Sumo Logicによる2025年のセキュリティ運用インサイトレポートは、単なる現場調査ではなく、SOC全体を代弁するものです。このレポートは、積み重なったキューや古いアラートから、実行されない自動化、そしてスクロールするだけで情報の提供を行わないダッシュボードまでを検証し、すべてのアナリストやCISOが長年感じてきた「システムにリセットが必要である」という思いを数字で裏付けています。
しかし、これは失敗談ではありません。1つの警鐘であり、青写真なのです。以下は、データから得られた最も明らかな教訓と、先進的なセキュリティチームがいかにしてこれらの調査結果を行動に移しているかを示すものです。
SIEMインフラストラクチャが必要とする近代化
調査結果:セキュリティリーダーの75%が新しいSIEMソリューションを積極的に評価しており、組織のほとんどが現在のシステムを3年以上にわたり使用しています。
これが意味すること:現代のセキュリティ環境では、クラウドサービスやAPI、SaaSアプリケーション、そしてコンテナオーケストレーションプラットフォームから、かつてない量のテレメトリデータが生成されています。従来のセキュリティ情報イベント管理(SIEM)システムでは、効果的な脅威検出に必要となる速度および規模でこれらのデータを処理することが困難となっています。このことは、クラウドファーストの金融プラットフォームであるMambuが、従来のSIEMによりテレメトリデータ内の重大な盲点を検出することができなかったということによく表れています。
対策:組織は、リアルタイムのデータ取り込み・分析により、事後対応型ではなく事前対応型のセキュリティ体制を実現する、クラウドネイティブ環境向けのSIEMプラットフォームを優先する必要があります。
効果的な運用に不可欠となるコンテキストインテリジェンス
調査結果:回答者の85%が、脅威インテリジェンスの統合を次世代のセキュリティプラットフォームにおける重要な要件とみなしており、行動分析と、「ユーザーとエンティティの行動分析」(UEBA)の両方を同等に重視しています。。
現代の(インテリジェントな?)SOCが直面している課題は、データの不足ではなく、むしろ異種データソース間のコンテキスト相関の欠如です。 脅威を効果的に検知するには、シグネチャベースの検知手法だけに頼るのではなく、ユーザーの行動パターン、リスクプロファイル、過去のコンテキストを理解する必要があります。
対策:統合行動分析と自動リスクスコアリングを提供するセキュリティプラットフォームを実装し、生のアラートを適切な優先度分類が適用された実用的なインテリジェンスに変換しましょう。
人工知能による業務効率対処の必要性
調査結果:回答者の90%は、主にアラート量(1日平均10,000件)関連の課題対処の観点から、セキュリティプラットフォームにおける高度なAI機能をきわめて、または非常に重要であると考えています。
これが意味すること:セキュリティ運用におけるAIの実装は、インテリジェントなアラート相関や行動モデリング、インシデントの要約などを通じて、アナリストのワークロードを軽減することに重点を置く必要があります。必要となるAI機能には、重複アラートの統合や、適応型ベースラインの確立、コンテキストに基づくインシデントナラティブなどが含まれます。
対策:人間の専門知識を置き換えるのではなく、インテリジェントな自動化によりアナリストの生産性を向上させるAI対応のセキュリティプラットフォームを評価しましょう。アナリストの自信と能力を高めるために、AI駆動型の意思決定を明確に説明するソリューションに焦点を置きましょう。
測定可能な成果をもたらす自動化の必要性
調査結果:組織全体のうち、84%が組み込みの自動化機能を望む一方、わずか28%が現在の自動化実装に満足していると回答しました。
これが意味すること:多くの自動化イニシアチブは、実用的な対応機能よりもアラートルーティングに重点を置いています。効果的なセキュリティの自動化では、アカウントの無効化やケースの文書化、利害関係者への通知などの対応アクションを、手動の介入なしに実行する必要があります。
統合されたワークフロー内に検知機能と対応機能を統合する自動化フレームワークを導入します。自動化の信頼性と組織の信頼性を確保するために、堅牢なテストとバージョン管理プロセスを確立します。
SIEMプラットフォームによる投資利益率向上の必要性
調査結果:セキュリティリーダー全体のうち、わずか50%がSIEM投資での投資利益率に満足していると報告した一方、95%はベンダーロックインへの懸念を表明しています。
これが意味すること:投資利益率が低くなる要因としては、断片化されたツールセットが複数のインターフェースと手動のデータ転送プロセスを必要とすることによる、運用上の非効率性が挙げられます。このような非効率性は、アナリストの疲弊や脅威検出の有効性低下につながります。
対策:シームレスな統合を実現し、運用の複雑さを軽減するために、オープンAPIやポータブルな検出ルール、柔軟なデータモデルなどを提供するセキュリティプラットフォームを優先しましょう。
まとめ
このレポートは、戦略的な技術投資と運用の改善を通じたセキュリティ運用の近代化が必要かつ達成可能であることを示しています。現代におけるセキュリティ運用を成功させるには、可視性やコンテキストインテリジェンス、人工知能、自動化、そして合理化されたワークフローをまとまりのあるシステムに統合し、アナリストに負担をかけることなくその能力を向上させるSIEMプラットフォームが必要となります。
