“監視しているつもり”が一番ヤバい──穴だらけのSOC、立て直しの処方箋

ありがとうございます！
いいね！した記事一覧をみる

会員（無料）になると、いいね！でマイページに保存できます。

セキュリティ被害のニュースが後を絶たない。SOCやSIEMを備えても、迫りくる脅威の前で運用が追いつかず、“監視しているつもり”で終わっていないだろうか。正規ツールを悪用する「羊の皮を被った狼」のような攻撃、曖昧な境界線で判別困難な内部不正──監視対象の爆発的拡大と人材不足が追い打ちをかける中、防御の網はいま、大きくほつれ始めている。では、この破綻を食い止める術はどこにあるのか。

アラートの洪水に溺れるな。「見逃さないSOC」への転換点

（Photo/Shutterstock.com）

なぜSOCは疲弊する？避けて通れない「技術」と「運用」の壁

　多くの企業がSOCやSIEMを導入し、セキュリティ監視体制を整えた。だが、直近でもさまざまな情報漏えいインシデントが報道されている通り、それで安心できる時代は終わった。

　クラウドサービスやIoTデバイスなど監視対象が際限なく拡大し、ログの種類や形式は爆発的に多様化している。アラートの洪水、攻撃手法の高度化、人材不足、検知精度の低下──運用現場では、次々と課題が噴出しているのが実情だ。

　特に脅威なのが、侵入先の環境に元から存在する正規プログラムを悪用する「LOTL（Living Off The Land）」手法である。悪性マクロを有効化すると、Windows標準のPowerShellを介してマルウェアが実行される。正規ツールによるプロセスのため、EDRなどの検知ソリューションをすり抜ける可能性が極めて高い。まさに「羊の皮を被った狼」だ。

　一方、内部不正による情報漏えいも深刻な課題である。単一の挙動では正規か不正かの境界が曖昧で、リモートワークやクラウド利用の拡大によりデータ持ち出し手法はさらに複雑化している。従来の静的な閾値ルールでは、もはや誤検知と見逃しのリスクを避けられない。

　つまりSOC運用の課題は、大きく「技術課題」と「運用課題」に二分される。前者は攻撃の高度化や内部脅威への対応、静的ルールの限界だ。後者は監視対象の拡大、専門人材の慢性的不足、アラート増加によるセキュリティ担当者の疲弊、人材育成と効率化の未整備が挙げられる。結果として、セキュリティ担当者は脅威の深度分析や検知ロジック改善といった本質的な業務に注力できない悪循環に陥っている。

　SOCを真に高度化させるには、技術面と運用面の両輪で課題に取り組む必要がある。では、具体的にどのような施策が効果を生むのだろうか。