Skip to content
Published on

AI SOC (セキュリティオペレーションセンター) 2026 完全ガイド - Splunk AI、Microsoft Security Copilot、Devo、LogRhythm、Sumo Logic、Elastic Security、IBM QRadar、Chronicle 徹底解説

🇰🇷KO🇺🇸EN🇯🇵JA
Split View필사 모드
Authors

はじめに — 2026年5月、SOCは「アナリスト不足とAIによるtier-1自動化」で再構築中

2020年代初頭、SOC(Security Operations Center)の最大の課題はアラート疲労とアナリストの燃え尽きだった。平均的なエンタープライズSOCは1日に1万件以上のアラートを受け取るが、人間が処理できるのは数百件にすぎなかった。2024年から本格化した生成AI導入は、その差を真正面から狙った。

2026年5月時点で、主要なSIEM・XDR・SOARベンダーはすべて自社のLLMベースアシスタントをGAリリースしている。Splunk AI Assistant、Microsoft Security Copilot、Elastic AI Assistant、CrowdStrike Charlotte AI、SentinelOne Purple AIがその例だ。本稿はマーケティング資料ではなく、「どのツールが2026年のSOCのどの位置に実際に収まっているのか」を率直に整理する。

SOC 2026の風景 — tier-1自動化、tier-2のAI補助、tier-3の人間中心

伝統的にSOCは3 tier構造だ。

  • Tier 1 — トリアージ(triage): アラート分類、誤検知除去、単純ケースのクローズ。
  • Tier 2 — 調査(investigation): マルチイベント相関、コンテキスト収集、エスカレーション判断。
  • Tier 3 — 脅威ハンティング、インシデント対応、フォレンジック。

2026年の変化ははっきりしている。Tier 1業務の60〜80%がAIとSOARで自動化され、Tier 2はAI補助プラス人間判断のコラボ構造に再編される。Tier 3は依然としてシニア中心のままだ。Gartnerの2025年分析によれば、AI導入の前後でMTTD/MTTRが平均40〜60%短縮されている。

SIEM市場の地形 — Splunk、Microsoft Sentinel、Chronicle、Elastic、IBM QRadarの再編

SIEM(Security Information & Event Management)はSOCの心臓だ。ログ収集、正規化、相関、アラートが一箇所で行われる。2026年5月時点で主要事業者は以下のように再編されている。

  • Splunk Enterprise Security + Splunk AI Assistant: 2024年3月にCiscoが280億ドルで買収完了。マネージド(Splunk Cloud)とセルフホストの両方が強い。AIアシスタントはSPL作成とアラート要約に特化。
  • Microsoft Sentinel + Security Copilot: Copilotは2024年4月にGA。SCU(Security Compute Unit)時間単位の課金モデル。Azure/M365のテレメトリと深く統合。
  • Google Chronicle + Gemini in Security Operations: Mandiant統合(2022年買収)が完了。ペタバイト規模の検索とGeminiドリブンの脅威インテリジェンスが差別化要因。
  • IBM QRadar SIEM: 2024年にIBMがPalo Alto Networksに売却。新規顧客はCortex XSIAMへの移行が推奨され、既存QRadar顧客は2027年までサポートを保証。
  • Elastic Security 8.x + Elastic AI Assistant: Elasticsearchの上に載ったSIEM。OSSベース+商用ML。
  • Sumo Logic Cloud SIEM: SaaSネイティブ。2023年にFrancisco Partnersが非公開化。
  • Devo Platform: 1年ホット+400日コールドが標準。長期保持コストで差別化。
  • LogRhythm Axon: LogRhythmとExabeamは2023年に事実上合併。Axonはクラウドネイティブのライン。
  • Exabeam Fusion: UEBA+SIEM。LogRhythm合併後も別SKUとして維持。
  • Rapid7 InsightIDR: SMBおよび中堅市場で強い。XDR/SOARとバンドル。
  • Securonix Next-Gen SIEM: Snowflake上に構築したSIEM。ビッグデータ分析を強調。

Gartner 2025マジッククアドラントのリーダーは、Splunk、Microsoft Sentinel、IBM QRadar(移行中)、Securonix、Exabeamの5社だ。

Splunk Enterprise Security + Splunk AI Assistant — Cisco時代のSIEM1位

Ciscoは2024年3月にSplunkを280億ドルで買収完了した。買収後も製品ラインは維持され、Ciscoのセキュリティデータ(Talos脅威インテリジェンス、Duo、Umbrella)との統合が着実に深まっている。

Splunk AI Assistant for Securityは2024年にGA。2025年のフォロー版で以下の機能が追加された。

  • 自然言語からSPL: 日本語・英語の自然言語クエリをSPLに変換。
  • アラート要約: マルチイベント相関を人間が読める要約に圧縮。
  • MITRE ATT&CK自動マッピング: アラートにATT&CK技法IDを付与。
  • プレイブック推薦: SOARへの転送用に応答ステップを推奨。

典型的なSPLクエリは以下のようになる。

index=windows EventCode=4625
| stats count by user, src_ip
| where count > 10
| eval risk_score=case(count > 50, "high", count > 20, "medium", true(), "low")
| sort -count

AIアシスタントに「過去1時間に同一IPから同一ユーザーへの失敗ログインが10回以上発生した事例」と日本語で問い合わせると、上記に近いSPLが生成される。ただし生成されたSPLは必ずレビューが必要だ。不正確なインデックス名や1つずれた時間ウィンドウは珍しくない。

Microsoft Sentinel + Security Copilot — SCU課金モデルとM365統合

Microsoft SentinelはAzureネイティブのSIEMだ。Log Analyticsの上に載っているため、GB単位の取り込み料金とSentinel分析料金が別建てで課金される。Security Copilotは2024年4月にGAし、SCU(Security Compute Unit)時間単位で課金される。

2026年5月時点のSecurity Copilotの主な機能は以下のとおりだ。

  • インシデント要約: Sentinel、Defender XDR、Intuneのアラートを自然言語で要約。
  • 自然言語からKQL: Kusto Query Languageをプレーンな言葉から生成。
  • 脅威インテリジェンス補強: Defender Threat Intelligenceと結合した外部コンテキスト。
  • スクリプト分析: 疑わしいPowerShellやバッチスクリプトを意図ベースで説明。
  • サプライチェーン影響分析: CVE脆弱性の影響範囲を自動評価。

代表的なKQLクエリは以下のようになる。

SigninLogs
| where TimeGenerated > ago(1h)
| where ResultType != 0
| summarize FailedCount = count() by UserPrincipalName, IPAddress
| where FailedCount > 10
| order by FailedCount desc

SentinelはAzure/M365のテレメトリ(Entra ID、Defender for Endpoint、Office 365、Intune)が中心の環境では他の追随を許さない。マルチクラウドやオンプレミスの比重が大きいなら、SplunkまたはChronicleが合理的だ。

Google Chronicle + Gemini in Security Operations — Mandiant買収の果実

Google ChronicleはMandiant(2022年54億ドル買収)統合を完了し、Chronicle Security Operationsとしてリブランドされた。2024年からはGeminiモデルが組み込まれ、Gemini in Security Operationsとして提供されている。

特徴は以下のとおりだ。

  • ペタバイト規模の検索: BigQuery上のインデックスにより、1年分のログを秒単位で検索可能。
  • 定額課金: GB単位ではなくノード単位の課金が差別点。
  • Mandiant脅威インテリジェンスを標準搭載: 侵害指標(IOC)や脅威アクターのプロファイルが1級市民。
  • UDM(Unified Data Model): 多様なログ形式を正規化した標準スキーマ。
  • Geminiによる補助: YARA-Lルール作成、アラート要約、脅威ハンティングクエリの自動生成。

YARA-Lルールは以下のような形だ。

rule suspicious_lateral_movement {
  meta:
    author = "soc-team"
    severity = "High"
  events:
    $login.metadata.event_type = "USER_LOGIN"
    $login.principal.user.userid = $user
    $login.principal.ip = $src_ip
    $rdp.metadata.event_type = "NETWORK_CONNECTION"
    $rdp.network.application_protocol = "RDP"
    $rdp.principal.user.userid = $user
    $rdp.principal.ip = $src_ip
    $login.metadata.event_timestamp.seconds < $rdp.metadata.event_timestamp.seconds
  match:
    $user, $src_ip over 1h
  condition:
    $login and $rdp
}

Chronicleの強みは長期保持のコストだ。1年分の検索可能なログを保持するコストはSplunkやSentinelよりも大きく低い。弱点はGCP外のマネージド環境とのデータ統合が相対的に薄いことだ。

IBM QRadarからPalo Alto Cortex XSIAMへ — 2024年売却後の移行

2024年5月、IBMはQRadar SaaS資産をPalo Alto Networksに売却した。発表後、新規顧客はCortex XSIAMへの移行が推奨され、既存QRadar顧客は2027年までサポートが保証される。

Cortex XSIAMはPalo AltoのAIドリブンSOCプラットフォームだ。従来別製品だったCortex XDR(エンドポイント)、SIEM、SOAR、UEBA、ITDR(Identity Threat Detection & Response)を一本に束ねている。

  • データ取り込み: 自前のデータレイク。GB単位ではなく資産(asset)単位のライセンス。
  • AI自動化: マーケティング表現では約75%のアラートが自動クローズされるとされる。実数は環境による。
  • Auto-Analyst: アラートごとに自動調査レポートを生成。
  • MITRE ATT&CKマッピング: 自動。
  • 統合SOAR: 別ツールなしでレスポンス自動化が可能。

旧QRadar AQLクエリは以下のようなものだ。

SELECT sourceip, destinationip, COUNT(*) AS cnt
FROM events
WHERE category = 8001
AND LOGSOURCETYPENAME(logsourceid) = 'Microsoft Windows Security Event Log'
AND starttime > NOW() - INTERVAL '1' HOUR
GROUP BY sourceip, destinationip
HAVING COUNT(*) > 100
ORDER BY cnt DESC

QRadarからXSIAMへの移行は大規模な作業だ。ルールセット、パーサ、ダッシュボードを作り直す必要がある。Palo Altoは移行ツールを提供しているが、実際の移行には通常6〜12か月かかる。

Elastic Security + Elastic AI Assistant — オープンスタックSIEMの標準

Elastic SecurityはElasticsearch、Kibana、Beatsの上に載せたSIEMだ。Elastic Cloud(マネージド)とセルフホスト両方が選択可能で、コアがOSSベースであることからライセンスコストが相対的に低い。

2025年に導入されたElastic AI Assistant for Securityは以下の機能を提供する。

  • ES|QL/KQL生成: Elastic Query Languageを自然言語から変換。
  • アラートトリアージ補助: アラートページでLLMが「真陽性か誤検知か」を評価。
  • Attack Discovery: 複数アラートをまとめて攻撃シナリオに再構成。
  • 外部モデル接続: OpenAI、Bedrock、Azure OpenAIを利用者のキーで接続可能。データ主権を維持。

ES|QLの例は以下のとおりだ。

FROM logs-windows.security-*
| WHERE event.code == "4625"
| STATS count = COUNT(*) BY user.name, source.ip
| WHERE count > 10
| SORT count DESC
| LIMIT 50

Elasticの強みはセルフホスト選択肢と価格の透明性だ。弱点はElasticsearchとKubernetesの運用コストを自社で背負う必要があることだ。

Sumo Logic・Devo・LogRhythm・Securonix — 中堅SIEMラインアップ

リーダーグループの外側でも、中堅市場で意味のあるSIEMは複数ある。

  • Sumo Logic Cloud SIEM: SaaSネイティブ。AWS/Azure/GCPログの取り込みに強み。Francisco Partners買収後もR&D投資を継続。
  • Devo Platform: 1年ホット+400日コールドを基本料金に含む。長期保持コストに敏感な環境で人気。
  • LogRhythm Axon: クラウドネイティブライン。2023年のExabeam合併後も2ライン共存。
  • Securonix Next-Gen SIEM: Snowflakeデータクラウド上にSIEMを構築。行動分析を強調。

これらはGartnerリーダーではないが、特定の環境(データ保持コスト、クラウド比重、マルチテナントMSSP)で合理的な選択肢だ。

XDR — CrowdStrike Falcon、SentinelOne、Microsoft Defender、Cortexの4強構造

XDR(Extended Detection & Response)はエンドポイント、ネットワーク、クラウド、メール、アイデンティティを一箇所で見る。SIEMと領域が重なるが、事前定義された検出、自動応答、軽量ロギングに最適化されている。

2026年5月の4強構造は以下のとおりだ。

  • CrowdStrike Falcon + Charlotte AI: 事実上のエンドポイント1位。2024年7月のグローバルBSOD事故にもかかわらずシェアは回復。
  • SentinelOne Singularity + Purple AI: 2番手。AI応答自動化で差別化。
  • Microsoft Defender XDR: エンドポイント(Defender for Endpoint)、アイデンティティ(Defender for Identity)、メール(Defender for O365)、クラウド(Defender for Cloud)を統合。
  • Palo Alto Cortex XDR/XSIAM: エンドポイント+ネットワーク+クラウド。XSIAMはXDR+SIEM+SOAR統合ライン。

さらにTrend Micro Vision OneとCybereason XDRも意味のあるシェアを持つ。

CrowdStrike Charlotte AI — 自然言語の脅威ハンティング

CrowdStrikeは2023年のRSAでCharlotte AIを発表し、2024年にGAした。名前は1989年に最初に発見されたワークステーションウイルスにちなんでいる。

  • 自然言語クエリ: 「過去24時間で珍しいPowerShellの実行があったか」と問うとそのまま結果が返る。
  • トリアージ自動化: アラートに対するリスクを自動評価。
  • 脅威インテリジェンス補強: CrowdStrike Falcon Intelligenceと結合。
  • Threat Graph統合: ペタバイト規模のイベントグラフに自然言語でアクセス。

Falcon Query Language(FQL)の例は以下のとおりだ。

ProcessRollup2
| where FileName == "powershell.exe"
| where CommandLine contains "-EncodedCommand"
| limit 100

CrowdStrikeの強みはシェアとイベントグラフの規模だ。全顧客環境から入る脅威シグナルが1つのグラフに集まる効果で、新興脅威の検出が速い。

SentinelOne Purple AI — 自律SOCのビジョン

SentinelOneのPurple AIはCharlotteと同じ位置を争う。差別化ポイントは自律SOC(Autonomous SOC)のビジョンだ。

  • 自然言語の脅威ハンティング: 日本語・英語の自然言語クエリに対応。
  • ハイパー自動化応答: アラート、調査、隔離、報告までを自動化。
  • モデル選択権: OpenAI、Anthropic、自社モデルをオプションで提供。
  • データレイク: Singularity Data Lake上で稼働。

SentinelOneは自動応答の積極性に振っている。トレードオフは誤検知時の影響範囲が大きいことで、自動隔離ポリシーは段階的に導入する必要がある。

SOAR市場 — Splunk SOAR、Cortex XSOAR、Tines、Torq、Swimlane

SOAR(Security Orchestration, Automation & Response)はSIEMやXDRからのアラートを受け取り、プレイブックで自動応答する。2026年5月の主要事業者は以下のとおりだ。

  • Splunk SOAR(旧Phantom): Splunk買収後、Ciscoセキュリティラインの自動化コア。
  • Palo Alto Cortex XSOAR(旧Demisto): 2019年にPalo Altoが5.6億ドルで買収。プレイブックマーケットプレースが最大。
  • Tines: ダブリン発。ノーコードSOARの旗手。UXが差別化。
  • Torq: クラウドネイティブSOAR。イスラエル発。
  • Swimlane: ローコードSOAR+AI補助。
  • D3 Security: ライフサイクル管理を強調。
  • IBM Resilient(旧Resilient Systems): QRadarのPalo Alto移行に伴う将来は再評価中。

Tinesのプレイブック(YAML風のアクション流)は以下のようなものだ。

name: Phishing Triage
trigger:
  type: webhook
  source: email_gateway
actions:
  - name: Extract URLs
    type: regex
    pattern: 'https?://[\\w./-]+'
  - name: VirusTotal Lookup
    type: http_request
    method: GET
    url: 'https://www.virustotal.com/api/v3/urls/$URL_HASH'
    headers:
      x-apikey: '$VT_API_KEY'
  - name: Update Ticket
    type: jira_create
    project: SOC
    summary: 'Phishing alert from $EMAIL_FROM'

SOAR選定基準はデータ出所と運用モデルだ。Splunk/Sentinel中心の環境はSplunk SOARやSentinel Automationで十分で、マルチプラットフォーム環境はTines/Torqのような独立SOARが合理的だ。

脅威インテリジェンス — Recorded Future、Mandiant、Anomali、MISP

脅威インテリジェンスは外部の脅威シグナルをSOCに供給するレイヤーだ。主要事業者は以下のとおりだ。

  • Recorded Future + AI Insights: 売上ベース1位。多言語OSINTとダークウェブ収集。
  • Mandiant Advantage: 2022年にGoogleが54億ドルで買収。Chronicleと統合。
  • Anomali ThreatStream: 脅威インテリジェンスプラットフォーム(TIP)。マルチソース集約と正規化。
  • ThreatConnect: TIP+SOAR統合ライン。
  • CrowdStrike Falcon Intelligence: Falconとバンドル。
  • Microsoft Defender Threat Intelligence: SentinelおよびDefenderとバンドル。
  • MISP(Malware Information Sharing Platform): オープンソース。EUおよび公共部門の標準。

MISPイベントをSTIX 2.xで表現すると以下のようになる。

{
  "type": "indicator",
  "id": "indicator--abcd1234-...",
  "created": "2026-05-15T12:00:00.000Z",
  "modified": "2026-05-15T12:00:00.000Z",
  "name": "Malicious URL",
  "indicator_types": ["malicious-activity"],
  "pattern": "[url:value = 'http://evil.example.com/payload']",
  "pattern_type": "stix",
  "valid_from": "2026-05-15T12:00:00.000Z"
}

実務では商用1本(Recorded FutureまたはMandiant)+MISPの組み合わせが最も一般的だ。

EDR — エンドポイントの最終防衛線

EDR(Endpoint Detection & Response)はワークステーションやサーバから直接観測する。XDRの中核データソースでもある。

  • CrowdStrike Falcon: シェア1位。軽量エージェントとクラウドベース分析。
  • SentinelOne Singularity: エンドポイントとクラウドワークロード。
  • Microsoft Defender for Endpoint: M365ライセンスに含まれることがある。Windows環境で最も深く統合。
  • Sophos Intercept X: 中小企業市場で強い。
  • VMware Carbon Black: 2019年VMware買収、2024年Broadcom買収後にラインアップ整理中。
  • Cybereason Defense Platform: ソフトバンク資本。日本市場で強い。
  • Trend Micro Apex One: 本社が日本の事業者によるグローバルEDR製品。

エンタープライズは単一EDR標準化が通常だ。Windows、macOS、Linux、コンテナまでを同一エージェントで扱う圧力が強く、マルチEDRは運用負荷が大きい。

UEBA — Exabeam、Securonix、Splunk UBA、Defender for Identity

UEBA(User and Entity Behavior Analytics)はユーザーやエンティティの平常時の挙動から逸脱した外れ値を検出する。内部脅威、アカウント乗っ取り、特権濫用の検出に強い。

  • Exabeam Fusion: UEBA市場の初期リーダー。Smart Timelineが差別化要因。
  • Securonix UEBA: SIEMと統合。Snowflake上のビッグデータ分析。
  • Splunk User Behavior Analytics(UBA): Splunkと結合。機械学習中心。
  • Microsoft Defender for Identity(旧Azure ATP): オンプレADシグナルを分析。SentinelやDefender XDRと統合。

UEBAの肝はベースライン学習だ。平常時の行動モデルを構築し、それからの逸脱を検出する。弱点はセットアップコストと誤検知の多さで、独立したUEBAツールよりもSIEM統合UEBAが現実的選択肢として伸びている。

クラウドネイティブSOC — Panther、Hunters、Anvilogic、Vectra AI

新興のクラウドネイティブセキュリティプラットフォームも急速にシェアを取りつつある。

  • Panther Labs: コードファースト(detection-as-code)SIEM。検知ルールをPythonで記述。Snowflake/Athenaバックエンド。
  • Hunters AI SOC Platform: AIファースト。アラートトリアージをLLMが処理。
  • Anvilogic: 複数SIEMの上に載せたメタセキュリティプラットフォーム。Snowflake/Splunk/Sentinelを同一インターフェースで。
  • Vectra AI: NDR(Network Detection & Response)+AI。メタデータベースのネットワーク分析。

この4社の共通点はAIファースト、クラウドネイティブ、価格透明性だ。Gartnerリーダーではまだないが、新規SOCをゼロから設計する際に意味のある候補だ。

Pantherの検知ルール(Python)は以下のようになる。

from panther_base_helpers import deep_get

def rule(event):
    return (
        event.get("eventName") == "ConsoleLogin"
        and deep_get(event, "responseElements", "ConsoleLogin") == "Failure"
        and deep_get(event, "additionalEventData", "MFAUsed") == "No"
    )

def title(event):
    user = deep_get(event, "userIdentity", "arn", default="unknown")
    return f"AWS Console login failure without MFA: {user}"

def severity(event):
    return "MEDIUM"

オープンソースSOCスタック — Wazuh、TheHive、MISP、OpenSearch、Suricata

ライセンス予算が厳しい、あるいはフルコントロールが必要な場合、オープンソーススタックは依然として強力だ。

  • Wazuh: OSSEC由来のオープンソースSIEM/XDR。無料+マネージドオプション。
  • TheHive + Cortex: インシデント対応(IR)ケース管理+アナライザ自動化。
  • MISP: 脅威インテリジェンス共有プラットフォーム。
  • OpenSearch + OpenSearch Security: Elasticsearch 7.10 OSSのフォーク。AWS主導。
  • SuricataとZeek: NIDS(Network Intrusion Detection System)。パケット解析。
  • Velociraptor: デジタルフォレンジック+インシデント対応ツール。無料+Rapid7マネージド。
  • OSSEC: ホストベースIDSの元祖。Wazuhの母体。

一般的なオープンソース組み合わせは、Wazuh(SIEM/HIDS)、Suricata(NIDS)、TheHive(IR)、MISP(脅威インテリジェンス)、OpenSearch(保管)の5本柱だ。運用要員2〜3名は必要だが、ライセンスコストはほぼゼロになる。

AI活用シナリオ — SOCがLLMを実際にどこに使っているか

マーケティングを取り除いて、2026年5月時点でSOCがLLMやAIを実際に意味あるかたちで使っている領域は次の6つだ。

  1. アラートトリアージと誤検知除去: アラートコンテキストと資産情報を束ねた自動分類。
  2. 自然言語の脅威ハンティング: KQL/SPL/YARA-Lを自然言語から生成。
  3. インシデント要約レポート: 30件のアラート+100件のイベントを人間が読める1ページに圧縮。
  4. プレイブック自動生成: 新規アラート種別への応答ステップを下書き。
  5. フィッシングメール分析: 本文、ヘッダ、添付、URLを束ねた意図評価。
  6. マルウェアのリバースエンジニアリング補助: 逆アセンブルされたコードやスクリプトの自然言語による説明。

最も導入失敗が多いのは自動応答(自動ブロックや自動隔離)だ。LLMの誤検知がそのまま運用影響につながるため、自動応答は段階的かつ保守的に導入するのが定石だ。

MITRE ATT&CKとD3FEND — SOC標準フレームワーク

MITRE ATT&CKは攻撃者の戦術(Tactic)、技法(Technique)、手順(Procedure)の標準カタログだ。2026年5月時点ではv16が最新で、Enterprise/Mobile/ICSマトリクスが存在する。

  • Tactic: 14の大分類。Initial Access、Execution、Persistenceなど。
  • Technique: 約200項目。T1078(有効なアカウント)、T1059(コマンドとスクリプティングインタプリタ)など。
  • Sub-Technique: さらに細分化。

D3FENDはATT&CKの防御側カウンターパートで、防御技法(Harden、Detect、Isolate、Deceive、Evict)を標準化する。

ほぼすべてのモダンなSIEM/XDR/SOARはアラートをMITRE ATT&CK技法IDで自動ラベリングする。脅威ハンティング、セキュリティ報告、ギャップ分析の共通言語として使われる。

韓国のSOC — AhnLab、SK쉴더스、이글루코퍼레이션、NSHC

韓国のSOC市場は国産事業者とグローバルSIEMの共存が特徴だ。主要事業者は以下のとおりだ。

  • AhnLab MDS(Magic Detection System): 韓国SOCソリューションの首位。APT検出に特化。V3エンドポイントと並売。
  • SK쉴더스(SK Shieldus)MSS: 韓国最大のマネージドセキュリティサービス。自前のSOCとグローバルSIEMを運用。
  • KT Telecop: KTのセキュリティ事業部。通信社バックボーン上のセキュリティサービス。
  • LG U+ U+클라우드セキュリティ: クラウド+セキュリティのバンドル提供。
  • 이글루코퍼레이션(Igloo)SPiDER TM: 国産SIEMソリューション。公共部門で強い。
  • NSHC: 脅威インテリジェンス+DFIRコンサルティング。
  • Wins: 国産NGFW、IPS、DDoSライン。

規制面ではISMS-P(個人情報保護管理体系認証)がSOC運用の事実上の標準だ。公共・金融分野はほぼすべての事業者にISMS-P義務が課される。2024年の個人情報保護法改正以降、侵害事故の72時間報告義務も強化された。

韓国型SOCの実務パターンは、AhnLab MDS+グローバルSIEM(Splunk/Sentinel)+SK쉴더스マネージドの組み合わせが最も一般的だ。

日本のSOC — NRI Secure、NTTコムセキュリティ、LAC、日立、Cybereason Japan

日本のSOC市場も国内事業者の強さとグローバルソリューションの共存というパターンだ。

  • NRI Secure: 野村総合研究所のセキュリティ子会社。マネージドSOC+コンサルティング。金融首位。
  • NTTコミュニケーションズセキュリティ: NTTグループのセキュリティ事業部。グローバル網規模のセキュリティ。
  • LAC: 日本SOCの事実上の標準。JSOCという自社マネージドSOC。
  • 日立ソリューションズ: セキュリティコンサルティング+マネージド。
  • Cybereason Japan: ソフトバンク資本。日本のEDR市場で強い。
  • トレンドマイクロ: 本社が日本。Vision One XDR。
  • マクニカ: セキュリティディストリビュータ+自社マネージド。

規制面では個人情報保護法(2022年改正)とNISCサイバーセキュリティ戦略がSOC運用の基準だ。金融分野ではFISC安全対策基準も適用される。

日本型SOCの一般的なパターンは、LAC JSOCまたはNRI Secureマネージド+グローバルSIEM/EDR+CybereasonまたはTrend Micro EDRの組み合わせだ。

コンプライアンス — ISO 27001、SOC 2、NIST CSF 2.0、ISMS-P、個人情報保護法

SOCは単純な検出だけでなくコンプライアンス証跡の生成も担う。2026年5月時点のグローバル標準は以下のとおりだ。

  • ISO 27001:2022: 情報セキュリティマネジメントシステム(ISMS)標準。2022年改訂でコントロール数は114から93に整理。
  • SOC 2(Service Organization Control 2): 米国AICPA標準。SaaS事業者にとって事実上の必須。
  • NIST CSF 2.0: 2024年2月に2.0を発表。Govern関数の追加で6関数(Govern/Identify/Protect/Detect/Respond/Recover)構造に。
  • PCI DSS 4.0: クレジットカード処理標準。2024年3月までに移行義務。
  • GDPR: EUの個人データ保護。72時間の侵害通報義務。
  • HIPAA: 米国の医療情報保護。
  • ISMS-P: 韓国。情報保護と個人情報管理の統合認証。
  • 個人情報保護法: 日本。2022年改正で侵害通報と影響評価の義務を強化。

コンプライアンス報告はSOCの主要なアウトプットなので、すべての主要SIEMはISO 27001、PCI DSS、GDPRのダッシュボードを内蔵している。証跡の自動収集とレポート自動生成は、意外にも2026年のAI導入で最も大きな成果が出ている領域の1つだ。

導入ロードマップ — 「どこから着手するか」の率直なガイド

すべてのレイヤーを一度に導入しようとすると90%は失敗する。現実的な導入順は以下のとおりだ。

  1. EDRの単一標準化: CrowdStrike、Microsoft Defender for Endpoint、SentinelOneのいずれか。約1か月。
  2. SIEM 1本を導入: Splunk、Sentinel、Chronicleのいずれか。セルフホスト要件とクラウド比重で選定。約3か月。
  3. 脅威インテリジェンス1本+MISP: Recorded FutureまたはMandiant+MISP。約1か月。
  4. SOAR導入: 最頻出の5種類のアラート種別からプレイブック化。3〜6か月。
  5. AIアシスタント有効化: SIEM内蔵アシスタント(Splunk AI/Security Copilot)、または外部モデルキー接続。約1か月。
  6. MITRE ATT&CKマッピングとギャップ分析: 四半期ごとにレビュー。継続。
  7. 自動応答は最後: 誤検知時の影響が小さい種別(IPブロック、ユーザーロックの時限化)から段階的に。

8本すべてを一気に導入すれば、運用要員の燃え尽きとアラート飽和がほぼ確実に発生する。1レイヤーずつ、安定化してから次へ。

おわりに — 2026年5月、SOCは「AI補助と人間判断」のコラボ構造に落ち着く

本稿の結論は明確だ。AIはSOCのトリアージ自動化と自然言語インターフェースの2つの位置に安定して定着した。自律SOCという表現はマーケティングであり、実際にはTier 1の60〜80%が自動化され、Tier 2と3は人間とAIのコラボとして再編されるという流れだ。

ツール選定の定石は依然としてシンプルだ。データのある場所を追え。M365が中心ならSentinel、マルチクラウドとオンプレが大きいならSplunkまたはChronicle、GCP中心ならChronicle、オープンスタックを志向するならElasticまたはWazuhだ。

そして最も重要なのは人間の運用モデルだ。AIはアナリストを置き換えるのではなく、アナリストの仕事を変える。Tier 1の単純トリアージは減るが、AI出力の検証、プレイブックのキュレーション、ルールセットの管理、脅威ハンティングといったより高付加価値の業務は増える。2026年のSOC採用市場はそれをそのまま反映している。

References

Discuss on TwitterView on GitHub