セキュリティ監視ツールの導入が進む一方、SOCのアラートが十分に活用されず、インシデントにつながる事例が後を絶たない。背景には何があるのか。対策は?
「またSOCからアラートが来たが、どうせ誤検知だろう」「夜中に通報が来ても、確認は朝になる」――。
セキュリティ監視ツールの導入が進む一方で、インシデントが防げなかった事例が後を絶たない。その背景には、技術の問題だけではなく、このような「組織の構造」がある。本稿では、SOC(セキュリティオペレーションセンター)のアラートが組織の中で無視されていく仕組みを解剖し、情報システム部門(以下、情シス)が経営層と認識をそろえるための視点を整理する。
アラートを無視するのは担当者の怠慢という声がある。しかし、組織の構造が、無視を合理的な選択にしてしまっている可能性がある。
SOCに届くアラートの実態として、誤検知や攻撃失敗が占める割合は大きく、アナリストの分析業務の多くがその選別に費やされている。
最初のうちは、担当者もアラートが発報されるたびに確認する。しかし「対応したが何も起きなかった」「対応しなくても何も起きなかった」という経験が積み重なると、アラートへの関心は少しずつ下がっていく恐れがある。これは合理的な判断であり、担当者個人を責めて解決できる問題ではない。
もう一つの構造的な問題が、責任の所在の曖昧さだ。SOCベンダーは「一次判断を行い、重要なものを通報する」という認識。情シスは、「通報が来たら対応する」という認識。現場部門は「セキュリティはIT部門の管轄」という認識だ。それぞれの認識は間違っていないが、組み合わさることで「最終的に誰が判断するのか」が宙に浮く可能性がある。
明示的に「あなたがこのアラートの判断者だ」と決めない限り、全員が傍観者になる恐れがある。これはSOCに限らず、形骸化した承認フローや形式的な点検と同じ構造だ。
技術的な問題以前に、経営層と情シスの間で「SOCが何をするものか」の理解がずれている場合がある。このギャップが、体制整備を阻む最大の壁になる。
経営層の中には「SOCを導入した=セキュリティ対策が完了した」という認識を持っている人がいる。一方、情シスの現場では「通報は来るが、受け取った後の動き方が決まっていない」場合がある。
コンサルティングファームKPMGが2022年1月に公開した「サイバーセキュリティサーベイ2022」によると、国内企業のSOC設置率は約45.6%だった。同調査結果は、国内の上場企業および売上高400億円以上の未上場企業のサイバーセキュリティ責任者285人から回答を得たものだ。
しかし「設置している」と「機能している」の間には大きな開きがある。この数字を経営報告で使うとき、数字の意味が「対策済み」として受け取られると、その後の議論が止まる可能性がある。
情シスが「SOCを導入しました」と経営会議で報告した結果、セキュリティ監視が「解決済みの議題」になる場合がある。その理解のまま、運用体制の整備や見直しを追って求めようとすると「なぜまだ必要なのか」理由を求められる場合がある。
その結果、体制を整えたいが予算の根拠を示せない情シスは板挟みになる。「SOCが機能しているかどうか」を測る指標が現状の問題を説明するために必要になる。
KPMGが2025年4月に公開した調査結果「サイバーセキュリティサーベイ2025」によると、セキュリティ監視にAIの導入を検討する企業の割合は、前年の19.4%から32.0%に増加している。同調査結果は、国内の上場企業および売上高400億円以上の未上場企業のサイバーセキュリティ責任者や担当者125人から回答を得たものだ。この数字からは、現状の監視体制への課題感が高まっているということがうかがえる。
しかし課題があるだけでは経営層を動かすことはできない。情シスに必要なのは「SOCがあるかどうか」ではなく「検知から対応開始までに何時間かかっているか」といった指標で経営層と協議する準備だ。
担当者はいる、ツールもある、通報も届いている――。それでも「本当に見る人」がいない組織には共通した特徴がある。
担当者が決まっているように見えても、「自分がこのアラートの最終判断者だ」という意識がない場合がある。「SOCベンダーが一次判断する」「情シスが二次確認する」という意識が浸透していれば、受け身になる担当者が出てきても不思議ではない。
業務時間外の初動判断者が明文化されていない場合もある。夜中に通報が届いても「朝に確認する」が暗黙のルールになっている場合、業務時間内のみSOCが稼働している状態だ。
トレンドマイクロの調査によると、ランサムウェア攻撃者の中には、侵入から暗号化まで半日未満の「速攻派」と呼ばれる存在がいる。具体的には、土日深夜に侵入し、翌営業日の開始前に暗号化を完了させる。通報は届いても、受け取って判断する人間がいない時間帯が攻撃の実行タイミングとして使われている。
アラートへの感度が組織的に低い状態には、共通した特徴がある。
1つ目は、アラート対応の振り返りをしないという点だ。何を見て、どう判断したかの記録を残していないため、改善することが困難だ。
2つ目は、誤検知だったかどうかの記録を残していないという点だ。誤検知だったという判断が正しかったのかを検証する仕組みがない。
3つ目は、「対応した/しなかった」の判断基準が言語化されていないという点だ。基準がなければ、属人的な判断が積み重なるだけで、組織の判断力は育たない。
全体を一気に変えず、まず次の3点を整備するだけで、組織の判断力は変わり始める。
SOCベンダーでも情シス全体でもなく「このアラートの最終判断者は誰か」を1人決める。夜間・休日の場合も含めて、判断者と連絡先をセットで文書化する。判断者がいない状態を終わらせることが、最初の一手になる。
自社で直近のインシデント対応履歴を振り返り、通報を受けてから実際に誰かが動き始めるまでの時間を把握する。その数字を経営層と共有し、「どのような状態が機能しているといえるのか」合意することが、体制の整備を議論するための土台になる。
月1回でも「先月のアラートで対応しなかったものはなぜか」を確認する場を作る。記録が積み重なると、トリアージ基準の改善材料になり、経営報告の根拠にもなる。大規模な運用改革より、小さな振り返りの継続が「見る文化」の土台を作る。
セキュリティツールは「入れた組織」ではなく「使う組織」の質で決まる。アラートを無視する文化は怠慢から生まれるのではなく、判断者が決まっていない構造から生まれる。
最初の一歩として、自社のSOC運用で「アラートの最終判断者は誰か」に答えられるか確認することから始めたい。
Copyright © ITmedia, Inc. All Rights Reserved.
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
