SOCメトリクス：SOCの成果を測定するためのセキュリティメトリクスとKPI

SOC (セキュリティオペレーションセンター)は、あらゆる組織の全体的なセキュリティ態勢を管理する中心的な部門です。セキュリティチームが運用の効果を測定できるようにするには、SOCのパフォーマンスを把握することが非常に重要になります。

この記事では、SOCメトリクスの重要性、一般的なSOCメトリクス、SOCチームがメトリクスを改善するために実行できる手順などを説明します。

SOCメトリクスとKPI

SOC (ソックと発音)は、組織の安全に関わる非常に重要な部門であり、次のような役割を担っています。

• システム、ネットワーク、データを監視して、あらゆる脅威を検出する。
• セキュリティインシデントに対応する。

SOCの主な目標は、効果的なセキュリティコントロールとポリシーの実装を通じて、組織の全体的なサイバーセキュリティ態勢を維持することにあります。

SOCのメトリクスとKPIは、SOCがセキュリティ運用のパフォーマンス、有効性、効率性を測定するのに役立つ重要な指標です。メトリクスの中には、多くの組織でよく使用されているものもあり、組織は次のような要素に基づいてメトリクスを選択できます。

• 組織の目標
• 業種
• 組織のセキュリティプログラムの成熟度
  

(Splunkの包括的な可視化とセキュリティ監視によるSOCの強化については、こちらをご覧ください。)

セキュリティメトリクスの重要性

SOCメトリクスは、SOCチームと組織全体にとって、多くの面で重要な役割を果たします。また、SOCメトリクスは、改良すべき点に関するインサイトを提供するだけでなく、組織のセキュリティ態勢を競合他社と比較して評価できる貴重な指標としても機能します。(このセクションで出てくる用語については、記事の後半で説明いたしますのでご安心ください。)

• インシデント管理の有効性の測定：SOCメトリクスを使用すると、SOCチームによるインシデント対応や修復の取り組みの有効性を評価できます。たとえば、平均解決時間(MTTR)などのメトリクスを利用すれば、組織がどれだけ迅速にセキュリティインシデントを特定し、完全な解決策を提供できるかを評価できます。このような評価は、インシデントが顧客に及ぼす影響を軽減することにつながります。
• 改善の優先順位の設定：メトリクスを使用することで、組織は改善すべき点を特定できます。たとえば、解決されたインシデントの数、MTTR、平均検出時間(MTTD)などのメトリクスを利用して、セキュリティ運用のパフォーマンスと有効性を測定できます。
• 競合他社との比較：SOCメトリクスを使用することで、自社のセキュリティプラクティスを競合他社と比較できます。これは、対策が遅れている点を特定し、改善するのに役立ちます。
• コンプライアンスの確保：多くの組織は、サイバーセキュリティ関連のさまざまな規制に準拠しなければなりません。また、セキュリティコントロールが規制に準拠していることを証明するよう求められることもあります。SOCメトリクスは、レポートを作成し、監査担当者、規制当局、ビジネス関係者に対してセキュリティコントロールの有効性を示すのに役立ちます。
• チームと人材の最適化：SOCメトリクスは、SOCチームの人員配置のニーズを最適化するのに役立ちます。たとえば、1人のユーザーが処理できるインシデント件数や、発生するインシデント件数を分析することで、組織はニーズを把握し、それに応じて人員を配置できるようになります。
• セキュリティトレーニングの強化：メトリクスは、SOCチームメンバー向けのトレーニングプログラムや育成プログラムの有効性を評価するのにも役立ちます。チームメンバーは、インシデントの解決に関するメトリクスを観察し、脅威分析の精度を測定することで、追加のトレーニングが必要な分野を特定できます。

一般的なSOCメトリクス

現在、インシデント対応に関連するメトリクスには、世界中の多くのSOCチームでよく使用されているものがいくつか存在します。このセクションでは、一般的なメトリクスの概要、重要性、および改善方法について見ていきます。

平均検出時間(MTTD)

MTTDは、SOCチームが1件のインシデントまたはセキュリティ違反を検出するまでにかかる平均時間を指します。MTTDが短いほど、チームのパフォーマンスが優れていると言えます。MTTDは、インシデントを迅速に検出して対応を開始し、顧客への影響を最小限に抑える能力を評価する指標として使われます。

また、MTTDは監視ツールの有効性と検出機能の効率性を評価するのに役立ちます。

平均調査時間(MTTI)

MTTIは、障害が検出されてからITチームが調査を始めるまでの平均時間を指します。具体的には、MTTDの終了時点からMTTRの初期対応フェーズが終了するまでの時間にあたります。

平均解決時間(MTTR)

MTTRは、SOCチームが1件のインシデントを検出してから完全に解決するまでにかかる平均時間を指します。MTTRが短いほど、インシデント対応が迅速で効果的であることを示します。通常、MTTRには次の作業にかかる時間が含まれます。

• 根本原因の調査
• 修正の適用
• リカバリプロセスの実行

この指標により、組織は重点的に取り組むべき領域を特定し、インシデント対応戦略を改善できます。

平均サービス回復時間(MTRS)

MTRSは、障害が検出されてからサービスが完全に回復するまでの平均時間を算出した指標です。これにより、修復後にユーザーがサービスを再び利用できるようになるまでの時間がわかります。MTTRが修復に要した時間であるのに対し、MTRSはサービスを再び稼働させるまでのプロセス全体にかかった時間であるという点で、MTTRと異なっています。

平均故障間隔(MTBF)

MTBFは、障害が発生する頻度を測定します。この指標は、ある障害が解決してから次の障害が発生するまでの平均時間を表すため、新たな障害が発生するまでの間隔を予測するのに役立ちます。このメトリクスは汎用性が高く、個々のコンポーネントにもシステム全体にも適用できるため、システム全体の信頼性とパフォーマンスに関するインサイトを得られます。MTBFはMTTRとともに、システムの稼働時間を判断する上で重要な役割を果たします。MTTRは、故障後にシステムをどれだけ早く復旧できるかを評価する指標ですが、MTTRを短く、MTBFを長くして理想的なシナリオを実現すれば、ダウンタイムを最小限に抑えて効率的に復旧できる能力を強調できます。

平均システムインシデント間隔(MTBSI)

MTBSIはMTBFとMTRSを足したもので、あるインシデントが検出されてから次のインシデントが発生するまでの平均時間を示します。これにより、長期にわたるシステムの安定性と運用の継続性を包括的に把握できます。

平均対応/分析時間(MTTA&A)

MTTAは、SOCチームがインシデントに対応して分析するのにかかった平均時間を測定した指標です。インシデントが検出された時点から、チームがその優先度、影響、および実行可能な解決策を認識し、適切に分析した時点までを測定します。

したがって、このメトリクスは、インシデント対応プロセスの効率性と有効性を評価するのに役立ちます。

MTTA&Aでは、インシデントが検出または報告された時点が起点となり、インシデント対応チームがインシデントを認識、評価、分析し、その範囲、影響、実行可能な修復作業を決定した時点が終点となります。このメトリクスは、インシデント対応プロセスの効率性と有効性を反映するという点で、非常に重要なものと言えます。

セキュリティインシデントの件数

このメトリクスは、特定の期間内に検出および報告されたセキュリティインシデントの件数を測定します。そのため、組織がセキュリティインシデントのパターンや傾向に関するインサイトを得るのに役立ちます。

たとえば、いくつかのインシデントが増加傾向にある場合は、既存のセキュリティコントロールを改善する必要があることを示している可能性があります。さらに、セキュリティインシデントの件数を追跡することで、頻度が高く注意が必要なインシデントのタイプを簡単に特定して、優先的に対応できます。

(インシデント管理について詳しくは、こちらをご覧ください。)

誤検知率(FPR)と見逃し率(FNR)

誤検知率(または偽陽性率)は、実際には脅威ではないにもかかわらず、サイバーセキュリティインシデントと誤って分類されたインシデントの割合を測定した指標です。誤検知率が高い場合、システムが誤ってアラートを生成する可能性が高くなります。

見逃し率(または偽陰性率)は、実際のサイバー脅威であるにもかかわらず、サイバー脅威ではないと誤って分類されたインシデントの割合です。見逃し率が高い場合、システムが実際のセキュリティ脅威を見逃す可能性が高くなります。

インシデントのコスト

このメトリクスを使用すると、組織はインシデントの直接的および間接的なコストを測定できます。

• 直接的なコスト：検出と対応に必要な時間やリソース、および弁護士費用などの経費が含まれます。
• 間接的なコスト：顧客離れによる収益の低下、規制による罰金、ブランドイメージの低下などが含まれます。さらに、ソフトウェアアップデートや将来のインシデント対策に関連する費用など、その他の経費が発生する場合もあります。

セキュリティとSOCメトリクスの改善

では、いくつかのSOCメトリクスを追跡したところ、その結果が望ましくないものだったとしましょう。メトリクスの改善に取り掛かるのは、まさにそのようなタイミングです。実際は、メトリクスは単なる出力結果に過ぎないため、メトリクスを改善するには運用を改善する必要があります。

では、さっそく見てみましょう。

MTTDの改善方法

問題を迅速に特定するために、強力な監視システムやアラートシステムを導入します。これらのツールは、関係する個人やチームにインシデントを通知し、包括的なインシデント情報を提供できるものでなければなりません。

さらに、下位レベルでインシデント対応が何も行われていない場合に、そのインシデントを上位レベルにエスカレーションできる機能を備えている必要もあります。

• 脆弱性スキャンや侵入テストなどの手法を活用して、システムの脆弱性を定期的に評価します。このような対策は、潜在的な脅威を事前に特定するのに役立ちます。
• 不審なアクティビティや異常なシステム動作を事前に特定して報告する方法を従業員に教育します。これは、潜在的なセキュリティ脅威を早期に検出し、対応するのに役立ちます。

MTTRの改善方法

既知の問題、解決策、およびトラブルシューティングの手順を記録して、ドキュメントを改善します。これにより、SOCチームはインシデントを効率的に解決できるようになります。

• コラボレーションツールを使った知識の共有を通じて、効果的なコミュニケーションとコラボレーションを実現することで、インシデント解決プロセスを迅速化します。
• データ修正、テスト、インシデントのトリアージといった手動作業を自動化することで、時間を節約し、人的ミスを最小限に抑え、解決プロセス全体を高速化します。

MTTA&Aの改善方法

• 専用のコミュニケーションチャネルを導入し、SOCチームがインシデントを共同で分析したり、情報を効果的に共有したりできるようにします。たとえば、インスタントメッセージングプラットフォームや専用のインシデント対応チャネルなどを活用します。
• インシデントのトリアージと優先順位付けに自動化ツールを使用し、インシデントの原因および性質や顧客のタイプなど、十分に合意された基準を適用します。
• 分析ツールを使用して、インシデント分析を支援します。たとえば、異常検出システムや脅威インテリジェンスシステムは、既知の脅威のパターンを特定するのに役立ちます。これらのツールを使用することで、分析プロセスを迅速化できます。
• 最新のドキュメントをアクセスしやすい場所に保管し、データの分析方法、インシデントトリアージのガイドライン、初期分析といった有用な情報をすぐに利用できるようにします。
• アラートの改善により、新たに発生した問題を担当者にすばやく通知できるようにします。
• オンコールスケジューリングを導入し、インシデントを認識して対応するのに十分な数の担当者を、24時間365日体制で確保できるようにします。

セキュリティインシデントの削減方法

• システムの脆弱性を定期的に評価します。これにより、組織はシステム内の新たなセキュリティの脅威や弱点をプロアクティブに検出し、インシデントの発生前に修復できます。
• サイバー脅威に関する教育やトレーニングを従業員と顧客に提供し、彼らがサイバー犯罪の被害者になったり、組織にリスクをもたらしたりする事態を防止します。
• プロアクティブな監視とアラートを導入して、組織に影響が及ぶ前にインシデントを検出します。

FPRの改善方法

• 最新の脅威情報やインテリジェンスを活用して、アラートの生成に使用される脅威検出ルールやしきい値を継続的に改善します。
• AIや機械学習などの革新的なテクノロジーを利用して、SOCメトリクスの精度を高めます。
• 不正確なデータや一貫性のないデータは誤検知を増やす可能性があるため、データ品質の向上を図ります。
• 脅威ハンティングを実行して、潜在的な脅威をプロアクティブに検出します。これは、誤検知を特定し、脅威検出システムの全体的な精度を向上させるのに役立ちます。

(脅威ハンティングについては、こちらをご覧ください。)

FNRの改善方法

• 組織を包括的に監視し、すべてのアプリケーション、システム、ネットワークを24時間365日体制で保護します。これにより、サイバー攻撃を見逃してしまう可能性を低減できます。
• 運用成熟度を向上させます。組織の能力に基づいて、脅威インテリジェンス、AI、機械学習ベースの脅威検出といった高度な脅威検出技術を活用することで、検出能力をさらに強化できます。
• トレーニングと意識向上プログラムへの定期的な投資により、最新のサイバーセキュリティのトレンドや攻撃手法を常に把握できるようにします。これは、セキュリティギャップを解消するのに役立ちます。

インシデントに関連するコストの削減方法

インシデントの全体的なコストを削減するには、プロアクティブな監視、迅速なインシデント対応、および修復が重要になります。ウイルス対策ソフトウェア、厳格なアクセス制御、定期的なソフトウェアアップデートといった強力なセキュリティ対策を導入して、サイバーインシデントの発生を未然に防ぎましょう。

また、セキュリティ脆弱性評価の継続的な実施により、潜在的な脆弱性を特定して事前に修復することができます。

SOCの成果に関するまとめ

SOCメトリクスは、SOCチームがインシデント対応を含むセキュリティ運用の有効性、効率性、および全体的なパフォーマンスを評価するための測定可能な指標です。

この記事で説明したように、SOCメトリクスには複数のタイプが存在し、組織は自社の要件に合ったメトリクスを使用できます。

このブログはこちらの英語ブログの翻訳です。