしてスキル不足が挙げられます。

より単純なインシデントに関する処理を、自動化を通じて迅速化することで、より複雑で時間のかかる脅威に対しては人による対応が可能となります。企業によっては、よりシンプルな解決策として、インシデントの量や複雑さへの対処など、自力では対応できない分野をアウトソーシングすることもできます。

データ

平均では、セキュリティイベントの保存期間は1~6ヶ月であり、1年以上保存していると答えた回答者はわずか1%に過ぎませんでした。当社が実施した最新のランサムウェアによるビジネスへの影響に関する調査では、インシデントの半数以上が3~12カ月間発見されなかったという結果が出ています。

【調査結果レポート】2024年版 ランサムウェア 〜ビジネスにもたらす真のコスト〜

データが十分な期間保持されていなければ、過去にさかのぼって何が起こったかを理解することなどできるはずがありません。規制当局からの圧力が高まる中、セキュリティデータをより長期にわたって保存する企業が増えるのは当然だと思われるかもしれません。

しかし調査結果によれば、96%の組織が、サイバーセキュリティのコストを削減するために、自社のSIEM(従来はデータ集約ポイント)に取り込むデータを削減しようとしていました。

同時に、収集されたデータは強い懸念を引き起こしています。調査結果によれば、75%以上の組織が、データの不足が業務遂行能力に影響を及ぼすと考えています。また、データ保持の問題だけでなく、データの断片化の問題も指摘されています。大半の組織は2つ以上のデータレイクにデータを分散させており、67%の組織は生データではなくアラートのみを保存しています。

これは、潜在的な誤検知を検証する際に現実的な課題となりますが、その一方で、よりリッチな脅威ハンティングの鍵ともなり得ます。アラートは単に最初の証拠を示す痕跡にすぎませんが、生データにはより豊富な証拠が含まれています。

プロセス

SOCアナリストにとって、証拠となる痕跡を構築することは時間のかかる作業であり、今回の調査によれば、それにかかる時間はアナリストの1日の労働時間の75%にも及ぶ場合もあります。通常、SOCアナリストは脅威インテリジェンスのソースに目を通し、キャプチャされたデータにどのような他の証拠の痕跡があるべきかに関しての手掛かり見つけようとします。この検証は従来、SIEMを介して行われてきたものです。

今回の調査によれば、アラートのトリアージには通常2~3回のSIEMクエリが必要であり、1回のクエリで平均2~10分かかることが判明しました。企業がスケールとスピードを実現するためにクラウドコンピューティングを使用していない場合や、データセットが非常に大きい場合は、これよりはるかに遅くなることもあります。

また、今回の調査によれば、クエリをゼロから作成する場合、その複雑さやアナリストのスキルにもよりますが、最短で1時間、最長で24時間もかかることが判明しました。このため、SOCのアナリストは、トリアージされるすべてのアラートに関して、適応できるクエリがすでに作成されていますようにと、幸運を祈り続けることになります。

複雑なクエリの書き方を学ぶことは、長年の経験を必要とする真のスキルです。今日、SOCの人員数の平均16~30%が埋まっていないため、組織は、脅威のアーティファクトを結合してマルウェアの活動全体を把握できるようにする、よりスマートな方法を探しています。

AIはよりスマートなデータ分析を可能にしますが、それを実現するためには組織はデータを持つだけでなく、データにコンテキストが含まれており、かつそのようなデータが機械で読み取りやすい方法により構造化されている必要があります。これにより、AIが同データを処理する方法(例:MITRE ATT&CKフレームワークに照らしてタグ付けすることなど)を理解できるようになります。

今回の調査によれば、今日、あまりにも多くのデータがさまざまなデータレイクへと断片化されているため、データは通常、複数のネイティブなデータ形式になっていることが判明しています。これは、データがどのソースに由来するものであるか、アラートを生成する機能、そしてそれらを処理するために実際に使用される機能に基づいています。

必要となる能力

今日、組織は無数の異種セキュリティ製品を使用しており、脅威が複雑化し続けるにつれて、そのリストはさらに長くなる一方です。SOCがこれらすべてのポイントソリューションから得た証拠を、悪意ある操作の仮説に結びつける能力は、ますます複雑になっています。これを実現するには、より多くの証拠ソース、情報、そして何が起きているのかを集約して理解するために必要な後続のSIEMクエリが必要となるほか、その他多くのツールも必要となります。

たとえば、SOARは、検知と復旧プロセスを完了するために必要となる増え続ける数のステップを自動化しようとするツールです。しかし、複雑さが増す中で、通常、検知と対応に許される時間はかつてないほどに短くなっています。なぜなら、企業がますますデジタルに依存するようになっているからです。

ツールを追加し続けるほどデータは増えるため、多くの組織が継続的に最適化とモダナイゼーションを模索しているのも不思議ではありません。通常、組織はSOAR、TIM、EDR、SIEMなど5~6種類の主要ツールを使用して、データの痕跡をより多くのものに変換するプロセスに取り組んでいます。多くの場合、これらのツールは異なるベンダーの異なるデータ構造を使用しているため、各ステップでさらなる翻訳が必要となり、プロセスが複雑化しています。

脅威インテリジェンスを例にとると、各組織は平均して3つの異なる脅威インテリジェンスフィードを使用しており、アナリストが収集すべき他の証拠となる痕跡から潜在的なインサイトを導き出すには、それぞれ独自のプロセスが必要となります。このため、アナリストは、インシデントをトリアージするために3つ以上の異なるコンソールを行き来する必要があります。

まとめ

私たちまだ道半ばにあります。現実には、ITと脅威の状況が進化し続ける中で、私たちは常にSOCの能力とプロセスをモダナイズしていくことになるでしょう。

しかし、ますます明らかになりつつあるのは、SOCがサイバーセキュリティデータサイエンスの卓越した研究拠点(COE)にならなければならないということです。広範なIT業界全体に見られるように、重要なのは、機械学習と生成的AI機能を使用してデータをタイムリーに操作し、非常に大規模なデータセット全体を通じて、結果を迅速に導き出すような能力を持つことです。

これを達成するには、企業や組織は、自らのSOCの能力と効率性を高めるために何を追加すべきかについて検討するだけでなく、何を取り除くべきかについても検討する必要があります。さらに、主要技術やプロセスを含むSOCの基盤が、現在および将来にわたって目的に合致しているかどうかについても検討する必要があります。

【調査結果レポート】2024年版 ランサムウェア 〜ビジネスにもたらす真のコスト〜

サイバーリーズンでは、1,008名の企業のIT担当者を対象に、2024年度のランサムウェアがビジネスに及ぼす影響に関するグローバル調査を実施しました。

本レポートでは、詳細な調査結果を紹介するとともに、企業がとるべき対策として6つの核となる課題を取り上げて、それぞれの課題に対する推奨対策について紹介しています。

https://www.cybereason.co.jp/product-documents/survey-report/11873/