砂時計を流れ落ちる砂のように、私たちのSOCでの毎日も過ぎ去っていきます…。
アラートが上がります。すぐに重大インシデントを示すものではありませんが、注視が必要になる程度の曖昧さを含んでいます。アナリストは調査を開始し、コンテキスト情報を収集し、認証アクティビティを確認し、エンドポイントデータにピボットし、クラウド環境で対応する変更がないかを確認します。わずかな異常は見られるものの、直ちに封じ込めるほどではないため、調査は続行されます。チームメイトが解釈を検証し、別のログを照会して影響範囲を確認し、チームは体系的に結論に向けて作業を進めていきます。
このプロセス自体に誤りはありません。実際、これはセキュリティチームが行動するよう訓練されている姿を正確に反映しています。それでも、調査が進む間にも時間は刻々と過ぎていきます。
個々のステップ単位で見れば慎重な対応に見えることも、インシデントのライフサイクル全体で見ると遅延につながることが少なくありません。
問題はもはや可視性ではありません
長年にわたり、セキュリティ運用には可視性が欠けていました。チームは、ますます複雑化する環境全体で何が起きているのかを把握するのに苦労し、業界はテレメトリ、検出ロジック、集中型可視化プラットフォームへの多額の投資でそれに応えてきました。
その投資は実を結びました。
今のセキュリティチームは、もはや暗中模索で業務を行っているわけではありません。ログには、認証イベント、設定変更、APIアクティビティ、そして環境のほぼあらゆるレイヤーにおけるユーザー行動が記録されています。検出ルールはシグナルをすばやく拾い上げ、アラートはほぼリアルタイムで生成されます。
「何が起こったのか」という問いには、ほとんどの場合、答えを出すことができます。
それでも、成果は可視性の向上と同じペースでは改善していません。
IBM Security によると、組織が侵害を特定して封じ込めるまでには、依然として平均 277 日かかっています。一方、Mandiant の調査では、攻撃者は最初の侵害後も数日から数週間にわたり、検知されずに活動を続けていることが引き続き示されています。このギャップが生じるのは、チームがそれらのデータを意思決定に変えるまでに時間がかかるためです。
摩擦とは、動きを遅延に変えてしまうものです
調査のどこで実際に時間が失われているのかを確認すると、それはたいてい、単一の障害や見落とされたシグナルによって一気に失われているわけではありません。むしろ、一連の小さな、もっともな判断の積み重ねの中で、全体の進捗を遅らせるのに十分な小さな「間(ま)」が加わっていきます。
対応方法について議論が行われるのは、業務への影響コストと、侵害されている可能性とを比較検討する必要があるからです。チーム間の足並みをそろえるため、実行はわずかに先送りされます。
これらの瞬間はいずれも、適切な判断が行われていることを示しています。
しかし、こうした瞬間が積み重なると、いわばセキュリティ摩擦係数と呼べるもの——シグナルから理解、そしてアクションへと仕事が進むなかで蓄積していく遅延——が生まれます。
摩擦は、複雑さ、断片化、そしてプレッシャー下で確実性を求められることから自然に生じる副産物です。しかし、セキュリティ運用においては、その累積的な遅延こそがリスクを規定する要因になります。
業界は摩擦をなくせたわけではありません。摩擦の行き場を変えただけです。
時間の経過とともに、業界は自らの能力を高めることで、こうした課題に対処しようとしてきました。検出カバレッジの向上、コンテキストの充実、分析の自動化、対応のオーケストレーションを目的としたツールが、次々と導入されました。それぞれの追加機能は、特定の課題を解決するよう設計されており、多くの場合、単体として見れば確かに問題を解決していました。
しかし、システム全体で見ると、別のパターンが現れました。
能力が向上するにつれて、ツールの断片化も進んでいったのです。
データは多くの場合 1 つのプラットフォームに保存され、コンテキストは別のプラットフォームで組み立てられます。意思決定は、複数のツールと人によるコラボレーションを組み合わせて行われ、アクションにはしばしば別のシステムやワークフローへの切り替えが必要になります。適切に設計された環境であっても、この分離によってハンドオフが発生し、そのたびに遅延が増加します。
ガートナーは一貫して統合ギャップを運用オーバーヘッドの要因として指摘しており、Splunk などは、セキュリティチームが調査中に扱わなければならないツールの数が増えていることを強調しています。
このようにツールが乱立すると、調査の継続性が失われてしまいます。
では、AI は解決策となるのでしょうか。
ここで、現在セキュリティ運用における議論の多くを左右している問いに行き着きます。
摩擦が問題であるなら、AI は解決策になり得るのでしょうか。
ワークフローを考慮せずに適用すると、AI は摩擦を減らすどころか増やしてしまう可能性があります。要約、相関付け、推奨事項といった形で出力レイヤーを追加しても、それだけで意思決定が加速するわけではありません。多くの場合、追加の解釈ステップが必要となり、確信を持てる結論に達するまでの時間が長くなり、そこで再び立ち止まらざるを得ないポイントが生まれてしまいます。
アナリストがシステム間を行き来することなく、関連するコンテキストを組み立てられるのであれば、摩擦は軽減されます。それがチームによる明確で正当性のある結論への到達を早めるのであれば、摩擦は軽減されます。調査の流れを途切れさせることなく、意思決定から行動への移行を支援できるのであれば、摩擦は軽減されます。
AI を適用するだけでは何も解決しません。それが摩擦の低減にどれだけ貢献できるかにおいてのみ、AI には価値があります。
摩擦が減少すると何が変わるのか
データ、意思決定、アクションの各レイヤーで摩擦が体系的に軽減されると、チームはより速く動き、より明確に、より少ない躊躇で、より早く意思決定に到達できるようになります。
調査におけるシステム間のピボットが少なくて済むようになります。エスカレーションのサイクルは、より短く、より目的に沿ったものになります。シグナルを特定してから、それに基づき行動するまでの距離が縮まり始めます。
ここで、「迅速に意思決定する」という考え方が現実のものとなります。
セキュリティチームは、無謀に動いたり、スピードだけを重視したりしているわけではありません。必要なのは、インシデントのライフサイクルの早い段階、つまり影響を封じ込める機会がまだ手の届く範囲にあるうちに、自信を持って判断を下せる能力です。
実際には、単にイベントが発生したという事実だけでリスクが高まるわけではありません。
それにどう対応するかを決定するまでの時間の中で、リスクは高まっていきます。
最後の視点
インテリジェンスや可視性の不足が、セキュリティ運用そのものを制約しているわけではありません。
遅延を生み出しているのは摩擦であり、それはあらゆる調査、あらゆるエスカレーション、あらゆる対応の中に存在しています。
AI は、その摩擦への対処に貢献し得ますが、それは精度と意図を持って適用された場合に限られます。
なぜなら最終的に、決定的な優位性は、最も多くを見ている組織にあるのではないからです。それは、その遅延が重大な結果となる前に、決断し行動に移せる組織にこそあります。
Sumo Logic がどのようにこの課題の解決を支援するかをご確認ください。デモをリクエストする。