セキュリティチームは、1 つのアラートが重要で届くのが遅すぎたために眠れなくなります。現代のセキュリティオペレーションセンター (SOC) は、未処理のテレメトリを意思決定と決定的な行動に変えることで、こうした不確実性を減らすために存在しています。
現代のSOCはビジネス機能です
SOCは、かつては部屋、壁一面のスクリーン、そしてチケットの列によって定義されていました。今日では、検出の迅速化、封じ込めの迅速化、繰り返し発生するインシデントの減少といった結果によって定義されています。攻撃対象領域が変化したため、この変化は重要です。
クラウドコンピューティング、SaaSの採用、リモートワーク、ソフトウェアサプライチェーンのリスクにより、アイデンティティ、エンドポイント、アプリケーション、インフラストラクチャ全体で通常の状態が拡大しています。SOCがまだ存在しない境界に合わせて最適化されている場合、信号とノイズの分離に苦労し、価値の低いトリアージに多くの時間を費やすことになります。
利害関係者の足並みを揃えるのに便利な方法は、SOCアプリケーションを企業のリスクアウトカムにマッピングすることです。NIST サイバーセキュリティフレームワークは、識別、保護、検知、対応、復旧などの機能全体で「良さ」とはどのようなものかを明確に示しているためによく使用されます。現行の NIST サイバーセキュリティフレームワーク 2.0 は、組織がサイバーセキュリティリスクに優先順位を付けて伝えるのに役立つように明示的に設計されています。
セキュリティオペレーションセンターの主な用途
ほとんどのSOCは、影響の大きい少数のアプリケーションに集中しています。ツールはさまざまですが、行うべき仕事は業界を問わず一貫しています。
- 継続的な監視とアラートのトリアージ
- インシデント調査と対応オーケストレーション
- 脅威ハンティングと検出検証
- クラウドと SaaS のセキュリティ運用
- コンプライアンス、レポート、および経営指標
最も効果的なプログラムは、これらを単一の運用モデルに設計し、各機能が次の機能に役立ち、学んだ教訓がシステム全体を改善します。
これらのアプリケーションが運用ループでどのように接続されるか
SOC のパフォーマンスが低下する原因は通常、ステップ間のコンテキスト損失です。適切に運営されている SOC は、テレメトリから封じ込め、学習に至るまで、繰り返し可能なフローを構築します。
継続的な監視とアラートのトリアージ
監視はエントリーポイントですが、トリアージはSOCの効率の勝敗を左右するものです。その目的は、信頼できるリスクを迅速かつ一貫して、妥当な理由をもって特定することです。
高性能のSOCは、より多くの検出を追求する前に、テレメトリの品質とコンテキストに投資します。実際には、ID とクラウドコントロールプレーンのログを確実に収集し、データを正規化して一貫してクエリを実行できるようにし、資産の重要度や最近の変更履歴をアラートに盛り込む必要があります。
トリアージ容量がボトルネックになったら、まず自動化を適用して、エンリッチメント、重複排除、初期の仮説構築を行う必要があります。いつ AI 主導の SOC 運用の評価、トリアージまでの時間の測定可能な短縮と誤検出を優先します。
インシデント調査と対応オーケストレーション
調査の結果、アラートは何が起こったのか、何が変わったのか、何が影響を受けたのか、次に何をすべきかといった説明へと変わります。調査は構造化されているため、最適な調査は迅速に行えます。アナリストは、スコープを検証し、敵対者の行動を確認し、ビジネスへの影響を評価し、明確な承認とロールバックパスを備えた封じ込めアクションを実行します。
NISTのインシデント対応ガイダンスは、チームがこの作業をどのように組織すべきかを示す実践的なベースラインであることに変わりはありません。更新された NIST SP 800-61 リビジョン 3 インシデント対応ガイダンス は、より広範なリスク管理に対応勧告を組み込むことを強調しています。これは、SOCの意思決定が経営幹部の精査や監査要件に耐える必要がある場合に不可欠です。
オーケストレーションとは、ID、エンドポイント、クラウドアカウント、ビジネスアプリケーションにわたるアクションを調整しながら、対応によって回避可能な障害リスクが発生しないようにすることです。
脅威ハンティングと検出検証
脅威ハンティングは、検出をすり抜けてしまう攻撃者の行動に関する不確実性を減らすための、統制のとれた手法です。その場しのぎの検索ではなく、うまくできています。これは、お客様の環境、最近のインシデント、脅威行動の変化に基づいた、仮説に基づいた調査です。
最も強力なハンティングプログラムは、攻撃者の行動に共有言語を使用します。は MITRE AT&CK エンタープライズマトリックス ハントの計画、調査結果の文書化、検出結果の戦術や手法への対応付けに使用できる共通の分類法を提供します。
狩りを探知研究として扱いなさい。各ハントは、調整された検出、検証済みの統制の前提条件、文書化された正常、または対応と修復を促進する確認済みのインシデントなど、運用上の成果物を提出して終了する必要があります。
クラウドと SaaS のセキュリティ運用
SOC アプリケーションは、クラウド ID、API、コントロールプレーンを中心とするケースが増えています。影響の大きいインシデントの多くは、従来のマルウェアではなく、ID の悪用、危険な設定、権限の乱用から始まっています。
クラウドに重点を置いたSOCでは、監査ログと管理イベントに優先順位を付けます。監査ログと管理イベントでは、権限昇格、キーの作成、ポリシーの変更、異常なデータアクセスが発生するためです。また、対応には多くの場合、セッションの取り消し、認証情報のローテーション、サービス全体にわたる認証態勢の検証が必要になるため、ID を封じ込める中心的な対象として扱われます。
統制ベースラインを構築するチームの場合、 クラウドセキュリティアライアンスクラウドコントロールマトリックス は、クラウドコントロールを整理し、サプライチェーン全体のコントロールオーナーシップを明確にするための参考資料です。
コンプライアンス、レポート、および経営指標
SOC リーダーはしばしば、人員数とツール支出の正当化を求められます。そのための最も信頼できる方法は、SOCの活動を成果に結び付け、経営陣が認識している指標を使ってコミュニケーションをとることです。
スピード、品質、学習を網羅するバランスの取れた指標セットです。小規模で一貫性のある KPI のセットは、誰も読まない大きなダッシュボードよりも価値が高い傾向があります。
- 優先インシデントの平均調査時間と解決までの平均時間
- 調査後に無害としてクローズされたアラートの割合
- 根本原因と教訓が文書化された優先インシデントの割合
- 合意された重要なシナリオまたはATT&CK手法に対する補償の進捗状況
- 同じ統制ギャップに関連するリピートインシデントの削減
評価計画を作成するチームの場合、 AI SOC プラットフォームを評価するためのフレームワーク ベンダーの主張を検証可能な要件と測定可能な結果に変換するのに役立ちます。
結果を重視したSOCの設計
SoCの主な用途は、迅速なトリアージ、より詳細な調査、より安全なクラウド運用、よりスマートなエクスポージャー判断、信頼できるレポートなど、測定可能な方法でビジネスリスクを軽減する反復可能な機能です。
SOCを最新化または再構築する場合は、最も一般的なインシデントタイプと、最もリスクの高いIDおよびクラウドシナリオに焦点を当てた簡単な評価を検討してください。多くのチームは、まずワークフローについて利害関係者の足並みを揃え、それを一貫して実行するために必要なツールと自動化を検証することから始めます。最新のエンドツーエンドの AI SOC がどのようなものかを理解する準備ができたら、次のことが可能になります。 デモをスケジュールする または、現在のSOCプロセスに対して構造化された価値証明を実施してください。
