Splunkのセキュリティ年次調査でみえた“未来のSOC”の方向性
「検知エンジニアリング」とは何か? これからのSOCで求められる注目スキル
2025年06月09日 09時00分更新
検知ロジックをコードとして扱う「Detection as Code」
4つ目のポイントは、「脅威検知は新しい時代へ」だ。
検知エンジニアリングへのフォーカスが示すように、迅速かつ正確に問題を検出するための設計や開発、調整、仕組みを考えていく必要がある。そこで注目されているのが「Detection as Code(DaC、コードによる検出)」という新しい手法だ。
検知エンジニアリングに必要なロジックを作成し、SOC内で適用して脅威を検出していくが、検知の品質が下がる(=誤検知率が高くなる)ことがある。これは、データの品質が低いことなどが主な要因だ。「Splunkを含めセキュリティベンダーの検知ロジックの精度が低いわけではなく、組織に適合した内容に合わせていく必要がある。そうしなければ、攻撃側は、検知ロジックを簡単に改変して回避できてしまう」と矢崎氏。
そこで、検知ロジックを一度作成して終わりではなく、計画的に内容を確認し、過去のバージョンと比較しながら変更部分を確認するようなアプローチ、つまり「検知ロジックをコードとして理解しながら進めていく」必要があると、矢崎氏は説明する。
Detection as Codeの実施状況と今後の採用意向
5つ目のポイントは、「SOCの統合と接続が必要」だ
ここまでSOCの課題や将来に向けた動向を説明した後、矢崎氏は、「SOCの統合と連携が重要」と指摘する。統合アプローチをとることで、必要な情報がすべて適切な場所にある状態を生み、SOCの作業が効率化されるからだ。これは、インシデント対応の迅速化、保守時間の短縮、新たな脅威の発見能力向上にもつながる。
なお、調査では78%が「セキュリティツールが分散しており、連携していない」と回答している。
今だ約8割がセキュリティツールがサイロ化している
未来志向のSOC構築に向けたステップ
最後に矢崎氏は、未来志向のSOC構築に向けたステップとして、次の6つを実行することを推奨した。
1. ツールセットの整理
2. スキルセットのアップデート
3. アラート対応の負担軽減
4. ドメイン特化型の生成AIの導入
5. コラボレーションの基盤を築く
6. DaCをチーム全体で取り入れる
未来志向のSOCを構築するステップ
本調査の説明会では、アクセンチュアのテクノロジーコンサルティング本部 セキュリティグループ アソシエイト・デイレクターの滝口博昭氏も登壇。日本のSOCのあるべき姿として、「(ベンダーのいうことを鵜呑みにするのではなく)ベンダーと対等なコミュニケーションをとる」、「自社のセキュリティ戦略を伝えてレベルを上げていく」、「ベンダーを含めたワンチームで動く」といったアドバイスを送った。
アクセンチュア テクノロジーコンサルティング本部 セキュリティグループ アソシエイト・デイレクター 滝口博昭氏
本記事はアフィリエイトプログラムによる収益を得ている場合があります
