パロアルトネットワークスは3月21日、「日本企業のサイバーセキュリティにおけるAI・自動化活用」に関する包括的な調査を実施し、その結果を公表した。調査結果のハイライトは以下のとおりである。
セキュリティ監視・運用業務は
「内製化」と「変革」の必要性を9割が認識
セキュリティ監視・運用業務の体制
社内と外部委託の組み合わせが61%で最も多く、完全に外部委託しているケースが22%、そして社内のみで運営しているケースが15%となっている。
セキュリティ監視・運用業務の課題
セキュリティ製品からの大量のアラートやインシデント発覚の長期化など、全体の95%が何かしら課題を抱える中、87%が内製化の変革の必要性、89%が業務変革の必要性を考えている。現在完全に外部委託している組織に限っても、72%が内製化の必要性、89%が業務変革の必要性を挙げている。
業務変革の手段としてのAIと自動化
「セキュリティ業務全般」にAIを活用していない企業の82%が活用予定または検討中と回答。「セキュリティインシデントの対応」に自動化を実施していない企業の74%が自動化実施を予定または検討中と回答。
「インシデントの検出と対応に要する時間」の削減を
目指す企業ほどAIとさまざまなデータを積極活用
セキュリティ業務におけるAI活用度
全体の23%がセキュリティ業務にAIを活用しており「内部不正の検出(65%)」「サイバー攻撃の検出(64%)」「未知の脅威の検出(60%)」が上位3位を占めており、脅威の迅速な検出がAIを活用する最優先項目になっている。
インシデント対応におけるKPIとAI活用の関係性
インシデントの検出(MTTD)ち対応に要する時間(MTTR)の両方をセキュリティの運用・監視業務のKPIとしている企業の50%が脅威を迅速に検出するためにセキュリティデータの紐付けや相関分析にAIを活用している。一方、KPIに設定していない企業でのAI活用は16%に留まり、さらに64%がエンジニアの手作業に依存している。
インシデント対応におけるKPIとデータの種類の関係性
MTTDとMTTR両方をKPIに設定している場合、脅威を迅速に検出するためにエンドポイントやネットワークを含め7種類のデータを活用している一方、そうでない場合はわずかに3種類と限定的でインシデントの検出力にも大きな開きがある。
インシデント対応における自動化推進により
経験やスキルのばらつきを低減し業務標準化を実現
インシデント対応における自動化活用の目的
セキュリティ運用・監視の組織を社内に整備している企業の53%がインシデント対応に自動化を活用し、その目的は「手作業によるミスをなくすため」(59%)が圧倒的に多い。次いで「対応のばらつきをなくすため」(46%)と、経験やスキルが異なる人材による対応のばらつきを排除したインシデント対応の品質均一化が重視されている。
インシデント対応におけるKPIと自動化活用目的の関係性
また、MTTDとMTTR両方をKPIに設定している企業では、「手作業によるミスをなくすため」(79%)や「インシデントの対応時間の短縮」(66%)に次いで、「セキュリティ製品の運用効率向上(66%)」や「人材を重要度の高い業務に対応させるため」(62%)といった自動化活用の目的がセキュリティ業務の高度化へシフトしている。
インシデント対応におけるKPIと業務自動化率の関係性
MTTDとMTTR両方をKPIに設定している企業の35%が60%以上のインシデント対応業務を自動化する一方、そうでない場合のインシデント対応業務の自動化はわずか13%と22ポイントの開きがあり、前者はより積極的に自動化によるインシデント対応の時間短縮を実現している。
レポートのダウンロードは以下から
https://start.paloaltonetworks.jp/security-operation-report-jp-2024
[i Magazine・IS magazine]
