そのうえで重要なのが、組織の評価軸や企業文化の変革である。経営層によるセキュリティ対策業務への理解と言い換えてもよい。前述したように、何も起きないのはセキュリティ対策が有効に機能している結果である。つまり評価軸としては加点ポイントのはずだ。
とはいえ、セキュリティ担当者もそれを合理的に説明する必要がある。適切な情報のレポート(可視化)やいつでも状況を説明できる準備をしておく。
必要なセキュリティ対策やルールについても、なぜそれが必要なのか、どういう効果があるのかを経営者や業務スタッフ(専門家以外)にも説明できなければ、現場や経営層の意識改革にはつながらない。
もう1つ重要なのは属人化の排除だ。サイバー攻撃は世界中から行われる。休日や深夜のアラート対応については、綿密な連絡体制と対応手順を用意しておく。
SOC(セキュリティオペレーションセンター)のような業務は交代勤務が必要となるだろう。グローバル企業であれば、24時間どこかしらのオフィスは稼働している状態だからだ。
「誤検知」問題にどう対応するか?
XDR、SIEMといったソリューションは、常時、ネットワークトラフィックやシステムログをモニタリング、分析することで機能する。
ネットワークイベントやログの量は膨大であり、もはや人力での処理は不可能だ。AIによる自動化は、現実問題として必須ともいえる。
バーンアウト対策にAI活用は有効ではあるが、両刃の剣という側面もある。バーンアウトに陥るセキュリティエンジニアにとっての最大のストレスはFP(False Positive)と呼ばれる「誤検知」だ。
誤検知は、本当は異常ではなかった、攻撃ではなかった場合にそれとわかる。システムや組織としては結果オーライで実際の被害は発生しないのだが、アラートが発せられた時点では誤検知かどうかがわからないので、エンジニア、アナリストには作業負荷と多大な精神的負担が発生する。
次ページが続きます:
【AIの判断領域を広げる取り組み】
