第166回：セキュリティ・オペレーション・センターのパフォーマンスを左右する要因を探る

Devo Technology / 2021 Devo SOC Performance Report

合同会社 Office SRC／代表田代邦幸

PRO（有料）会員限定

田代邦幸

自動車メーカー、半導体製造装置メーカー勤務を経て、2005年より複数のコンサルティングファームにて、事業継続マネジメント（BCM）や災害対策などに関するコンサルティングに従事した後、独立して2020年に合同会社Office SRCを設立。引き続き同分野のコンサルティングに従事する傍ら、The Business Continuity Institute（BCI）日本支部事務局としての活動などを通して、BCMの普及啓発にも積極的に取り組んでいる。一般社団法人レジリエンス協会組織レジリエンス研究会座長。BCI Approved Instructor。JQA 認定 ISO/IEC27001 審査員。著書『困難な時代でも企業を存続させる!! 「事業継続マネジメント」実践ガイド』（セルバ出版）

田代邦幸の記事をもっとみる >

X閉じる

この機能はリスク対策.PRO限定です。

クリップ記事やフォロー連載は、マイページでチェック！
あなただけのマイページが作れます。

（出典：Shutterstock）

本連載ではサイバー攻撃に関する調査結果を度々紹介しているが、様々なサイバー攻撃から組織を守る重要な機能のひとつがセキュリティ・オペレーション・センター（SOC）である。自組織に対してサイバー攻撃が仕掛けられた場合、それをいち早く検知し、被害を最小限にとどめるためには、SOC が効果的に運用され、いつ直面するかわからないサイバー攻撃に対して迅速に対応できる体制が必要である。

このような問題意識から、米国に本拠地を置く IT セキュリティ企業である Devo Technology は組織の SOC の運営に関わる実務者を対象としてアンケート調査を実施し、その結果を「2021 Devo SOC Performance Report」として2021年12月に公開した。

本報告書は下記URLにアクセスして、氏名やメールアドレスなどを登録すれば、無償でダウンロードできる。
https://www.devo.com/resources/2021-devo-soc-performance-report/
（PDF 43ページ／約5MB）

調査は独立した調査機関であるPonemon Instituteに委託され、SOCを持つ約3万の組織を対象として、2021年9月にWebサイトによるアンケート調査によって行われている。有効回答率は約3.4%である。

本報告書の調査結果は次の3つのセクションに分けてまとめられている。

1. 全体的な調査結果
2. 管理職層（Leaders）とスタッフとの間の回答の違い
3. パフォーマンスの高い SOC（High performers）と低い SOC（Low performers）との違い

2 については、回答をSOC に関わる管理職層（SOC leaders）とスタッフ（staff）とで分けて集計し、その違いを明らかにしている。管理職層には Senior Executive、Vice President、Director、Manager といった役職が含まれている。一方でスタッフには Supervisor、Technician、およびContractors が含まれている。ちなみに有効回答数は管理職層が535、スタッフが485となっている。

また 3 については、回答者全員に自らの SOC の有効性（effectiveness）を10段階評価させ、9または10と自己評価した回答者を「High performers」と分類して、それ以外の回答者との比較が行なわれている（注1、2）。

管理職層とスタッフとの間の回答の違いについては、両者間のギャップを示すデータが多数示されている。図1はその中の1つであり、セキュリティ分析に関するタスクのうち、何らかのサポートやツールによって効率向上や時間短縮が見込めるものを、最大6つまで選択させた結果である。青色のバーが管理職層、黄緑色のバーがスタッフからの回答結果を示している。

画像を拡大図1. 何らかのサポートやツールによって効率向上や時間短縮が見込めるタスク（管理職層 VS スタッフ）（出典：Devo Technology / 2021 Devo SOC Performance Report）

図1の中で次の2つに関しては、管理職層の回答の方が明らかにスタッフからの回答より多くなっている。

・インシデント対応と問題の修正（Incident response and remediation）
・ユーザーおよびエンティティの行動分析（User and entity behavioral analytics）

逆に次の3つに関しては、管理職層よりもスタッフからの回答が特に多い。

・警告の管理（Alert management）
・設定の自動化（Configure automation）
・操作に対応するための、ツール上での待ち時間（Waiting on tools to respond to operations）

読者の皆様はこの結果をどのように解釈されるであろうか。筆者が感じたのは、月並みな表現で恐縮だが、やはり管理職層からは現場の苦労が見えていないのではないかということである。スタッフからの回答が多くなっている3項目は、いずれもセキュリティに関するデータの収集や分析に必要な地味な作業や時間のロスである。これらのように作業自体に付加価値の少ないものを、できるだけ効率よくやりたいということであろう。

逆に、管理職層の回答が多い2項目は、いずれも作業量が多いものだと思われるが、これらに関しては現場の実感として、あまりツールなどによる効率向上が期待できないのかもしれない。このように管理職層とスタッフとの間で課題認識にギャップがあると、現場からの改善提案が採用されなかったり、現場のニーズに合わない施策が導入されたり、といった結果になりかねない。

ところで、本報告書はあくまでも SOC に関する調査結果だが、実はこのような管理職層と現場のスタッフとの間の課題認識のギャップは、他の様々な業務にも当てはまるのではないだろうか。本報告書には図1で示したデータの他にも、「SOC の効率を下げているものは何か？」「SOC での仕事が苦痛となる要因は何か？」「SOC のアナリストの苦痛を減らすために何をすべきか？」などといった設問に対して、管理職層とスタッフとの間にどのようなギャップがあるかが示されている。これらは SOC 以外の業務に関わる皆様にとっても参考になると思われる。

つづきを読む高パフォーマンスSOCと低パフォーマンスSOCの違い