「SOCアナリスト大切にされない問題」の深刻度：Forresterが示す改善の要諦

SOCアナリストが「アラート処理要員」となり退職していく企業はどのような問題を抱えているのか。逆に定着している企業は何をしているのか。Forresterの分析から読み解く。

[Sean Michael Kerner，TechTarget]

　SOC（セキュリティオペレーションセンター）アナリストの採用について検索すると、「やめとけ」「失敗した」「詰んだ」といったワードがヒットする。

　セキュリティの最前線で活躍するSOCアナリストだが、現実には、さまざまな問題で悩んでおり、セキュリティリスクの増大を招く恐れがある。この問題を解消するための糸口を提供するのが、Forrester Researchが提唱する「アナリスト体験」（Analyst Experience：AX）だ。

AXとは？　SOCアナリストは何に悩んでいる？

併せて読みたいお薦め記事

セキュリティの関連記事

• 成功企業だけが知っている、次世代ファイアウォール選定の本当のポイント
• 月150TBの壁――SAPが既存SIEMを諦め、AIエージェントに賭けた理由

　AXは、SOCアナリストの業務効率と満足度を最大化するための新しいセキュリティ製品評価基準だ。2022年4月、でForresterのアリー・メレン氏とジェフ・ポラード氏が提唱した。

　専門家や実務家によると、AXやSOCアナリストを軽視すると企業では以下が発生する恐れがある。

1．人材流出の加速

　SOCアナリストの負荷が高い環境では、燃え尽きや転職が常態化する。人材不足は慢性化し、残ったメンバーにさらなる負荷が集中する悪循環に陥る。

2．対応の遅延と検知漏れの発生

　高度なスキルや経験を持つSOCアナリストがいなくなるということは、数カ月分の専門知識と身体に染み付いた経験も失うということだ。

　「離職率の高さは、対応の遅れ、緊急時の対応リスクの増大につながる」。サイバー災害復旧企業Fenix24の共同創業者兼CISO、ヒース・レンフロウ氏はこう話す。「人員不足の規模が大きくなると、悪循環に陥る。ミスが増え、それがプレッシャーを高め、さらに離職率を高める」

　イスラエルのセキュリティベンダーCYEのCISO兼サイバーリスク戦略ディレクター、トム・レビ氏によると、「人員不足に加え、ミスを犯すのではないかという不安があると、精神的に疲弊し、長期的な勤務は難しくなる」。つまり、必要な情報が不足している環境では、調査に時間がかかる。さらに誤検知の追跡に時間を奪われ、本来対応すべきインシデントを見逃すリスクが高まる。

3．組織全体の防御力が低下する

　ツールが分断している、手作業が多いといった業務環境で調査業務を標準化することは困難だ。結果として、対応品質はばらつき、継続的な改善が進まない。課題が山積した状態では、「SOCアナリストは常に受動的な対応を強いられ、ストレスや燃え尽き症候群の増加につながる」。セキュリティベンダーDarktraceのフィールドCISO兼セキュリティおよびAI戦略担当上級副社長であるニコール・カリニャン氏はこう話す。

　では、よいAXを保持する企業は何が違うのか。

「AXがよい企業」は何が違う？

　では、SOCアナリストがストレスなく効果的に働ける環境はどのような要素を備えているのか。Forresterの定義を基に、以下5つを紹介する。

1．目的が明確

　「何を調査するか」だけでなく、「なぜ調査するか」「調査の成果が組織にとってなぜ重要か」をSOCアナリストが理解できる環境がある。

2．コンテキストが十分

　フォルスポジティブやノイズの対応に忙殺されないように、必要なコンテキストを提供する高品質なアラートで業務を遂行できるようにしてある。高品質なアラートで、速やかな対応ができる環境を整えている。

3．ツールが統合されている

　複数のシステムが乱立しておらず、統合されている。セキュリティイベントの調査のためにシステムを頻繁に切り替える必要がない。

4．尊重され成長できる機会がある

　SOCアナリストが単なる「アラート処理要員」となっていない。上司や同僚から専門家として尊重され、意見が重視されていると感じられる環境がある。

5．キャリアパスが整備されている。

　「アラート処理要員の1人」にとどまらずにいられるよう、成長する機会や昇進の機会が用意されている。

　では、これからAXがよい企業になるためにCISOが取るべき対策は何か。

1．製品導入の検討や意思決定にSOCアナリストを参加させる

　「SOCアナリストを購買の意思決定プロセスに含め、判断を信頼することが大切だ」。メレン氏はこう述べる。「日々ソフトウェアを使用する中で、現場の人間なら理解できる微妙な仕様の違いや使い勝手がある。SOCアナリスト以外は気付かない場合もある。そこで、実務者を信頼し、可能な限り妥協することが肝要だ」（メレン氏）

2．アラートエンジニアリングを強化する

　誤検知の削減とルール調整を継続的に実施する。ノイズの多いルールを定期的に調整し、偽陽性を修正して意味のあるアラートがアナリストに届くように優先する。予算があれば、SOC技術をアップグレードしてシグナルを最大化し、ノイズを最小化し、反復的なワークフローを自動化する。

3．アラートをビジネスリスクとひも付ける

　アラートと資産情報や優先度をひも付け、「なぜ対応するのか」を明確にする。ビジネス優先度レベルでアラートにタグ付けし、資産コンテキストを提供し、SOC調査が具体的なリスクにどのように関連するかを示す。

4．ツールを統合する

　シグナル、コンテキスト、ワークフローを集約してツールの断片化を減らす。

5．AIと自動化を適切に活用する

　人工知能（AI）や自動化ツールを使って繰り返し作業を削減し、SOCアナリストが高度な業務に集中できるようにする。ただし実装に当たっては、AIエージェントの質を評価し、ベンダー側の検証内容を精査することが大切だ。

6．マネージドサービスの導入を検討する

　人員不足に悩む企業であれば、脅威検知や調査をベンダーにアウトソースすることで、SOCアナリストの負担を軽減する。

7．成長の機会を創出する

　SOCアナリスト向けのキャリアパスを用意する。研修の機会も充実させることで、アラート処理要員から脱却し専門性を構築できるように支援する。