SOCにも自動化の波が押し寄せる

セキュリティオペレーションセンター(SOC)はサイバー攻撃に対する防御の要として、訓練を受けたセキュリティの専門家が日々、攻撃の監視、検出、対応を行っています。さらに現在では人工知能(AI)、機械学習、自動化ツールがセキュリティにも進出しており、SOCの業務にも影響を与え始めています。
SOCは自動化によってどう変わるのでしょうか。SOCの人員の3割を解雇しなければならないような影響が出るのでしょうか。これは、実際にはむしろ逆で、インテリジェントオートメーションはSOCの人員の強化につながることが判明しています。

まずSOCの業務を見てみましょう。SOCはインシデントの「検出」「調査」「対応」という3つの段階のアナリストによって構成されています。各段階のアナリストが対応していることは次の通りです。

  • 第1段階:このレベルのアナリストは、日々受信するアラートから、その内容が上位のアナリストの対応が必要か、あるいは規定のプレイブックに従って自身で対応できるものかを判断します。仕事の大部分は情報収集という反復性の高い作業です。
  • 第2段階および第3段階レベルのアナリストは、第一段階のアナリストの対応を引き継いでより詳細な分析と、より高度な対応を行います。

第1段階で行われる業務は、まさにSOAR(Security Orchestration Automation and Response)ツールが自動化を目指すタイプの業務です。SOARツールは自動化によって、サイバー攻撃を防御するための高度なセキュリティオペレーションを実現します。

自動化を行うことは、一貫性や規模、人件費、厳しい労働市場における人材の有効活用など、さまざまな点でメリットがあります。一方デメリットとしては、それほど顕著ではありませんが、組織におけるナレッジや順応性、人材スキル向上に遅れが出たり、使用するプレイブックの質に左右されてしまったりすることなどが挙げられます。

SOCの自動化で第1レベルのアナリストはどう変わるのか

SOCを自動化することで、セキュリティマネジャーはより優れた仕事を安価にできるようになります。自動化がもたらす厳密さと効率性を、人間の持つ直感や多目的性、パターン認識と組み合わせて組織の改善を目指すことができるのです。

うまくいけば、第1レベルのアナリストを削減して配置替えし、セキュリティの体制にもっと深みと幅広さを与えることもできます。例えば、次のようなことも可能になります。

  • SOARシステムの有効性の維持
  • 上位レベルの強化
    第2・第3レベルに潜むボトルネックを排除するために、第2・第3レベルの人員を増員します。
  • より優れたポリシーや手順書の作成
    情報収集の戦略と実行を改善し、調査の対象や判断の基準を明確化します。
  • 攻撃への対応範囲を拡大
    現在のSOCは組織の枠を超えて広くサービスを提供していますが、インシデントへの対応能力の限界によってその範囲に制限が生じてしまっています。
  • 脅威ハンティングを改善
    現在は疑わしいパターンの調査に多大な努力が費やされており、より漠然としたパターンを調査したり、特定の攻撃グループやテクニックを調査したりする時間がないというケースが多く見られます。自動化はこうした現状を変えられます。ただし、第1レベルのアナリストが従来のままでは、このような活動に進むことはできないでしょう。

このほかにもSOCの自動化は様々な影響をもたらします。第1レベルは、アナリストのキャリアアップの一部として、次のレベルに進むために必要なトレーニングの場の役割を兼ねる場合もあります。シニアアナリストには注意力、主体性、信頼性、決断力、組織に関する知識が必要とされますが、これらを第1レベルでテストしたり研修することができるのです。ただしシニアアナリストには、嗅覚や直感、独創的な思考、知的好奇心、順応性、独立性も必要となります。残念ながらこういった資質は現在の第1レベルの単調な業務ではほとんど伸ばすことができません。

これからのSOCを作り上げるポイントとは

SOCの第1レベルのアナリストの仕事は今後どのようなものになり、また彼らのスキル開発はどのように行っていけばよいのでしょうか。ここで提言しておきたいのは以下の要素です。

  • 何らかの自動化は不可避
  • 成果を出すSOCに影響を与えるのは人的要因
    SOCチームの構造、キャリアアップ、採用、研修環境を考慮する必要があります。
  • 自動化の初期段階では追加の取り組みが必要
  • 自動化の監視と調整役が必要
    SOCの自動化で人員の削減は可能ですが、上級の業務に付加スキルを持つ人材を配備し、自動化ツールの監視と調整を行う必要があります。
  • 自動化の維持と改善が業務の中心に
    アナリストは基本的に自動化の維持と改善を実施できることが必要です。得られた情報の品質と完全性に常に疑問を持ち、改善する方法を考えることが必要です。
  • リソースの再配備
    単調な作業が自動化された分、より生産的な活動にリソースを再配備することを検討するべきです。自動化の領域を拡大させ、これまで基本作業に集中しなければならず、対応できていなかった高度なセキュリティタスクに人材を割り当てます。
  • 有益な活動を実践
    自動化のメリットとしてよく聞かれるのが、より有益な活動に時間が当てられるようになることと生産性が向上することです。この目標を、必ず言葉だけで終わらせないようにする必要があります。

上記は、単に技術を展開していくということではありません。ここで取り上げた要素を踏まえた計画を立て、こうした改革を管理できるSOCマネジャーを配置するべきです。同時にSOCマネジャーがサポートを得られる体制も作る必要があります。

セキュリティリーダーがSOCの将来を考える際、高度に自動化されたセキュリティプラットフォームへの移行は十分に検討価値があります。いますぐ移行する準備ができていなくても、目指すビジョンを打ち立て、それを達成する方法を考え始めるべきです。