数年前までは、小規模企業が独自のSOCを運営できるという考えは、ほとんどあり得なかったでしょう。このような運用には、ベンチのアナリスト、検知エンジニア、年中無休のシフト対応、そしてすべてを理解するための組織的な知識が必要でした。ほとんどの組織にとって自然な答えは、鍵をマネージド・セキュリティ・サービス・プロバイダー (MSSP) に渡し、最善の結果を期待することでした。
多くのチームにとって、「ベストへの希望」が重要なフレーズであることが判明しました。SOC アウトソーシングモデルは、セキュリティ業務は複雑で、人材は少なく、専門化はより良い結果をもたらすはずだという合理的な前提に基づいて構築されました。実際には、アナリストの解約、コンテキストの喪失、アラートが強化されずにパントバックされるなど、エクスペリエンスは不均一でした。負担を軽減するために外部委託した組織は、多くの場合、結局同じ作業の多くを、より高い価格帯で行うことになります。
しかし、何かが変わりました。AI 主導のセキュリティ運用により、小規模なチームで達成できることが変わりました。社内か外部委託かという質問は、かつてのように「外部委託」に傾きがなくなりました。セキュリティ業務の一部または全部を社内に戻す組織が増えています。というのも、今ではその計算が根本的に変わったからです。
アウトソーシングされたSoCの何が問題なのか
MSSPの関係に関する問題は、ゆっくりと、そしてすべてが一度に表面化する傾向があります。プロバイダー側の悪意から生じることはめったにありません。多くの場合、それらは構造的なものです。
知識の喪失から始めましょう。SOC アナリストの平均在職期間は 18 か月未満ですが、この数字は十分かもしれません。MSSP であろうと社内チームであろうと、アナリストが離職するたびに、環境について彼らが理解していたことはすべて失われます。次の人は立ち上がり、生産性が上がり、そしてまた離職します。その結果、オンボーディング後に品質が上昇し、解約によって品質が低下し、後任になると再び上昇するというのこぎり歯のようなパターンになります。MSSPでは、そのカーブのどこにいるのか、どの瞬間にも見えにくくなります。
あるExaforceのお客様は大手機関で、このサイクルを経験していました。彼らは当初、SOC を社内で構築していました。燃え尽き症候群と離職率によってそれが持続不可能になったとき、彼らはMSSPにアウトソーシングしました。ピークとバレーはプロバイダー側にシフトしただけです。ある月は良いアラート、次の月は悪いアラート。支払っていたような一貫性が得られなかった。
次に、コンテキストギャップがあります。アウトソーシングしたチームからよく聞く不満は、MSSP がアラートについて確信が持てない場合に何が起こるかということです。アラートは解決するどころか、社内チームにキックバックされ、たいていは最小限の強化しか行われません。従業員は、直接アクセスできない可能性のあるツールを使用して、自分が書いたものではない検出のために、前後関係のないものを調査することになります。これでは大半の論点が成り立ちません。
そして最後に、不透明度。MSSP エンゲージメントの多くは、いまだにブラックボックスとして実行されています。あなたが彼らにログを送ると、彼らはあなたにアラートを送ります。チューニングの決定、検出ロジック、トリアージ基準など、すべてが裏で行われます。そのため、品質の評価やカバレッジの改善が難しく、アウトソーシングされた関係と並行して社内のコンピテンシーを構築することはほぼ不可能です。
これはいずれも、アウトソーシングが本質的に間違っているという意味ではありません。しかし、バリュー・プロポジションは売り込みが示唆するよりも常に脆弱でした。というのも、それはほとんど完全に仕事をする人々次第だったからです。
AI SOC が方程式を変える理由
ほんの数年前のことですが、本国送還が現在実現可能なのは、AI主導のプラットフォームが運用モデルに関して変化したいくつかの具体的な点にあります。
最大の課題は、組織の知識がついに定着したことです。従来の SOC では、社内であろうと外部委託であろうと、知識は人々の頭の中や Confluence ページにあり、「ああ、そのアラートは常に新入社員の日に発生するので無視しなさい」という部族の理解の中にあります。そうした人々が退職しても、その理解は彼らにも伝わってきます。
AI SOC プラットフォームでは、その知識がシステムに組み込まれます。アナリストがアラートを誤検知としてマークし、その理由を説明しても、その理由が根強く残ります。次に同様のアラートが発生したときには、システムにはすでに履歴情報が記録されています。ビジネスコンテキストも同じように機能します。あるお客様から、「毎月第一火曜日は新入社員の日」とのことで、その日には 45 日前までに作成されたアカウントからの MFA 登録が急増するとのことでした。従来のSOCでは、その知識は一人の人の頭の中にありました。あるいは、誰も読まないWikiに存在していたのかもしれません。今では、その情報はシステムにエンコードされ、自動的に適用されます。ターンオーバーはまだ痛いですが、時計がリセットされることはありません。
2つ目の変更点は、人間がアラートを見る前にトリアージと調査が行われるということです。従来の SOC では、アラートが作業の出発点です。アナリストはアラートを受け取ってログを取得し、ユーザー履歴を確認し、権限を評価し、コンテキストを構築します。このプロセスは労働集約的なセキュリティ運用の中核であり、MSSPが行う主な報酬でもあります。
AI SOC プラットフォームはこの作業を前もって行います。 エクサフォースのエクサボットたとえば、すべてのアラートに対して完全なトリアージパイプラインを実行し、過去のベースライン、構成データ、ビジネスコンテキスト、および以前の解決策を取り込みます。誤検出の大半は除外されます。残っているのは、詳細な説明を含む状況に応じた調査結果です。小規模なチームでも、以前ははるかに大規模なワークロードや、完全にアウトソーシングされたプロバイダーが必要だったワークロードを処理できます。
これにより、最初に誰を雇うかも変わります。これまでは、1 人の採用だけで始めることはできませんでした。アラートのトリアージ、調査、対応のワークフローを処理するには、アナリストのチームとマネージャーが必要でした。そうなると、より多くのアナリストが必要になります。検知エンジニアや自動化のSOARエキスパートかもしれません。ベースが肉体労働だったので、底辺はピラミッドが広かった。
AIによるトリアージ処理により、組織はセキュリティ構築の早い段階で、検知エンジニアや脅威ハンターの役割を優先しています。この役割には、組織の知識と、AIではまだ再現できない創造的な調査作業の両方を活用する必要があります。燃え尽き症候群を引き起こし、人々を現場から追い出す退屈で反復的な作業は、プラットフォームに吸収されます。面白い仕事をするようになった人は、より長く留まります。
このプレーを具体的に見てきました。ある小規模なヘルステック企業が、一握りのセキュリティスタッフを擁する完全社内のSOCを運営しています。2 年前なら、それは現実的ではなかったでしょう。スタッフにはセキュリティの専門知識があり、AI SOC が運用負荷を処理していたため、MSSP は必要ないことに気付きました。アウトプットはすでにトリアージされ、コンテキスト化されています。彼らのチームは、ノイズをトリアージする代わりに、検出エンジニアリングと脅威ハンティングに時間を費やすことができたのです。
本国送還はスペクトラム
ここでの決定は、「MSSPを解雇する」ことでも、「すべてを現状のままにする」ことでもありません。中間の立場もあり、ほとんどの組織は中間の立場に落ち着きます。
特定の機能を社内に持ち込むものもあれば、外部委託するものもあります。検出エンジニアリングは、サービスプロバイダーが運用上のトリアージと調査を引き続き行っている間、社内チームがお客様の環境を最もよく理解しているため、検出の記述と調整を行う際に、後回しにするのが一般的です。24 時間 365 日体制の運用担当者を配置しなくても、検知の品質を管理できます。
従来のMSSPモデルをひっくり返すものもあります。MSSP が日常業務を行う代わりに、社内チームが営業時間中にコアワークフローを処理し、MSSP が夜間、週末、休日を担当します。これは、受信側に誰がいるかに関係なく、一貫性のある状況に応じたアラートを提供する AI SOC プラットフォームと組み合わせるとうまく機能します。
適切なモデルは、お客様の仕様によって異なります。スタッフにはどのような専門知識がありますか?その人たちは実際に何に時間を費やしたいと思っているのでしょうか?あなたはどれくらいの速さで成長していますか?ワークロードが予期せず急増しているのはどこか?あるお客様が使用した例えが心に残っています。「スーパーボウルのために十分な駐車スペースを作っていない。普通の日に向けて作って、ピーク時のオーバーフローを考え出すんだ。」
正しい方法で本国に送還する方法
業務の全部または一部を社内に戻すことを検討しているお客様には、次のような効果が見られます。
ツールを選ぶ前にミッションを定義してください
何かを変更する前に、SOCの目的を理解してください。一番大切にしているのは何ですか?御社のビジネスにとって実際に重大な脅威は何か?今、やらないことを選択していることは何ですか?これは当たり前のように聞こえますが、驚くほど多くのチームがスキップしています。成功とはどのようなものかを明確に説明する前に、ツールの採用と購入を開始し、最終的にはすべてをカバーしようとして何もうまくカバーしないSOCを構築することになります。
MSSPが実際に行っていることを監査する
何を社内に持ち込むかを決める前に、プロバイダーが提供している価値を正直に説明する必要があります。アラートは解決しているのか、それとも転送しているのか?検出は環境に合わせて調整されていますか、それとも無差別に起動する既成のルールを実行していますか?発生しているインシデントの件数は減り、品質は向上していますか、それともベンダーのロゴが貼られていても同じ量のノイズが発生していますか?この監査により、最も価値の高い機能が、期待していたものと異なっていることがしばしば明らかになります。
自分のモデルを自分の人に合わせる
当社の顧客の 1 つは、従業員数が 1,300 人を超えるヘルスケア企業で、優秀なセキュリティ担当者が多数在籍していました。とにかく、彼らはSOCスタッフをExaforceの24時間365日のサポートに外注することを選択しました。彼らがこれを選択したのは、チームが製品セキュリティなどのセキュリティの他の部分をより重視していたため、スタッフが 24 時間体制の SecOps モニタリングを行うよりもアウトソーシングするのが最善だと感じたからです。彼らはSOCを社内に留め、Exaforceを使ってカバレッジギャップを埋め、継続的なトリアージ作業を処理しました。
これとは対照的に、社内にSecOpsに関する深い専門知識を持つはるかに小規模なヘルステック企業は、すべてを自社で運営することにしました。同じ AI SOC プラットフォームでも、運用モデルはまったく異なります。どちらもそれぞれの状況に適していました。
年中無休の報道を真剣に受け止めてください
これが、組織がアウトソーシングコンポーネントを維持する最大の理由であり、それには正当な理由があります。24 時間体制のスタッフ配置には、大規模なチームまたは海外拠点が必要です。トリアージの負荷の大部分はAIが継続的に処理しますが、人間が午前2時に電話をかける必要がある状況もまだあります。そのためのチームがいない場合は、営業時間外にある程度の MSSP エンゲージメントを維持するのが現実的な方法です。
切り返す前に物事を並行して実行してください
本国送還は電灯の切り替えではありません。外部からの支援に頼りながら内部能力を構築している時期があります。その重複部分を意図的に使用してください。AI SOC プラットフォームを MSSP と並行して実行し、特定の期間だけ実行します。アウトプットを比較します。ギャップを特定する。ビジネスコンテキストルールを構築し、システムに環境を学習させます。社内のSOCを効果的にするための組織的な知識は、たとえAIがプロセスを加速させても、蓄積には時間がかかります。移行を急ぐと、最初よりも状況が悪化してしまいます。
重要なことを追跡する
本国送還のポイントは、費用の削減ではなく、より良い結果が得られることです(ただし、それも起こり得ます)。検出までの平均時間、平均応答時間、誤検出率、およびアナリストが行っている作業についてどのように感じているかを追跡します。社内業務が MSSP よりも良い結果をもたらさない場合は、アプローチを調整するか、タイミングを再考してください。
これがどこに向かっているのか
12か月前、SIEMとセキュリティ業務の分野でキャリアを積んだ人々に、小規模なスタートアップが独自のSOCを運営できるかどうか尋ねたとしたら、答えはすぐに「いいえ」でした。作業負荷が重すぎ、ツールに多くの手入れと給餌が必要で、人材の問題はその規模では解決できませんでした。
それはもはや真実ではなく、その影響は個々の組織のアウトソーシングの決定にとどまりません。人材不足が解消されたわけではありませんが、AIによってSOCが必要とする人材の数は減りました。アラートの量は依然として膨大ですが、インテリジェントなトリアージにより、ほとんどのアラートが人間に届くことはありません。運用上の負担は、手作業からシステム構成と監視に移りました。
他に選択肢がなかったために外部委託した組織については、それがまだ当てはまるかどうかを尋ねる価値があります。答えはまだ「はい」かもしれません。しかし、それは意図的な選択であるべきであり、代替案が存在しなかった時代からの引き継ぎであってはなりません。
そして、今日決めたことが何であれ、それを再検討することを計画してください。あなたのニーズは、あなたが成長するにつれて、またチームが新しい能力を開発するにつれて変化します。今年適合する SOC モデルは、今から 2 年後には適合しなくなる可能性があります。それで結構です。いつもスペクトルのはずだった
あなたがそのスペクトラムのどこかにいて、次にどこに行くべきかを考えたいなら、 エクサフォース 助けることができます。弊社は AI SOC プラットフォームと MDR サービスの両方を運営しており、両者を十分に検討してきたので、御社のチームにとって何が理にかなっているのかについて率直に答えることができます。また、この記事の背景にある顧客事例や意思決定の枠組みについて詳しく知りたい場合は、 ウェビナーの全録画を見る。
