SOCの近代化とは、セキュリティオペレーションセンター(SOC)の対応範囲、検知能力、ワークフロー、および人員体制を段階的に、かつ継続的に強化していくプロセスです。その目的は、拡大し続ける攻撃対象領域全体にわたる脅威を検知し、対応することにあります。これは、単発的なツールの購入ではなく、推進要因、評価、実施順序、資金調達、および成果測定を盛り込んだロードマップである、プログラムとしての体系的な取り組みです。 SOCを運営または監督している方にとって、真に重要なのは実務的な問いです。なぜ今、近代化を行うのか、どのような順序で進めるのか、どの程度のコストがかかるのか、そしてその効果が実証できるのか。本ガイドはこうした流れに沿って構成されており、最も手っ取り早く概要を把握するには、以下の定義から現状評価、次にコスト、そしてプログラムが失敗する理由という順序で目を通すのが良いでしょう。
SOCの近代化は、単に新しいプラットフォームを購入することと同義ではありません。それは、プログラムを遂行するための体系的な取り組みであり、SOCの現状を評価し、アップグレードの優先順位を決定し、作業に必要な資金を確保し、その結果を測定するものです。最終的な姿については別の話題となります。なぜなら、近代的なSOCがどのようなものであるかは、SOCの運用に属する問題だからです。このページでは、現状からその最終的な姿に至るまでの道のりを扱います。
証拠が示すように、その道のりは長い。SANS 2025 SOC 調査は、9年間にわたる追跡調査を締めくくり、SOC の能力と課題がその期間を通じて「概ね一貫して変わっていない」という厳しい現実を浮き彫りにした。 相次ぐツールの導入はSOCの変革を約束したものの、構造的な制約はそのまま残された。これは、セキュリティ運用の近代化を単なる入れ替えではなく、段階的かつ累積的なプログラム作業として捉える場合にも当てはまる。進捗の単位は製品の導入ではない。脅威検知の網羅性、シグナルの品質、そしてその両方に作用するワークフローにおける、測定可能な改善こそが進捗の単位なのである。
近代化の取り組みは、戦略資料から始まることはめったにありません。それは、現在の運用モデルが、守ろうとしている環境の変化に追いつけなくなったときに始まります。真の引き金となるものは、どれも一過性の技術トレンドではありません。その一つひとつが、具体的な日付とコストを伴う運用上の失敗なのです。2026年のSANS SOC調査によると、サイバーセキュリティリーダーの24%が、SOCの有効性を阻む最大の障壁として「全社的な可視性の欠如」を挙げており、これは最も多く挙げられた回答でした。 同調査では、サイバーセキュリティ担当者の75%が、「技術は熟練した人材が運用して初めて機能する」と回答しています。SOCの変革が実際に解決すべき課題は、ツールの古さではなく、対応範囲と人材の確保なのです。
ほとんどのプログラムは、以下の8つのトリガーによって説明されます:
2025年のベースラインを見ると、こうした要因がなぜ深刻な問題となるのかがわかります。SANSの「2025年SOC調査」によると、SOCの42%が、データ活用計画を立てずにすべてのデータをSIEMに投入しており、検知成果を得られないまま費用を費やしています。 また、SOCの79%が24時間365日体制で運用されている(2025年)ため、あらゆる非効率性が24時間体制で累積していきます。契約更新のスケジュールは、インシデントと同じ頻度でこの問題を浮き彫りにします。SIEM契約の終了は、それをそう捉えるかどうかに関わらず、システム近代化の判断を迫る局面なのです。SOCアナリストは、ツールが生成する情報と業務上の要件とのギャップを埋める役割を担っており、これが人員不足とアラートの過剰発生が通常同時に表面化する理由です。 これらの要因に関する最新の分析については、「SANS 2026 SOC調査のインサイト」ウェビナーで2026年の調査結果が解説されています。発生したトリガーを、日付と関連するインシデントを添えて逐一記録してください。以下の「ビジネスケース」のセクションでは、その記録を資金調達のための論拠に変える方法を説明しています。同時に2つ以上のトリガーが発生している場合、対応を先送りすることも一つの判断ですが、通常はコストのかかる選択となります。
基準のない近代化への投資は、単なる当て推量に過ぎません。予算を確定する前に、SOCを「カバレッジ」「検知トリガー」「インテリジェンスの活用」「ハンティングの成熟度」「AI/MLガバナンス」という5つの側面から評価してください。SANSの調査は、同業他社とのベンチマークを提供しています。2025年には、SOCの85%が、エンドポイントのアラートが主な対応トリガーであると回答しました(SANS 2025)。『Infosecurity Magazine』による2026年の調査報道によると、この傾向は続いており、2026年には86%がエンドポイントによるトリガー、78%がSIEMによるトリガーであると回答しています。主にエンドポイントのアラートに反応するSOCは、検知体制を単一のテレメトリ層に委ねていることになります。これは、単なる好みのように見えるが、実際にはセキュリティの可観測性におけるギャップなのです。
インテリジェンスとハンティングは、どちらも事後対応的な側面を帯びています。2025年、SOCの69%がサイバー脅威インテリジェンス(CTI)を主にインシデント対応のために利用していました。つまり、事前の予防ではなく、事後対応として活用されていたのです。脅威ハンティングも同様の傾向が見られます。 最も一般的な手法は、ベンダー提供のツールを用いた部分的に自動化されたハンティング(48%)であり、SANSはこれを「真の技術主導型のハンティングではなく、事後的な分析」と呼んでいる(2025年)。もし自社のハンティングが、前日のベンダーの出力結果を検証するだけのものであるなら、率直に言って、それを「事後対応型」と評価すべきだ。
AI/MLのガバナンスは、自己評価を行う上で厄介な領域です。SANSの2025年ガバナンス分析(図5)によると、利用状況がポリシー策定を先行していることが示されています。2025年には、42%がカスタマイズを行わずにAI/MLツールを利用しており、およそ69.3%が何らかの形で利用していると報告しています。これは推計値であるため、「推計」と明記してください。 2026年のデータにより、状況がより鮮明になります。現在、79%がAI/MLを利用していますが、定義されたワークフローに組み込んでいるのはわずか36%にとどまっています(2026年)。また、運用技術およびモノのインターネット(OT/IoT)資産を完全または部分的に監視しているのは、わずか45%に過ぎません(2026年)。
SOCにおけるAI/MLガバナンス、SANS 2025 SOC調査 図5 — 実際の利用状況は、定義された運用を大幅に上回っている。
この取り組みを体系化するために、SOC成熟度モデルは、現状の位置づけや、資金投入の目標とするレベルなど、共通の用語体系を基準として提供します。この目的のために中立的なツールが存在し、特にSOC向けに特別に設計された自己評価ツールであるSOC-CMMが挙げられます。採点方法を過度に複雑にしたくなる衝動には抵抗してください。重要なのは、完璧な基準ではなく、予算会議で説明できる正直な基準を確立することです。 回答には日付を明記して書き留めておきましょう。順序付けのセクションとコストのセクションの両方で、このベースラインが活用されます。
5つの質問で、手早く自己評価を行うことができます:
順序立てこそが、SOC変革プログラムが勢いを増すか、あるいは停滞するかを左右するポイントです。最も説得力のある出発点は「カバレッジ」です。Google Cloudが提唱する「セキュリティ運用の近代化に向けた10の実践的教訓」では、脅威プロファイルを最優先事項――「カバレッジの指針」――として位置付けています。組織にとって重要な脅威を定義し、ツールの選定を行う前に、そのプロファイルに基づいてカバレッジの優先順位を決定しましょう。同教訓では、変革的な飛躍と漸進的な改善のバランスを取ることも強調されており、これにより、大規模な変革が定着するまでの間も、プログラムは継続的に価値を提供し続けることができます。 「脅威プロファイルを最優先する」というのは当たり前のように聞こえますが、実際にはしばしば見過ごされがちです。このトピックに関する順序付けのアドバイスの多くは出典不明の主張に過ぎないため、自社のアプローチは実証済みの実践に基づいて確立してください。
そこから、処理の順序は「カバレッジ」、次に「シグナル」、さらに「ワークフロー」、そして「自動化」という順になります:
各ステップはそれ自体が独立した分野であり、詳細については上記のリンク先を参照していただきたい。そのため、このロードマップはあくまでロードマップとしての役割にとどめる。このロードマップに追加すべきはペースの調整であり、SANS 2025 SOC 調査がそれを提供している。アーキテクチャの進展は、実際には緩やかなものであることが判明した。2025年時点で、クラウドベースのSOCサービスは導入全体の24.2%を占めており、29.0%が12ヶ月以内に導入を計画していた。 単一の集中型SOCについては、ほとんど変化が見られませんでした。現在の導入率は37.8%で、導入計画率は36.2%でした。これらの数値は、達成すべき目標ではなく、実際に観察された進捗状況を示すものとして捉えてください。これらは、1年という短期間でのプラットフォーム移行を急ぐのではなく、組織が吸収できる範囲で段階的に作業を進めるべきであることを示唆しています。計画を四半期単位で策定し、各段階の成果に基づいて次の段階の範囲を決定してください。
SANS 2025 SOC調査による、実態と計画のSOCアーキテクチャの構成比 — これは目標値のリストではなく、アーキテクチャが実際にはどれほどゆっくりと変化しているかを示したものです。
スピードよりも順序が重要です。不具合のあるワークフローを自動化すると、その不具合が拡大してしまいます。だからこそ、ワークフローの修復は自動化よりも優先され、シグナルの品質確保は両者よりも先に行われるのです。 検出の価値は、チームが実際に実行できるワークフローに高品質なシグナルを供給するカバレッジから生まれます。デモの出来が良かったという理由だけで自動化に飛びつくことは、最も一般的な順序付けの誤りであり、失敗モードのセクションでもこの点に立ち返ります。段階的な順序付けは、資金調達のリスクも軽減します。各段階において、完了したカバレッジから節約された時間に至るまで、次の予算要求の根拠となる証拠が生み出されるからです。
SOCの近代化に関する価格表を公表している企業は存在せず、既存のガイダンスも具体的な数値には言及していません。TechTargetの「CISOがSOCの近代化について知っておくべきこと」という記事では、CISOが提示すべきビジネスケースの資料を有益に挙げていますが、そこに盛り込むべき数値は示されていません。このギャップこそが、多くのプログラムが「信頼」だけで資金調達され、事例話だけで正当化されてしまう理由です。また、このセクションが差別化要因となるのもそのためであり、コストの問題こそが、あらゆる資金調達に関する議論の核心となるからです。 より適切な基準があります。それは、検知速度と検知の責任の所在が、実証可能な価値としてどれほどのものかということです。
ポネモン・インスティテュートの「データ侵害のコストに関する調査(2025年版)」では、この両方が数値化されている。データ侵害の平均ライフサイクルは241日間(平均検知時間(MTTI)181日+平均封じ込め時間(MTTC)60日)であり、これは9年ぶりの低水準となった。 対応の速さによってコストの分布は分かれる。ライフサイクルが200日未満の侵害の平均コストは387万ドルであったのに対し、200日を超える場合は501万ドルとなった。また、侵害の発見主体によってもコストは異なる。組織が自ら発見した侵害の平均コストは418万ドルであったのに対し、攻撃者が侵害を公表した場合の平均コストは508万ドルであった。なお、組織内部で発見された侵害の平均発見日数は172日であった。 自己検知の割合も増加傾向にあり、2023年は33%、2024年は42%、2025年は50%と推移しているため、現在では組織の半数が自社の侵害を自ら発見している。
スピードの価値とは――ポネモン・インスティテュート「データ漏洩のコストに関する調査(2025年版)」。これらの数値は相関関係を示すものであり、因果関係を示すものではありません。
数値については正直に扱うべきです。これらは相関関係を示すものであり、因果関係を示すものではありません。近代化されたSOCであっても、それらのバンド間の差額を自動的に確保できるわけではなく、そう主張するビジネスケースは徹底的に検証されることになるでしょう。正当化できる枠組みは「エクスポージャー」です。 現在の体制では、貴社は処理速度が遅く、コストの高いバンドに位置づけられています。ロードマップの各段階は、より高速で低コストなバンドへと移行するためのものです。これに各段階ごとのコスト(テレメトリ、エンジニアリング時間、トレーニング、および調達方法の変更など)を組み合わせることで、どのバンドに位置づける余裕があるかという議論へと発展します。
SANS 2025の2つの調査結果が、この全体像を補完しています。第一に、SOCスタッフの42%が自組織のSOCの予算を把握していないという事実です。SANSはこの乖離を、技術的な業務とそれを支える事業部門の資金提供との間に生じているギャップと解釈しています。チームが予算を把握できていない場合、CISOの下にはビジネスケースの責任者が存在しないことになります。 次に、人員が十分に配置されたSOCの最も一般的な規模は2~10人である(SANS 2025)。これは単一の定数ではなく、現実的な計画の幅である。存在しない組織図ではなく、この現実――ほとんどの場合、24時間365日の運用をカバーする小規模なチーム――に基づいて、ロードマップのコストを見積もるべきである。
測定とは、プログラムへの計測機能の組み込みであり、最後に付け足されたスコアボードのようなものではありません。その判断基準は単純です――人が手作業で集計することなく、その指標を報告できるかどうかです。この基準に照らすと、ほとんどのSOCには計測機能が組み込まれていません。SANSの「2025年SOC調査」によると、69%のSOCが依然として指標を手作業、あるいはほぼ手作業で報告していることが判明しました。 手動での報告は、プログラムのフィードバックループがスプレッドシートの作成速度でしか回らないことを意味し、その遅いループが他のすべての活動を密かに制約しています。このページでは、KPIカタログの提示は意図的に控えています。どの指標を実行すべきか、またそれらをどのように定義すべきかは、セキュリティ指標の領域に属するからです。ここで取り上げるべきは、計測体制の基準です。ロードマップのどの段階を拡大する前に、以下のレポートが自動的に生成されることを確認してください:
もし、あるラインの構築に人的作業が必要な場合は、次の段階への資金提供を行う前に、そのパイプラインを修正してください。計測関連の負債は、技術的負債と同様に雪だるま式に膨らんでいきます。そして、ダッシュボードとは異なり、予算会議の場でその存在が自ら告げられることは決してありません。また、自動化されたレポートこそが、近代化を単なる主張から実績へと変えるものです。プログラムを導くのと同じ計測システムが、その成功を証明する証拠となるのです。
この失敗パターンは、対策を立てられるほど一貫しています。つまり、プログラムではツールを購入し、それを「戦略」と呼んでいるのです。SANS 2025 SOC 調査の結論は率直です。「ツールだけでは、これらの問題は解決できません。 「解決するのは人だ。」」と。これと対をなす要素も同様に重要だ。同じ2025年の調査において、EDR/XDRは満足度で4段階中3以上を獲得した唯一の技術であるが、それはまさに「完全に導入され……適切なトレーニングとサポートに裏打ちされている」からに他ならない。これら2つの調査結果を併せて考えると、運用上の原則が見えてくる。ツールは、完全に導入され、リソースが確保され、トレーニングが行われ、統合されて初めて成果をもたらす。一方、ツールを購入するだけで他の4つの要素を省略してしまうと、プログラムは失敗に終わる。
こうした停滞は、通常、人的側面から最初に現れます。2026年のSANS SOC調査では、リーダーの59%が「経営陣は採用と人材定着に適切な注意を払っている」と回答しました。一方、実務担当者のうちこれに同意したのはわずか32%にとどまり、認識のギャップは27ポイントにも達しました。Help Net SecurityによるSOCの可視性のギャップに関する分析も同様の結論に達している。つまり、可視性の問題はセンサーではなく、人員配置に起因するものである。人材に関する問題について、経営層と実務担当者の見解がこれほど大きく食い違っていると、その下流にあるすべての業務が困難に直面することになる。
側面 障害発生のパターン 早期の兆候 人 ツールの購入、研修、人員配置が先送りされている リーダーと実務者の間で、リソースの配分について意見が激しく対立している プロセス 文書化されていないワークフローに自動化が重ねられている 対応手順書は個々のアナリストの頭の中だけに存在している 技術 新しいプラットフォームを導入しても、カバー範囲の不足は解消されない 導入後も可視化マップは以前と全く同じまま 文化 ITプロジェクトとして進められる近代化 責任を持つ経営幹部がおらず、チームには予算が公開されていない
人材、プロセス、テクノロジー、文化の各分野における近代化の失敗要因――各行は、SANSの2025年および2026年の調査結果に基づいています。
この分類法――「人」「プロセス」「テクノロジー」「文化」――はよく知られたものですが、調査データがあるからこそ実用的なものとなっています。なぜなら、各行にはスローガンではなく、日付付きの数値が記載されているからです。この表を「プレモルテム」として活用してください。契約締結前に修正する方が、契約更新後よりもコストが抑えられます。
フレームワークマッピングにより、近代化の進捗状況を監査可能な記録として残すことができます。その作業の大部分は、2つの基準によって行われます。1つ目はNIST CSF 2.0(2024)とその「検出(Detect)」機能、具体的にはDE.CMの継続的監視サブカテゴリであるDE.CM-01、-02、-03、-06、および-09です。 DE.CM-01およびDE.CM-09は、監視範囲の広さを裏付ける根拠となります。つまり、ネットワーク、コンピューティングハードウェア、ソフトウェアのすべてが監視対象となっていることを示しています。2つ目は、MITRE ATT&CK「エンタープライズ戦術」であり、これにより「対象範囲はカバーされているか?」という問いに対し、手法ごとに具体的な回答が得られます。
ATT&CKの情報を常に最新の状態に保ちましょう。MITRE ATT&CK リリースノートによると、現在のバージョンの日付は2026年4月28日となっています。v19の時点で、ATT&CKは15の「エンタープライズ戦術」を定義しており、「防御回避(Defense Evasion)」は「ステルス(Stealth)」(TA0005)と「防御機能阻害(Defense Impairment)」(TA0112)に分割されています。 また、エンタープライズコンテンツには、697の「検出戦略」と1,758の「分析手法」が含まれています。これらの検出リソースは、近代化プログラムに対して即座に活用可能なエンジニアリングのバックログを提供します。既存の検出手法をこれらと照合することで、カバレッジのギャップが作業キューとして明らかになります。
フレームワーク要素 対象範囲 対応する近代化作業 NIST CSF 2.0 DE.CM-01、DE.CM-09 (2024) ネットワーク、コンピューティングハードウェア、およびソフトウェアの継続的な監視 全社的な可視性と対象範囲の拡大 NIST CSF 2.0 DE.CM-02、DE.CM-03、DE.CM-06 (2024)物理環境、要員の活動、外部プロバイダーの監視施設、内部関係者、および第三者へのカバレッジの拡大MITRE ATT&CK v19 エンタープライズ戦術 (2026)「ステルス (TA0005)」および「防御機能の阻害」を含む15の戦術 (TA0112)戦術ごとの検知範囲のマッピングMITRE ATT&CK v19 検知コンテンツ (2026)697の検知戦略と1,758の分析検知エンジニアリングのバックログと検証
NIST CSF 2.0のDE.MITRE ATT&CK サブMITRE ATT&CK カバレッジマッピングから、それぞれが示す近代化作業への対応関係を示す対照表。
コンプライアンスは、このセクションにおいて「きっかけ」として位置づけられるべきであり、「仕様」として扱われるべきではありません。SIEMへの移行期限や新たな規制体制の導入は、取り組みを開始する正当な理由となります。そして、実際に取り組みを開始した後は、その進捗状況を証明するために「対応表」を活用します。具体的な義務は規制や管轄区域によって異なるため、弁護士と相談して対応表を作成してください。SOCが担うのは証拠の確保、すなわち、上記のフレームワークに基づいて文書化された、継続的なセキュリティ監視の実施範囲です。
市場のメッセージは、AI主導型かつ主体的なSOCのビジョンを中心にまとまりつつあり、今やどのプラットフォームも何らかの形で「次世代SOC」というラベルを掲げています。こうしたラベルは、根本的な問題よりも速いペースで変化しています。こうしたラベルを取り除けば、このロードマップが終始指し示しているのは不変の原則です。重要なのは、現代の攻撃対象領域全体を幅広くカバーすること、そして人間規模のチームが対応可能な高品質なシグナルです。 アーキテクチャ的には、これはネットワーク、アイデンティティ、クラウド、SaaSにまたがるカバレッジ、すなわちネットワーク検知・対応(NDR)および拡張検知・対応(XDR)の領域を意味します。その結果として得られるべきは、シーケンスのセクションで順序付けられたワークフローに供給される、より少なく、より相関性の高いシグナルです。
Vectra AIは、近代化をツール選定の問題というよりも、まず「カバレッジとシグナル」の問題として捉えています。この方法論は、「すでに侵害されている」という前提に立っています。つまり、攻撃者は侵入してくるものだと想定し、SOCの役割は、攻撃者がどこで活動していようとも、早期にその存在を特定することにあるのです。 そのためには、ネットワーク、ID、クラウド、SaaSといった現代の攻撃対象領域全体にわたる統合的な可視性が求められます。また、優先順位付けも必要となります。そこで「Attack Signal Intelligence™」が活躍します。これは、実際に進行中の攻撃を示す行動を浮き彫りにすることで、アナリストがアラートの選別に追われるのではなく、攻撃そのものに対処できるようにするものです。これは、本ロードマップの「カバレッジ・ファースト」という理念を実践したものです。
SOCの近代化とは、SOCの対応範囲、検知能力、ワークフロー、および人員体制を段階的に向上させていく、継続的な取り組みです。これは、推進要因や現状評価から、実施順序の策定、資金調達、成果測定に至るまで一連のプロセスであり、単発の購入ではなく、ロードマップに基づく体系的な取り組みです。近代化されたSOCが最終的にどのような姿になるかは、また別の問題です。
繰り返し発生する要因――可視性の欠如、ツールの乱立、アラートの過剰発生、人員不足、および予定されているSIEMの移行――に注意を払ってください。2026年のSANS SOC調査では、サイバーセキュリティ担当者の24%が、SOCの有効性を阻む最大の障壁として「全社的な可視性の欠如」を挙げています。2つ以上の要因が同時に存在する場合、すでに問題の兆候が現れつつあると言えます。
これを、期限付きのプロジェクトではなく、継続的な複数年にわたるプログラムとして捉えてください。SANS 2025 SOC調査によると、SOCアーキテクチャの実際の変化は極めて緩やかであることが示されています。クラウドベースのSOCサービスの導入率は24.2%にとどまり、12か月以内に導入を計画しているのは29.0%でした。作業を段階的に進め、緩やかでありながらも累積的な進展を見込んでください。
どのベンダーの価格表を見てもその答えは見つかりません。検知速度と所有権がどれほどの価値を持つかを、この論拠の基盤に据える必要があります。ポネモン・インスティテュートの「2025年データ侵害のコスト」調査によると、侵害のライフサイクルが200日未満の場合の平均コストは387万ドルであるのに対し、200日を超える場合は501万ドルでした。ただし、何よりも重要なのは予算の可視性です。SOCスタッフの42%は、自組織のSOCの予算を把握していません(SANS 2025)。
SANS 2025 SOC調査によると、人員が十分に配置されたSOCの規模としては、2~10人が最も一般的であることが明らかになりました。これは、単なる人員数としてではなく、計画上の目安として捉えるべきです。実際の必要人員数は、対応範囲や運用モデル(24時間365日体制か営業時間内か、社内体制かSOC-as-a-serviceの活用か)に応じて変動します。
彼らはツールを購入するものの、ツールを機能させるための要素を軽視しています。SANS 2025 SOC 調査では、「ツールだけではこれらの問題は解決できない。解決するのは人である」と結論づけています。ツールは、完全に導入され、リソースが確保され、トレーニングが行われ、統合されて初めてその効果を発揮します。しかし、ツールを購入しただけで、他の4つの要素が実行されない場合、プログラムは行き詰まってしまいます。