Splunkのセキュリティ年次調査でみえた“未来のSOC”の方向性

「検知エンジニアリング」とは何か？これからのSOCで求められる注目スキル

2025年06月09日 09時00分更新

文● 末岡洋子　編集● 福澤／TECH.ASCII.jp

　Splunk Services Japanは、2025年6月4日、グローバル年次調査「セキュリティの現状」の最新版（2025年版）を発表した。

　同調査では、依然として「SOC（セキュリティオペレーションセンター）」に大きな業務負荷がかかっていることが明らかになった一方で、未来のSOCに必要なスキルやアプローチとして「検知エンジニアリング」「Detection as Code（コードによる検出）」という新たなキーワードも登場している。

　同調査は、日本を含むグローバル約2000人のセキュリティリーダー（SOC・CSIRTアナリストなども含む）を対象に実施。Splunkのセキュリティストラテジストである矢崎誠二氏は、調査結果のポイントを次の5つにまとめた。

1. SOC効率化は遠い道のり
2. AIがSOCを未来に導く
3. 未来のSOCを支えるスキル
4. 脅威検知は新しい時代へ
5. SOCの統合と接続が必要

Splunk セキュリティストラテジスト矢崎誠二氏

未来のSOCに「検知エンジニアリング」が必要な理由

　まずは、ひとつ目のポイント「SOC効率化は遠い道のり」から紹介する。

　矢崎氏はSOCとCSIRTの関係を、イスラエルの防空システム「アイアンドーム」に例える。SOCが「ミサイルを検知する」仕組みで、CSIRTは「検知された情報をコントロールシステムに渡して、距離を測定して迎撃する」仕組みだという。二者は連携して、情報を一致させながら、攻撃に対応する必要がある。しかし、検知を担うSOCは「保護よりツールのメンテナンスに多くの時間を費やしている」（46％）、「ツールが十分に統合されていない」（51％）など、非効率に喘いでいることが分かっている。

SOCの非効率性を生む主な要因

　2つ目のポイントは「AIがSOCを未来に導く」だ。

　SOCのミッションクリティカルな業務にAIを活用するかについて、AIは「完全に・ある程度信頼しえる」という回答が72％となり、「全く・あまり信頼していない」（31％）を大きく上回った。「誤検知などの問題は引き続きあるものの、”AIは万能薬ではないが良薬であることは間違いない”というのが大筋」と矢崎氏。

SOCのミッションクリティカルな業務におけるAIへの信頼度

　3つ目は「未来のSOCを支えるスキル」だ。

　スキル不足も人材不足も、そう新しい課題ではない。では、「どういったスキルが将来にわたっても重要になる」と専門家たちは考えているのか。調査では、「現在不足しているスキル」と「未来のSOCに必要と思うスキル」を合わせると「DevSecOps」がトップに。しかし、「未来のSOCに必要と思うスキル」だけに絞ると、DevSecOpsとともに「検知エンジニアリング」がトップとなった。

現在不足しているスキルと未来のSOCに必要と思うスキル

　検知エンジニアリングは英語で「Detection Engineering」。聞きなれない言葉だが、「正確に問題を検出する作業」を指す。矢崎氏は次のように背景を説明する。

　「我々を含めてSIEMやEDRのセキュリティベンダーは多数あるが、ベンダーが安定して全部検出できるのか（というとそうではない）。また、（企業の）規模に関係なく、製品を入れれば問題が解決するというものでもない。そこでSOCの大きな役割として、『正確に問題を検出すること』にフォーカスが当たっている」

　また、「ビルの前に立つガードマンがすべての脅威を止めてくれるのであれば良いが、そううまくはいかない」と矢崎氏。そこでSOCは、検知エンジニアリングの能力を持つ必要があるということのようだ。

　なお、検知エンジニアリングには、「脅威ハンティング」が大きく関係しているという。3年前にホットなキーワードだった脅威ハンティングは、問題が検出できないから「自分たちで検出していく」という手法だ。これは現在も活発だが、脅威ハンティングでのエンジニアリングプロセスをナレッジ化し、共有していくという動きが、検知エンジニアリングにつながっているという。そのため、「検知エンジニアリングと脅威ハンティングの連携が重要」と矢崎氏。

　矢崎氏自身は、「脅威ハンティング」「インシデントの分析調査」が求められるスキルの上位に来ると思っていたという。