SOCアナリストが「アラート処理要員」となり退職していく企業はどのような問題を抱えているのか。逆に定着している企業は何をしているのか。Forresterの分析から読み解く。
SOC(セキュリティオペレーションセンター)アナリストの採用について検索すると、「やめとけ」「失敗した」「詰んだ」といったワードがヒットする。
セキュリティの最前線で活躍するSOCアナリストだが、現実には、さまざまな問題で悩んでおり、セキュリティリスクの増大を招く恐れがある。この問題を解消するための糸口を提供するのが、Forrester Researchが提唱する「アナリスト体験」(Analyst Experience:AX)だ。
AXは、SOCアナリストの業務効率と満足度を最大化するための新しいセキュリティ製品評価基準だ。2022年4月、でForresterのアリー・メレン氏とジェフ・ポラード氏が提唱した。
専門家や実務家によると、AXやSOCアナリストを軽視すると企業では以下が発生する恐れがある。
SOCアナリストの負荷が高い環境では、燃え尽きや転職が常態化する。人材不足は慢性化し、残ったメンバーにさらなる負荷が集中する悪循環に陥る。
高度なスキルや経験を持つSOCアナリストがいなくなるということは、数カ月分の専門知識と身体に染み付いた経験も失うということだ。
「離職率の高さは、対応の遅れ、緊急時の対応リスクの増大につながる」。サイバー災害復旧企業Fenix24の共同創業者兼CISO、ヒース・レンフロウ氏はこう話す。「人員不足の規模が大きくなると、悪循環に陥る。ミスが増え、それがプレッシャーを高め、さらに離職率を高める」
イスラエルのセキュリティベンダーCYEのCISO兼サイバーリスク戦略ディレクター、トム・レビ氏によると、「人員不足に加え、ミスを犯すのではないかという不安があると、精神的に疲弊し、長期的な勤務は難しくなる」。つまり、必要な情報が不足している環境では、調査に時間がかかる。さらに誤検知の追跡に時間を奪われ、本来対応すべきインシデントを見逃すリスクが高まる。
ツールが分断している、手作業が多いといった業務環境で調査業務を標準化することは困難だ。結果として、対応品質はばらつき、継続的な改善が進まない。課題が山積した状態では、「SOCアナリストは常に受動的な対応を強いられ、ストレスや燃え尽き症候群の増加につながる」。セキュリティベンダーDarktraceのフィールドCISO兼セキュリティおよびAI戦略担当上級副社長であるニコール・カリニャン氏はこう話す。
では、よいAXを保持する企業は何が違うのか。
では、SOCアナリストがストレスなく効果的に働ける環境はどのような要素を備えているのか。Forresterの定義を基に、以下5つを紹介する。
「何を調査するか」だけでなく、「なぜ調査するか」「調査の成果が組織にとってなぜ重要か」をSOCアナリストが理解できる環境がある。
フォルスポジティブやノイズの対応に忙殺されないように、必要なコンテキストを提供する高品質なアラートで業務を遂行できるようにしてある。高品質なアラートで、速やかな対応ができる環境を整えている。
複数のシステムが乱立しておらず、統合されている。セキュリティイベントの調査のためにシステムを頻繁に切り替える必要がない。
SOCアナリストが単なる「アラート処理要員」となっていない。上司や同僚から専門家として尊重され、意見が重視されていると感じられる環境がある。
「アラート処理要員の1人」にとどまらずにいられるよう、成長する機会や昇進の機会が用意されている。
では、これからAXがよい企業になるためにCISOが取るべき対策は何か。
「SOCアナリストを購買の意思決定プロセスに含め、判断を信頼することが大切だ」。メレン氏はこう述べる。「日々ソフトウェアを使用する中で、現場の人間なら理解できる微妙な仕様の違いや使い勝手がある。SOCアナリスト以外は気付かない場合もある。そこで、実務者を信頼し、可能な限り妥協することが肝要だ」(メレン氏)
誤検知の削減とルール調整を継続的に実施する。ノイズの多いルールを定期的に調整し、偽陽性を修正して意味のあるアラートがアナリストに届くように優先する。予算があれば、SOC技術をアップグレードしてシグナルを最大化し、ノイズを最小化し、反復的なワークフローを自動化する。
アラートと資産情報や優先度をひも付け、「なぜ対応するのか」を明確にする。ビジネス優先度レベルでアラートにタグ付けし、資産コンテキストを提供し、SOC調査が具体的なリスクにどのように関連するかを示す。
シグナル、コンテキスト、ワークフローを集約してツールの断片化を減らす。
人工知能(AI)や自動化ツールを使って繰り返し作業を削減し、SOCアナリストが高度な業務に集中できるようにする。ただし実装に当たっては、AIエージェントの質を評価し、ベンダー側の検証内容を精査することが大切だ。
人員不足に悩む企業であれば、脅威検知や調査をベンダーにアウトソースすることで、SOCアナリストの負担を軽減する。
SOCアナリスト向けのキャリアパスを用意する。研修の機会も充実させることで、アラート処理要員から脱却し専門性を構築できるように支援する。
Copyright © ITmedia, Inc. All Rights Reserved.
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
