セキュリティ人材不足の今、運用自動化基盤の導入後に待ち受ける「落とし穴」　“真の効率化”に必要な3点

セキュリティ人材不足の解消に向けたキーワード「自動化」　実際に75％の工数削減も

　セキュリティ人材不足は、国内外を問わず業界共通の深刻な課題だ。総務省の『令和7年版　情報通信白書』には「サイバー攻撃が巧妙化・複雑化している一方で、我が国のサイバーセキュリティ人材は質的にも量的にも不足している」と明記されており^[1]、IPA（情報処理推進機構）も「企業におけるセキュリティ運用業務の負荷が高い状態が常態化している」と指摘する^[2]。

　セキュリティ人材が不足すれば、当然その企業のセキュリティリスクは増大してしまう。作業の属人化を招くほか、高負荷な業務環境が社員のモチベーション低下にもつながり、離職という負のスパイラルに陥る。マクニカの窪井勇紀氏は、「業務過多によってミスのリスクは増大する。また、導入したいセキュリティ製品があっても社内リソースが足りず導入できないといった事態も起こりがちだ」と説明する。

　こうした課題に対する解決策として、同氏は「自動化」というキーワードを挙げた。IPAが2024年に公表した『セキュリティ業務自動化推進レポート』によると、IPAがSIEMからのアラート取得、チケット発行、脅威データベースとの突合といった一連のワークフローを自動化した結果、75％の工数削減率を実現したという。「最低限のセキュリティ知識のみで処理できる業務に関しても、自動化を選択することで大幅な工数削減につながる」と同氏は説明する。

---

[1]「令和7年版　情報通信白書」（総務省、2025年）

[2]「セキュリティ業務の自動化推進レポート」（独立行政法人情報処理推進機構、2024年）

「自動化するための高度人材が必要」自動化基盤を導入しても課題は山積み……

　自動化によるメリットが明確である一方で、実際にSOAR（Security Orchestration, Automation and Response）を導入した企業の現場では、当初描いた理想とは異なる現実に直面しているケースが少なくない。窪井氏は、とある企業の事例を紹介した。

　この企業は当初、不審メールのトリアージ業務の自動化を第1ステップとし、将来的には柔軟な自動化範囲の拡大を目指していた。第2ステップでは、フィッシングメール受信時に脅威データベースと突合して脅威判定を行うワークフローや、ADサーバーの情報とUEBAを突合した相関分析などを自動化する計画だった。そして第3ステップとして、ベンダーの力に頼らず自分たちでプレイブックを作成し、自組織の環境に最適化した運用を内製化していくという青写真を描いていた。

　しかし導入後、製品面とサポート面で大きな課題が浮上した。製品面では、フルコード開発が求められることが大きな障壁に。窪井氏は「セキュリティ組織において、『適切なコードが書けて、知識も豊富にある』メンバーがいればフルコード開発にも対応できるが、そういった人材をもたない組織が大半だ」と指摘する。もし優れた人材がいたとしても、コードで記述されたプレイブックはその人材本人しか理解できないことが多く、トラブル発生時に原因箇所の特定が困難になるという課題もあった。

　サポート面では、既存SOARベンダーの対応体制に課題があった。日本語でのサポートが受けられない、あるいはメーカー側で技術サポートと一般的な製品仕様問い合わせの窓口が完全に分かれており、毎回顧客環境の説明を繰り返さなければならないといった非効率な作業が発生していた。

　こうした現実を踏まえ、窪井氏は「SOAR検討時には重視すべき3つのポイントがある」と語る。その根拠として引用したのが、IPAが公表したレポート『SOARを活用したセキュリティ運用の効率化』だ^[3]。このレポートでは、SOAR選定時の注意点として「連携可能な製品やAPIの種類」「ソリューションの提供形態」「製品の得意分野」「メーカーサポートの充実度」が挙げられ、運用時の注意点として「プレイブック実行のヘルスチェック」「プレイブックのメンテナンス」「プレイブックおよびAPI接続の管理」などが挙げられている。

　これらを読み解くと、「開発の容易性」「他製品連携」「伴走型のサポート」の3つが押さえるべきポイントだと同氏は述べる。SOAR導入企業の現状と目指すべき姿の間には明確なギャップが存在し、そのギャップを埋めるには製品の機能だけでなく、サポート体制を含めた総合的なアプローチが必要だ。

　「これら3つを網羅することで、誰でも簡単に開発でき、豊富なサードパーティ製品と連携できるほか、安心安全な日本語サポートを受けながら、企業がSOAR導入後に目指していた状態へ近づくことができます」（窪井氏）

---

[3]「SOARを活用したセキュリティ運用の効率化」（独立行政法人情報処理推進機構、2023年）

3つのポイントを企業はいかにして押さえるべきか？

　これらを実現する策として窪井氏は、独立型ローコードSOARベンダーであるSwimlaneとマクニカがタッグを組んだ新ソリューションを紹介。Swimlaneは、2015年に米国コロラド州で創業されたAIセキュリティオートメーション専業ベンダーだ。創設者のコディ・コーネル氏は米軍でSOC運用に携わった経験を持ち、現場で自動化の必要性を痛感したことが創業の背景にある。従業員300名以上を擁し、ロンドン、マレーシア、インド、東京に拠点をもつ。マクニカは2023年に代理店契約を結び、2024年から本格的な拡販活動を開始している。

　特筆すべきSwimlaneの特徴は以下の3つだという。

ローコード型プレイブック（「開発の容易性」に寄与）

　ワークフローの作成は基本的にコードが不要。コネクタと呼ばれるツールを使い、サードパーティ製品とのAPI連携が可能となる。「開発知識がなくてもフローを書くことが可能。自動化のワークフローの追加を行いやすいことに加え、接続トラブル時のデバッグ調査も行いやすい」と窪井氏は説明する。ローコードとは、フルコードとノーコードの中間に位置し、基本的にはコードを書かずに済むが、柔軟性が必要な場合にはPythonでコードを書くこともできるという、両者の利点を兼ね備えている。

柔軟な製品連携（「他製品連携」に寄与）

　Swimlaneは独立型のSOARベンダーであり、特定のSIEMやEDRに縛られることなく、様々なセキュリティ製品と連携できる設計思想をもつ。この独立性は、ベンダーロックインを防ぎながら、変化の速いサイバーセキュリティの脅威に対し、迅速かつ効果的に対応できる運用環境の構築を可能にする。

迅速なコネクタ開発（「他製品連携」に寄与）

　コネクタ開発にも強みを持っており、APIがあれば2、3週間程度で新しいコネクタを作成できる。「連携先のAPI変更にも速やかに対応する」と窪井氏は強調。この速度感は、ニッチな製品を利用している顧客にとっても大きな安心材料となる。

　製品の特徴だけでなく、マクニカのサポート体制も重要な要素だ。マクニカはセキュリティ関連で50社以上のベンダーと取引実績を持ち、ディストリビューターとして保守サービスを提供している。窪井氏が強調したのは、仕入先ごとにチームを編成し、同じ仕入先の技術メンバーが同じチームに所属しているという体制である。

　「お客様の環境を十分に理解している担当者がいない、かつ部門横断的な対応ができないという問題は、お客様にとって大きなネックとなります。そこを解消するのが、マクニカの保守サポートです。提案段階から構築、サポート、利活用支援まで、同じチームが一気通貫でナレッジを共有しながら支援します」（窪井氏）

　最後に同氏は「SOARという製品は入れて終わりではなく、入れた後の利活用こそが最も力を発揮する部分だ」と強調し、製品の機能だけでなくサポート体制を含めた総合的な視点での検討を促した。

オンデマンド動画のご案内
SOAR導入の理想と現実から学ぶ～セキュリティ運用基盤の再設計～

本記事で紹介した、SOAR導入の理想と現実、そして運用基盤再設計のポイントを、動画でも詳しく解説しています。記事の内容をより具体的に理解したい方は、ぜひオンデマンド動画をご視聴ください。

詳細やご相談は、Swimlane製品ページよりお問い合わせください。