Splunkのセキュリティ年次調査でみえた“未来のSOC”の方向性
「検知エンジニアリング」とは何か? これからのSOCで求められる注目スキル
2025年06月09日 09時00分更新
検知ロジックをコードとして扱う「Detection as Code」
4つ目のポイントは、「脅威検知は新しい時代へ」だ。
検知エンジニアリングへのフォーカスが示すように、迅速かつ正確に問題を検出するための設計や開発、調整、仕組みを考えていく必要がある。そこで注目されているのが「Detection as Code(DaC、コードによる検出)」という新しい手法だ。
検知エンジニアリングに必要なロジックを作成し、SOC内で適用して脅威を検出していくが、検知の品質が下がる(=誤検知率が高くなる)ことがある。これは、データの品質が低いことなどが主な要因だ。「Splunkを含めセキュリティベンダーの検知ロジックの精度が低いわけではなく、組織に適合した内容に合わせていく必要がある。そうしなければ、攻撃側は、検知ロジックを簡単に改変して回避できてしまう」と矢崎氏。
そこで、検知ロジックを一度作成して終わりではなく、計画的に内容を確認し、過去のバージョンと比較しながら変更部分を確認するようなアプローチ、つまり「検知ロジックをコードとして理解しながら進めていく」必要があると、矢崎氏は説明する。
Detection as Codeの実施状況と今後の採用意向
5つ目のポイントは、「SOCの統合と接続が必要」だ
ここまでSOCの課題や将来に向けた動向を説明した後、矢崎氏は、「SOCの統合と連携が重要」と指摘する。統合アプローチをとることで、必要な情報がすべて適切な場所にある状態を生み、SOCの作業が効率化されるからだ。これは、インシデント対応の迅速化、保守時間の短縮、新たな脅威の発見能力向上にもつながる。
なお、調査では78%が「セキュリティツールが分散しており、連携していない」と回答している。
今だ約8割がセキュリティツールがサイロ化している
未来志向のSOC構築に向けたステップ
最後に矢崎氏は、未来志向のSOC構築に向けたステップとして、次の6つを実行することを推奨した。
1. ツールセットの整理
2. スキルセットのアップデート
3. アラート対応の負担軽減
4. ドメイン特化型の生成AIの導入
5. コラボレーションの基盤を築く
6. DaCをチーム全体で取り入れる
未来志向のSOCを構築するステップ
本調査の説明会では、アクセンチュアのテクノロジーコンサルティング本部 セキュリティグループ アソシエイト・デイレクターの滝口博昭氏も登壇。日本のSOCのあるべき姿として、「(ベンダーのいうことを鵜呑みにするのではなく)ベンダーと対等なコミュニケーションをとる」、「自社のセキュリティ戦略を伝えてレベルを上げていく」、「ベンダーを含めたワンチームで動く」といったアドバイスを送った。
アクセンチュア テクノロジーコンサルティング本部 セキュリティグループ アソシエイト・デイレクター 滝口博昭氏
