パロアルトネットワークス、国内企業の監視・運用従事者への実態調査結果を公表
セキュリティ運用の実態調査、“アウトカム重視”企業ほど“AI・自動化中心”で運用
2024年03月25日 09時00分更新
パロアルトネットワークスは、2024年3月21日、「日本企業のセキュリティ運用とAI・自動化活用」の実態調査に関する記者説明会を開催。この調査結果を受けて、同社は“アウトカム(成果)”を重視するセキュリティ対策を軸とした、“AI・自動化”中心のセキュリティ運用への転換を提言している。
冒頭、パロアルトネットワークスのチーフサイバーセキュリティストラテジストである染谷征良氏は、「サイバーリスクのビジネスインパクトが高まる中で、いかに防御するかは大前提で、いかに迅速に検知、対応するかが重要になってきている」と説明。
同社はインシデント検知・対応の効果測定に用いられる「インシデント検出時間(MTTD)」と「インシデント対応時間(MTTR)」に注目し、今回の調査における論点のひとつとしている。
パロアルトネットワークス チーフサイバーセキュリティストラテジスト 染谷征良氏
インシデント検出・対応時間を評価指標とする企業は4分の1のみ
本調査は、従業員1000人以上かつ年間売上高500億円以上の国内民間企業で、サイバーセキュリティの管轄・運用・監視業務に関わる管理職・現場担当者392名を対象に、2023年11月に実施された。
まずセキュリティ運用体制の現状については、「社内組織と外部委託を組み合わせている」企業が61%を占め、“業者への丸投げ”となる「外部委託のみ」の企業は22%、内製化を進める「社内組織のみ」の企業は15%となった。「8割を超える企業が、セキュリティベンダーやSler、MSPといった外部の専門リソースを頼っている」と染谷氏。
運用の課題については、上位から「ログやアラートの量の多さ」(39%)、「インシデント検知に要する時間」(36%)、「アラートの優先度づけ」(35%)、「インシデント対応に要する時間」(32%)、「アラート対応による人材疲弊」(29%)と続いた。染谷氏は「大量のアラートに起因して重要度の判断が難しくなり、その結果、検出と対応が長期化して、インシデントにつながるリスクが増大している」と指摘する。
セキュリティ監視・運用体制の現状と課題
セキュリティ組織をどのような指標で評価しているかという質問には、「インシデント発生件数」(52%)や「ケース処理率」(44%)、「インシデント発生率」(44%)が上位に。実際のセキュリティ対策のアウトカムともいえる「インシデント検出時間(MTTD)」は37%、「インシデント対応時間(MTTR)」は34%と、設定項目の中で最も少なく、双方を評価指標とする企業は24%にとどまる。
セキュリティ組織の機能をどう評価しているか
進むセキュリティ運用でのAI・自動化活用、生成AIでの効率化は“3、4割程度”
現在、セキュリティ運用を変革するアプローチとして期待されるのがAIや自動化の活用だ。
調査では、セキュリティ業務で「(すでに)AIを活用している」企業は23%にとどまったものの、未活用企業の中で「活用予定・検討中」とする回答は82%にのぼった。
AI活用の目的に関しては、「内部不正の兆候検出」(65%)、「サイバー攻撃の兆候検出」(64%)、「未知の脅威検出」(60%)と、脅威そのものの検出に用いるユースケースが多い。「インシデントの通知メールや報告書を生成する」といった、生成AIを活用した業務効率化のユースケースは“3、4割程度”だという。
染谷氏が「興味深い」と指摘したのは、AIがセキュリティ人材の業務を奪うと懸念しているのが17%と少なかった点だ。「セキュリティ業界は特に人材不足が深刻で、解決策としてAIに目を向けている人が多いのでは」との見解だ。
セキュリティ監視・運用業務におけるAI活用の現状
一方、「自動化を活用している」企業は53%となり、未活用企業でも「今後活用予定・検討中」は74%に及んだ。「4年前の調査では自動化の採用率が9%だった。大幅に進展した」と染谷氏。
自動化活用の目的のトップ3は、「手作業によるミスの排除」(59%)、「対応のばらつきの排除」(46%)、「反復的作業の排除」(46%)と、いずれも人材不足を解決するユースケースとなった。
セキュリティ監視・運用業務における自動化活用の現状
人から“AI・自動化”を中心とした監視・運用体制に
最後に、「インシデント検出時間(MTTD)およびインシデント対応時間(MTTR)を評価指標していること」と「AI・自動化を活用していること」の関係を分析した結果が示された。
それによると、MTTD/MTTRを指標とする企業のAI活用率は50%で、未指標の企業(16%)と大差がついた。さらに、自動化活用は74%に及び、未指標の企業(46%)と比べて活用の度合いが高い。「指標としてアウトカムにフォーカスする企業は、従来の監視・運用では目的達成が難しいからこそ、AIや自動化を積極的に採用している」と染谷氏は分析する。
セキュリティ組織の評価指標を軸に分類した場合の、AI・自動化活用度合い
活用方法の違いもみてみると、MTTD/MTTRを指標とする企業の50%が、手作業ではなくAIを中心としてセキュリティデータの相関分析を実施している(未指標企業は16%)。自動化に関しては、手作業によるミスや対応のばらつきの排除における活用率が高いだけではなく、「既存セキュリティの運用効率化」といったユースケースにも66%が取り組んでいるという。
「アウトカムを重視する企業は、標準化や作業の短縮はもちろん、いかにセキュリティ投資効果を最大化するか、いかにセキュリティの人材戦略を変えるかという観点でも、テクノロジーを積極的に活用している」と染谷氏。
MTTD/MTTRを評価指標とする企業の50%がAIでセキュリティデータを相関分析(47%は手作業)
MTTD/MTTRを評価指標とする企業は、自動化比率も全体的に高い
最後に染谷氏は、セキュリティの変革を“価値のある形”で実現するためには、インシデントの検出や対応といったアウトカムを重要視すべきであり、その上で、人から“AI・自動化”を中心とした監視・運用に転換していくべきと提言。そして、「単にテクノロジーを活用するだけではなく、セキュリティ戦略から運用、データ活用、インシデント対応の連携まで、全体最適化されたセキュリティのアプローチをとることを推奨する」と付け加えた。
