本連載ではサイバー攻撃に関する調査結果を度々紹介しているが、様々なサイバー攻撃から組織を守る重要な機能のひとつがセキュリティ・オペレーション・センター(SOC)である。自組織に対してサイバー攻撃が仕掛けられた場合、それをいち早く検知し、被害を最小限にとどめるためには、SOC が効果的に運用され、いつ直面するかわからないサイバー攻撃に対して迅速に対応できる体制が必要である。
このような問題意識から、米国に本拠地を置く IT セキュリティ企業である Devo Technology は組織の SOC の運営に関わる実務者を対象としてアンケート調査を実施し、その結果を「2021 Devo SOC Performance Report」として2021年12月に公開した。
本報告書は下記URLにアクセスして、氏名やメールアドレスなどを登録すれば、無償でダウンロードできる。
https://www.devo.com/resources/2021-devo-soc-performance-report/
(PDF 43ページ/約5MB)
調査は独立した調査機関であるPonemon Instituteに委託され、SOCを持つ約3万の組織を対象として、2021年9月にWebサイトによるアンケート調査によって行われている。有効回答率は約3.4%である。
本報告書の調査結果は次の3つのセクションに分けてまとめられている。
1. 全体的な調査結果
2. 管理職層(Leaders)とスタッフとの間の回答の違い
3. パフォーマンスの高い SOC(High performers)と低い SOC(Low performers)との違い
2 については、回答をSOC に関わる管理職層(SOC leaders)とスタッフ(staff)とで分けて集計し、その違いを明らかにしている。管理職層には Senior Executive、Vice President、Director、Manager といった役職が含まれている。一方でスタッフには Supervisor、Technician、およびContractors が含まれている。ちなみに有効回答数は管理職層が535、スタッフが485となっている。
また 3 については、回答者全員に自らの SOC の有効性(effectiveness)を10段階評価させ、9または10と自己評価した回答者を「High performers」と分類して、それ以外の回答者との比較が行なわれている(注1、2)。
管理職層とスタッフとの間の回答の違いについては、両者間のギャップを示すデータが多数示されている。図1はその中の1つであり、セキュリティ分析に関するタスクのうち、何らかのサポートやツールによって効率向上や時間短縮が見込めるものを、最大6つまで選択させた結果である。青色のバーが管理職層、黄緑色のバーがスタッフからの回答結果を示している。
図1の中で次の2つに関しては、管理職層の回答の方が明らかにスタッフからの回答より多くなっている。
・インシデント対応と問題の修正(Incident response and remediation)
・ユーザーおよびエンティティの行動分析(User and entity behavioral analytics)
逆に次の3つに関しては、管理職層よりもスタッフからの回答が特に多い。
・警告の管理(Alert management)
・設定の自動化(Configure automation)
・操作に対応するための、ツール上での待ち時間(Waiting on tools to respond to operations)
読者の皆様はこの結果をどのように解釈されるであろうか。筆者が感じたのは、月並みな表現で恐縮だが、やはり管理職層からは現場の苦労が見えていないのではないかということである。スタッフからの回答が多くなっている3項目は、いずれもセキュリティに関するデータの収集や分析に必要な地味な作業や時間のロスである。これらのように作業自体に付加価値の少ないものを、できるだけ効率よくやりたいということであろう。
逆に、管理職層の回答が多い2項目は、いずれも作業量が多いものだと思われるが、これらに関しては現場の実感として、あまりツールなどによる効率向上が期待できないのかもしれない。このように管理職層とスタッフとの間で課題認識にギャップがあると、現場からの改善提案が採用されなかったり、現場のニーズに合わない施策が導入されたり、といった結果になりかねない。
ところで、本報告書はあくまでも SOC に関する調査結果だが、実はこのような管理職層と現場のスタッフとの間の課題認識のギャップは、他の様々な業務にも当てはまるのではないだろうか。本報告書には図1で示したデータの他にも、「SOC の効率を下げているものは何か?」「SOC での仕事が苦痛となる要因は何か?」「SOC のアナリストの苦痛を減らすために何をすべきか?」などといった設問に対して、管理職層とスタッフとの間にどのようなギャップがあるかが示されている。これらは SOC 以外の業務に関わる皆様にとっても参考になると思われる。
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方