Chaos and Order

💡 왼쪽 원문을 읽으면서 오른쪽에 따라 써보세요. Tab 키로 힌트를 받을 수 있습니다.

원문 렌더가 준비되기 전까지 텍스트 가이드로 표시합니다.

はじめに — 2026年5月、SOCは「アナリスト不足とAIによるtier-1自動化」で再構築中

2020年代初頭、SOC(Security Operations Center)の最大の課題はアラート疲労とアナリストの燃え尽きだった。平均的なエンタープライズSOCは1日に1万件以上のアラートを受け取るが、人間が処理できるのは数百件にすぎなかった。2024年から本格化した生成AI導入は、その差を真正面から狙った。

2026年5月時点で、主要なSIEM・XDR・SOARベンダーはすべて自社のLLMベースアシスタントをGAリリースしている。Splunk AI Assistant、Microsoft Security Copilot、Elastic AI Assistant、CrowdStrike Charlotte AI、SentinelOne Purple AIがその例だ。本稿はマーケティング資料ではなく、「どのツールが2026年のSOCのどの位置に実際に収まっているのか」を率直に整理する。

SOC 2026の風景 — tier-1自動化、tier-2のAI補助、tier-3の人間中心

伝統的にSOCは3 tier構造だ。

- **Tier 1 — トリアージ(triage)**: アラート分類、誤検知除去、単純ケースのクローズ。

- **Tier 2 — 調査(investigation)**: マルチイベント相関、コンテキスト収集、エスカレーション判断。

- **Tier 3 — 脅威ハンティング、インシデント対応、フォレンジック。**

2026年の変化ははっきりしている。Tier 1業務の60〜80%がAIとSOARで自動化され、Tier 2はAI補助プラス人間判断のコラボ構造に再編される。Tier 3は依然としてシニア中心のままだ。Gartnerの2025年分析によれば、AI導入の前後でMTTD/MTTRが平均40〜60%短縮されている。

SIEM市場の地形 — Splunk、Microsoft Sentinel、Chronicle、Elastic、IBM QRadarの再編

SIEM(Security Information & Event Management)はSOCの心臓だ。ログ収集、正規化、相関、アラートが一箇所で行われる。2026年5月時点で主要事業者は以下のように再編されている。

- **Splunk Enterprise Security + Splunk AI Assistant**: 2024年3月にCiscoが280億ドルで買収完了。マネージド(Splunk Cloud)とセルフホストの両方が強い。AIアシスタントはSPL作成とアラート要約に特化。

- **Microsoft Sentinel + Security Copilot**: Copilotは2024年4月にGA。SCU(Security Compute Unit)時間単位の課金モデル。Azure/M365のテレメトリと深く統合。

- **Google Chronicle + Gemini in Security Operations**: Mandiant統合(2022年買収)が完了。ペタバイト規模の検索とGeminiドリブンの脅威インテリジェンスが差別化要因。

- **IBM QRadar SIEM**: 2024年にIBMがPalo Alto Networksに売却。新規顧客はCortex XSIAMへの移行が推奨され、既存QRadar顧客は2027年までサポートを保証。

- **Elastic Security 8.x + Elastic AI Assistant**: Elasticsearchの上に載ったSIEM。OSSベース+商用ML。

- **Sumo Logic Cloud SIEM**: SaaSネイティブ。2023年にFrancisco Partnersが非公開化。

- **Devo Platform**: 1年ホット+400日コールドが標準。長期保持コストで差別化。

- **LogRhythm Axon**: LogRhythmとExabeamは2023年に事実上合併。Axonはクラウドネイティブのライン。

- **Exabeam Fusion**: UEBA+SIEM。LogRhythm合併後も別SKUとして維持。

- **Rapid7 InsightIDR**: SMBおよび中堅市場で強い。XDR/SOARとバンドル。

- **Securonix Next-Gen SIEM**: Snowflake上に構築したSIEM。ビッグデータ分析を強調。

Gartner 2025マジッククアドラントのリーダーは、Splunk、Microsoft Sentinel、IBM QRadar(移行中)、Securonix、Exabeamの5社だ。

Splunk Enterprise Security + Splunk AI Assistant — Cisco時代のSIEM1位

Ciscoは2024年3月にSplunkを280億ドルで買収完了した。買収後も製品ラインは維持され、Ciscoのセキュリティデータ(Talos脅威インテリジェンス、Duo、Umbrella)との統合が着実に深まっている。

Splunk AI Assistant for Securityは2024年にGA。2025年のフォロー版で以下の機能が追加された。

- **自然言語からSPL**: 日本語・英語の自然言語クエリをSPLに変換。

- **アラート要約**: マルチイベント相関を人間が読める要約に圧縮。

- **MITRE ATT&CK自動マッピング**: アラートにATT&CK技法IDを付与。

- **プレイブック推薦**: SOARへの転送用に応答ステップを推奨。

典型的なSPLクエリは以下のようになる。

index=windows EventCode=4625

| stats count by user, src_ip

| where count > 10

| eval risk_score=case(count > 50, "high", count > 20, "medium", true(), "low")

| sort -count

AIアシスタントに「過去1時間に同一IPから同一ユーザーへの失敗ログインが10回以上発生した事例」と日本語で問い合わせると、上記に近いSPLが生成される。ただし生成されたSPLは必ずレビューが必要だ。不正確なインデックス名や1つずれた時間ウィンドウは珍しくない。

Microsoft Sentinel + Security Copilot — SCU課金モデルとM365統合

Microsoft SentinelはAzureネイティブのSIEMだ。Log Analyticsの上に載っているため、GB単位の取り込み料金とSentinel分析料金が別建てで課金される。Security Copilotは2024年4月にGAし、SCU(Security Compute Unit)時間単位で課金される。

2026年5月時点のSecurity Copilotの主な機能は以下のとおりだ。

- **インシデント要約**: Sentinel、Defender XDR、Intuneのアラートを自然言語で要約。

- **自然言語からKQL**: Kusto Query Languageをプレーンな言葉から生成。

- **脅威インテリジェンス補強**: Defender Threat Intelligenceと結合した外部コンテキスト。

- **スクリプト分析**: 疑わしいPowerShellやバッチスクリプトを意図ベースで説明。

- **サプライチェーン影響分析**: CVE脆弱性の影響範囲を自動評価。

代表的なKQLクエリは以下のようになる。

SigninLogs

| where TimeGenerated > ago(1h)

| where ResultType != 0

| summarize FailedCount = count() by UserPrincipalName, IPAddress

| where FailedCount > 10

| order by FailedCount desc

SentinelはAzure/M365のテレメトリ(Entra ID、Defender for Endpoint、Office 365、Intune)が中心の環境では他の追随を許さない。マルチクラウドやオンプレミスの比重が大きいなら、SplunkまたはChronicleが合理的だ。

Google Chronicle + Gemini in Security Operations — Mandiant買収の果実

Google ChronicleはMandiant(2022年54億ドル買収)統合を完了し、Chronicle Security Operationsとしてリブランドされた。2024年からはGeminiモデルが組み込まれ、Gemini in Security Operationsとして提供されている。

特徴は以下のとおりだ。

- **ペタバイト規模の検索**: BigQuery上のインデックスにより、1年分のログを秒単位で検索可能。

- **定額課金**: GB単位ではなくノード単位の課金が差別点。

- **Mandiant脅威インテリジェンスを標準搭載**: 侵害指標(IOC)や脅威アクターのプロファイルが1級市民。

- **UDM(Unified Data Model)**: 多様なログ形式を正規化した標準スキーマ。

- **Geminiによる補助**: YARA-Lルール作成、アラート要約、脅威ハンティングクエリの自動生成。

YARA-Lルールは以下のような形だ。

rule suspicious_lateral_movement {

meta:

author = "soc-team"

severity = "High"

events:

$login.metadata.event_type = "USER_LOGIN"

$login.principal.user.userid = $user

$login.principal.ip = $src_ip

$rdp.metadata.event_type = "NETWORK_CONNECTION"

$rdp.network.application_protocol = "RDP"

$rdp.principal.user.userid = $user

$rdp.principal.ip = $src_ip

$login.metadata.event_timestamp.seconds < $rdp.metadata.event_timestamp.seconds

match:

$user, $src_ip over 1h

condition:

$login and $rdp

}

Chronicleの強みは長期保持のコストだ。1年分の検索可能なログを保持するコストはSplunkやSentinelよりも大きく低い。弱点はGCP外のマネージド環境とのデータ統合が相対的に薄いことだ。

IBM QRadarからPalo Alto Cortex XSIAMへ — 2024年売却後の移行

2024年5月、IBMはQRadar SaaS資産をPalo Alto Networksに売却した。発表後、新規顧客はCortex XSIAMへの移行が推奨され、既存QRadar顧客は2027年までサポートが保証される。

Cortex XSIAMはPalo AltoのAIドリブンSOCプラットフォームだ。従来別製品だったCortex XDR(エンドポイント)、SIEM、SOAR、UEBA、ITDR(Identity Threat Detection & Response)を一本に束ねている。

- **データ取り込み**: 自前のデータレイク。GB単位ではなく資産(asset)単位のライセンス。

- **AI自動化**: マーケティング表現では約75%のアラートが自動クローズされるとされる。実数は環境による。

- **Auto-Analyst**: アラートごとに自動調査レポートを生成。

- **MITRE ATT&CKマッピング**: 自動。

- **統合SOAR**: 別ツールなしでレスポンス自動化が可能。

旧QRadar AQLクエリは以下のようなものだ。

SELECT sourceip, destinationip, COUNT(*) AS cnt

FROM events

WHERE category = 8001

AND LOGSOURCETYPENAME(logsourceid) = 'Microsoft Windows Security Event Log'

AND starttime > NOW() - INTERVAL '1' HOUR

GROUP BY sourceip, destinationip

HAVING COUNT(*) > 100

ORDER BY cnt DESC

QRadarからXSIAMへの移行は大規模な作業だ。ルールセット、パーサ、ダッシュボードを作り直す必要がある。Palo Altoは移行ツールを提供しているが、実際の移行には通常6〜12か月かかる。

Elastic Security + Elastic AI Assistant — オープンスタックSIEMの標準

Elastic SecurityはElasticsearch、Kibana、Beatsの上に載せたSIEMだ。Elastic Cloud(マネージド)とセルフホスト両方が選択可能で、コアがOSSベースであることからライセンスコストが相対的に低い。

2025年に導入されたElastic AI Assistant for Securityは以下の機能を提供する。

- **ES|QL/KQL生成**: Elastic Query Languageを自然言語から変換。

- **アラートトリアージ補助**: アラートページでLLMが「真陽性か誤検知か」を評価。

- **Attack Discovery**: 複数アラートをまとめて攻撃シナリオに再構成。

- **外部モデル接続**: OpenAI、Bedrock、Azure OpenAIを利用者のキーで接続可能。データ主権を維持。

ES|QLの例は以下のとおりだ。

FROM logs-windows.security-*

| WHERE event.code == "4625"

| STATS count = COUNT(*) BY user.name, source.ip

| WHERE count > 10

| SORT count DESC

| LIMIT 50

Elasticの強みはセルフホスト選択肢と価格の透明性だ。弱点はElasticsearchとKubernetesの運用コストを自社で背負う必要があることだ。

Sumo Logic・Devo・LogRhythm・Securonix — 中堅SIEMラインアップ

リーダーグループの外側でも、中堅市場で意味のあるSIEMは複数ある。

- **Sumo Logic Cloud SIEM**: SaaSネイティブ。AWS/Azure/GCPログの取り込みに強み。Francisco Partners買収後もR&D投資を継続。

- **Devo Platform**: 1年ホット+400日コールドを基本料金に含む。長期保持コストに敏感な環境で人気。

- **LogRhythm Axon**: クラウドネイティブライン。2023年のExabeam合併後も2ライン共存。

- **Securonix Next-Gen SIEM**: Snowflakeデータクラウド上にSIEMを構築。行動分析を強調。

これらはGartnerリーダーではないが、特定の環境(データ保持コスト、クラウド比重、マルチテナントMSSP)で合理的な選択肢だ。

XDR — CrowdStrike Falcon、SentinelOne、Microsoft Defender、Cortexの4強構造

XDR(Extended Detection & Response)はエンドポイント、ネットワーク、クラウド、メール、アイデンティティを一箇所で見る。SIEMと領域が重なるが、事前定義された検出、自動応答、軽量ロギングに最適化されている。

2026年5月の4強構造は以下のとおりだ。

- **CrowdStrike Falcon + Charlotte AI**: 事実上のエンドポイント1位。2024年7月のグローバルBSOD事故にもかかわらずシェアは回復。

- **SentinelOne Singularity + Purple AI**: 2番手。AI応答自動化で差別化。

- **Microsoft Defender XDR**: エンドポイント(Defender for Endpoint)、アイデンティティ(Defender for Identity)、メール(Defender for O365)、クラウド(Defender for Cloud)を統合。

- **Palo Alto Cortex XDR/XSIAM**: エンドポイント+ネットワーク+クラウド。XSIAMはXDR+SIEM+SOAR統合ライン。

さらにTrend Micro Vision OneとCybereason XDRも意味のあるシェアを持つ。

CrowdStrike Charlotte AI — 自然言語の脅威ハンティング

CrowdStrikeは2023年のRSAでCharlotte AIを発表し、2024年にGAした。名前は1989年に最初に発見されたワークステーションウイルスにちなんでいる。

- **自然言語クエリ**: 「過去24時間で珍しいPowerShellの実行があったか」と問うとそのまま結果が返る。

- **トリアージ自動化**: アラートに対するリスクを自動評価。

- **脅威インテリジェンス補強**: CrowdStrike Falcon Intelligenceと結合。

- **Threat Graph統合**: ペタバイト規模のイベントグラフに自然言語でアクセス。

Falcon Query Language(FQL)の例は以下のとおりだ。

ProcessRollup2

| where FileName == "powershell.exe"

| where CommandLine contains "-EncodedCommand"

| limit 100

CrowdStrikeの強みはシェアとイベントグラフの規模だ。全顧客環境から入る脅威シグナルが1つのグラフに集まる効果で、新興脅威の検出が速い。

SentinelOne Purple AI — 自律SOCのビジョン

SentinelOneのPurple AIはCharlotteと同じ位置を争う。差別化ポイントは自律SOC(Autonomous SOC)のビジョンだ。

- **自然言語の脅威ハンティング**: 日本語・英語の自然言語クエリに対応。

- **ハイパー自動化応答**: アラート、調査、隔離、報告までを自動化。

- **モデル選択権**: OpenAI、Anthropic、自社モデルをオプションで提供。

- **データレイク**: Singularity Data Lake上で稼働。

SentinelOneは自動応答の積極性に振っている。トレードオフは誤検知時の影響範囲が大きいことで、自動隔離ポリシーは段階的に導入する必要がある。

SOAR市場 — Splunk SOAR、Cortex XSOAR、Tines、Torq、Swimlane

SOAR(Security Orchestration, Automation & Response)はSIEMやXDRからのアラートを受け取り、プレイブックで自動応答する。2026年5月の主要事業者は以下のとおりだ。

- **Splunk SOAR(旧Phantom)**: Splunk買収後、Ciscoセキュリティラインの自動化コア。

- **Palo Alto Cortex XSOAR(旧Demisto)**: 2019年にPalo Altoが5.6億ドルで買収。プレイブックマーケットプレースが最大。

- **Tines**: ダブリン発。ノーコードSOARの旗手。UXが差別化。

- **Torq**: クラウドネイティブSOAR。イスラエル発。

- **Swimlane**: ローコードSOAR+AI補助。

- **D3 Security**: ライフサイクル管理を強調。

- **IBM Resilient(旧Resilient Systems)**: QRadarのPalo Alto移行に伴う将来は再評価中。

Tinesのプレイブック(YAML風のアクション流)は以下のようなものだ。

name: Phishing Triage

trigger:

type: webhook

source: email_gateway

actions:

- name: Extract URLs

type: regex

pattern: 'https?://[\\w./-]+'

- name: VirusTotal Lookup

type: http_request

method: GET

url: 'https://www.virustotal.com/api/v3/urls/$URL_HASH'

headers:

x-apikey: '$VT_API_KEY'

- name: Update Ticket

type: jira_create

project: SOC

summary: 'Phishing alert from $EMAIL_FROM'

SOAR選定基準はデータ出所と運用モデルだ。Splunk/Sentinel中心の環境はSplunk SOARやSentinel Automationで十分で、マルチプラットフォーム環境はTines/Torqのような独立SOARが合理的だ。

脅威インテリジェンス — Recorded Future、Mandiant、Anomali、MISP

脅威インテリジェンスは外部の脅威シグナルをSOCに供給するレイヤーだ。主要事業者は以下のとおりだ。

- **Recorded Future + AI Insights**: 売上ベース1位。多言語OSINTとダークウェブ収集。

- **Mandiant Advantage**: 2022年にGoogleが54億ドルで買収。Chronicleと統合。

- **Anomali ThreatStream**: 脅威インテリジェンスプラットフォーム(TIP)。マルチソース集約と正規化。

- **ThreatConnect**: TIP+SOAR統合ライン。

- **CrowdStrike Falcon Intelligence**: Falconとバンドル。

- **Microsoft Defender Threat Intelligence**: SentinelおよびDefenderとバンドル。

- **MISP(Malware Information Sharing Platform)**: オープンソース。EUおよび公共部門の標準。

MISPイベントをSTIX 2.xで表現すると以下のようになる。

{

"type": "indicator",

"id": "indicator--abcd1234-...",

"created": "2026-05-15T12:00:00.000Z",

"modified": "2026-05-15T12:00:00.000Z",

"name": "Malicious URL",

"indicator_types": ["malicious-activity"],

"pattern": "[url:value = 'http://evil.example.com/payload']",

"pattern_type": "stix",

"valid_from": "2026-05-15T12:00:00.000Z"

}

実務では商用1本(Recorded FutureまたはMandiant)+MISPの組み合わせが最も一般的だ。

EDR — エンドポイントの最終防衛線

EDR(Endpoint Detection & Response)はワークステーションやサーバから直接観測する。XDRの中核データソースでもある。

- **CrowdStrike Falcon**: シェア1位。軽量エージェントとクラウドベース分析。

- **SentinelOne Singularity**: エンドポイントとクラウドワークロード。

- **Microsoft Defender for Endpoint**: M365ライセンスに含まれることがある。Windows環境で最も深く統合。

- **Sophos Intercept X**: 中小企業市場で強い。

- **VMware Carbon Black**: 2019年VMware買収、2024年Broadcom買収後にラインアップ整理中。

- **Cybereason Defense Platform**: ソフトバンク資本。日本市場で強い。

- **Trend Micro Apex One**: 本社が日本の事業者によるグローバルEDR製品。

エンタープライズは単一EDR標準化が通常だ。Windows、macOS、Linux、コンテナまでを同一エージェントで扱う圧力が強く、マルチEDRは運用負荷が大きい。

UEBA — Exabeam、Securonix、Splunk UBA、Defender for Identity

UEBA(User and Entity Behavior Analytics)はユーザーやエンティティの平常時の挙動から逸脱した外れ値を検出する。内部脅威、アカウント乗っ取り、特権濫用の検出に強い。

- **Exabeam Fusion**: UEBA市場の初期リーダー。Smart Timelineが差別化要因。

- **Securonix UEBA**: SIEMと統合。Snowflake上のビッグデータ分析。

- **Splunk User Behavior Analytics(UBA)**: Splunkと結合。機械学習中心。

- **Microsoft Defender for Identity(旧Azure ATP)**: オンプレADシグナルを分析。SentinelやDefender XDRと統合。

UEBAの肝はベースライン学習だ。平常時の行動モデルを構築し、それからの逸脱を検出する。弱点はセットアップコストと誤検知の多さで、独立したUEBAツールよりもSIEM統合UEBAが現実的選択肢として伸びている。

クラウドネイティブSOC — Panther、Hunters、Anvilogic、Vectra AI

新興のクラウドネイティブセキュリティプラットフォームも急速にシェアを取りつつある。

- **Panther Labs**: コードファースト(detection-as-code)SIEM。検知ルールをPythonで記述。Snowflake/Athenaバックエンド。

- **Hunters AI SOC Platform**: AIファースト。アラートトリアージをLLMが処理。

- **Anvilogic**: 複数SIEMの上に載せたメタセキュリティプラットフォーム。Snowflake/Splunk/Sentinelを同一インターフェースで。

- **Vectra AI**: NDR(Network Detection & Response)+AI。メタデータベースのネットワーク分析。

この4社の共通点はAIファースト、クラウドネイティブ、価格透明性だ。Gartnerリーダーではまだないが、新規SOCをゼロから設計する際に意味のある候補だ。

Pantherの検知ルール(Python)は以下のようになる。

from panther_base_helpers import deep_get

def rule(event):

return (

event.get("eventName") == "ConsoleLogin"

and deep_get(event, "responseElements", "ConsoleLogin") == "Failure"

and deep_get(event, "additionalEventData", "MFAUsed") == "No"

)

def title(event):

user = deep_get(event, "userIdentity", "arn", default="unknown")

return f"AWS Console login failure without MFA: {user}"

def severity(event):

return "MEDIUM"

オープンソースSOCスタック — Wazuh、TheHive、MISP、OpenSearch、Suricata

ライセンス予算が厳しい、あるいはフルコントロールが必要な場合、オープンソーススタックは依然として強力だ。

- **Wazuh**: OSSEC由来のオープンソースSIEM/XDR。無料+マネージドオプション。

- **TheHive + Cortex**: インシデント対応(IR)ケース管理+アナライザ自動化。

- **MISP**: 脅威インテリジェンス共有プラットフォーム。

- **OpenSearch + OpenSearch Security**: Elasticsearch 7.10 OSSのフォーク。AWS主導。

- **SuricataとZeek**: NIDS(Network Intrusion Detection System)。パケット解析。

- **Velociraptor**: デジタルフォレンジック+インシデント対応ツール。無料+Rapid7マネージド。

- **OSSEC**: ホストベースIDSの元祖。Wazuhの母体。

一般的なオープンソース組み合わせは、Wazuh(SIEM/HIDS)、Suricata(NIDS)、TheHive(IR)、MISP(脅威インテリジェンス)、OpenSearch(保管)の5本柱だ。運用要員2〜3名は必要だが、ライセンスコストはほぼゼロになる。

AI活用シナリオ — SOCがLLMを実際にどこに使っているか

マーケティングを取り除いて、2026年5月時点でSOCがLLMやAIを実際に意味あるかたちで使っている領域は次の6つだ。

1. **アラートトリアージと誤検知除去**: アラートコンテキストと資産情報を束ねた自動分類。

2. **自然言語の脅威ハンティング**: KQL/SPL/YARA-Lを自然言語から生成。

3. **インシデント要約レポート**: 30件のアラート+100件のイベントを人間が読める1ページに圧縮。

4. **プレイブック自動生成**: 新規アラート種別への応答ステップを下書き。

5. **フィッシングメール分析**: 本文、ヘッダ、添付、URLを束ねた意図評価。

6. **マルウェアのリバースエンジニアリング補助**: 逆アセンブルされたコードやスクリプトの自然言語による説明。

最も導入失敗が多いのは自動応答(自動ブロックや自動隔離)だ。LLMの誤検知がそのまま運用影響につながるため、自動応答は段階的かつ保守的に導入するのが定石だ。

MITRE ATT&CKとD3FEND — SOC標準フレームワーク

MITRE ATT&CKは攻撃者の戦術(Tactic)、技法(Technique)、手順(Procedure)の標準カタログだ。2026年5月時点ではv16が最新で、Enterprise/Mobile/ICSマトリクスが存在する。

- **Tactic**: 14の大分類。Initial Access、Execution、Persistenceなど。

- **Technique**: 約200項目。T1078(有効なアカウント)、T1059(コマンドとスクリプティングインタプリタ)など。

- **Sub-Technique**: さらに細分化。

D3FENDはATT&CKの防御側カウンターパートで、防御技法(Harden、Detect、Isolate、Deceive、Evict)を標準化する。

ほぼすべてのモダンなSIEM/XDR/SOARはアラートをMITRE ATT&CK技法IDで自動ラベリングする。脅威ハンティング、セキュリティ報告、ギャップ分析の共通言語として使われる。

韓国のSOC — AhnLab、SK쉴더스、이글루코퍼레이션、NSHC

韓国のSOC市場は国産事業者とグローバルSIEMの共存が特徴だ。主要事業者は以下のとおりだ。

- **AhnLab MDS(Magic Detection System)**: 韓国SOCソリューションの首位。APT検出に特化。V3エンドポイントと並売。

- **SK쉴더스(SK Shieldus)MSS**: 韓国最大のマネージドセキュリティサービス。自前のSOCとグローバルSIEMを運用。

- **KT Telecop**: KTのセキュリティ事業部。通信社バックボーン上のセキュリティサービス。

- **LG U+ U+클라우드セキュリティ**: クラウド+セキュリティのバンドル提供。

- **이글루코퍼레이션(Igloo)SPiDER TM**: 国産SIEMソリューション。公共部門で強い。

- **NSHC**: 脅威インテリジェンス+DFIRコンサルティング。

- **Wins**: 国産NGFW、IPS、DDoSライン。

規制面ではISMS-P(個人情報保護管理体系認証)がSOC運用の事実上の標準だ。公共・金融分野はほぼすべての事業者にISMS-P義務が課される。2024年の個人情報保護法改正以降、侵害事故の72時間報告義務も強化された。

韓国型SOCの実務パターンは、AhnLab MDS+グローバルSIEM(Splunk/Sentinel)+SK쉴더스マネージドの組み合わせが最も一般的だ。

日本のSOC — NRI Secure、NTTコムセキュリティ、LAC、日立、Cybereason Japan

日本のSOC市場も国内事業者の強さとグローバルソリューションの共存というパターンだ。

- **NRI Secure**: 野村総合研究所のセキュリティ子会社。マネージドSOC+コンサルティング。金融首位。

- **NTTコミュニケーションズセキュリティ**: NTTグループのセキュリティ事業部。グローバル網規模のセキュリティ。

- **LAC**: 日本SOCの事実上の標準。JSOCという自社マネージドSOC。

- **日立ソリューションズ**: セキュリティコンサルティング+マネージド。

- **Cybereason Japan**: ソフトバンク資本。日本のEDR市場で強い。

- **トレンドマイクロ**: 本社が日本。Vision One XDR。

- **マクニカ**: セキュリティディストリビュータ+自社マネージド。

規制面では個人情報保護法(2022年改正)とNISCサイバーセキュリティ戦略がSOC運用の基準だ。金融分野ではFISC安全対策基準も適用される。

日本型SOCの一般的なパターンは、LAC JSOCまたはNRI Secureマネージド+グローバルSIEM/EDR+CybereasonまたはTrend Micro EDRの組み合わせだ。

コンプライアンス — ISO 27001、SOC 2、NIST CSF 2.0、ISMS-P、個人情報保護法

SOCは単純な検出だけでなくコンプライアンス証跡の生成も担う。2026年5月時点のグローバル標準は以下のとおりだ。

- **ISO 27001:2022**: 情報セキュリティマネジメントシステム(ISMS)標準。2022年改訂でコントロール数は114から93に整理。

- **SOC 2(Service Organization Control 2)**: 米国AICPA標準。SaaS事業者にとって事実上の必須。

- **NIST CSF 2.0**: 2024年2月に2.0を発表。Govern関数の追加で6関数(Govern/Identify/Protect/Detect/Respond/Recover)構造に。

- **PCI DSS 4.0**: クレジットカード処理標準。2024年3月までに移行義務。

- **GDPR**: EUの個人データ保護。72時間の侵害通報義務。

- **HIPAA**: 米国の医療情報保護。

- **ISMS-P**: 韓国。情報保護と個人情報管理の統合認証。

- **個人情報保護法**: 日本。2022年改正で侵害通報と影響評価の義務を強化。

コンプライアンス報告はSOCの主要なアウトプットなので、すべての主要SIEMはISO 27001、PCI DSS、GDPRのダッシュボードを内蔵している。証跡の自動収集とレポート自動生成は、意外にも2026年のAI導入で最も大きな成果が出ている領域の1つだ。

導入ロードマップ — 「どこから着手するか」の率直なガイド

すべてのレイヤーを一度に導入しようとすると90%は失敗する。現実的な導入順は以下のとおりだ。

1. **EDRの単一標準化**: CrowdStrike、Microsoft Defender for Endpoint、SentinelOneのいずれか。約1か月。

2. **SIEM 1本を導入**: Splunk、Sentinel、Chronicleのいずれか。セルフホスト要件とクラウド比重で選定。約3か月。

3. **脅威インテリジェンス1本+MISP**: Recorded FutureまたはMandiant+MISP。約1か月。

4. **SOAR導入**: 最頻出の5種類のアラート種別からプレイブック化。3〜6か月。

5. **AIアシスタント有効化**: SIEM内蔵アシスタント(Splunk AI/Security Copilot)、または外部モデルキー接続。約1か月。

6. **MITRE ATT&CKマッピングとギャップ分析**: 四半期ごとにレビュー。継続。

7. **自動応答は最後**: 誤検知時の影響が小さい種別(IPブロック、ユーザーロックの時限化)から段階的に。

8本すべてを一気に導入すれば、運用要員の燃え尽きとアラート飽和がほぼ確実に発生する。1レイヤーずつ、安定化してから次へ。

おわりに — 2026年5月、SOCは「AI補助と人間判断」のコラボ構造に落ち着く

本稿の結論は明確だ。AIはSOCのトリアージ自動化と自然言語インターフェースの2つの位置に安定して定着した。自律SOCという表現はマーケティングであり、実際にはTier 1の60〜80%が自動化され、Tier 2と3は人間とAIのコラボとして再編されるという流れだ。

ツール選定の定石は依然としてシンプルだ。データのある場所を追え。M365が中心ならSentinel、マルチクラウドとオンプレが大きいならSplunkまたはChronicle、GCP中心ならChronicle、オープンスタックを志向するならElasticまたはWazuhだ。

そして最も重要なのは人間の運用モデルだ。AIはアナリストを置き換えるのではなく、アナリストの仕事を変える。Tier 1の単純トリアージは減るが、AI出力の検証、プレイブックのキュレーション、ルールセットの管理、脅威ハンティングといったより高付加価値の業務は増える。2026年のSOC採用市場はそれをそのまま反映している。

References

- Splunk Enterprise Security公式ドキュメント: https://docs.splunk.com/Documentation/ES

- Splunk AI Assistant for SPL: https://splunk.com/en_us/products/splunk-ai-assistant.html

- Microsoft Sentinel公式ドキュメント: https://learn.microsoft.com/en-us/azure/sentinel/

- Microsoft Security Copilot公式: https://learn.microsoft.com/en-us/security-copilot/

- Google Chronicle Security Operations: https://cloud.google.com/chronicle/docs

- Gemini in Security Operations: https://cloud.google.com/security/products/security-operations

- Elastic Security公式ドキュメント: https://www.elastic.co/guide/en/security/current/index.html

- Elastic AI Assistant for Security: https://www.elastic.co/security/ai-assistant

- IBM QRadar SIEMドキュメント: https://www.ibm.com/docs/en/qsip

- Palo Alto Cortex XSIAM: https://docs-cortex.paloaltonetworks.com/r/Cortex-XSIAM

- CrowdStrike Falcon公式: https://www.crowdstrike.com/platform/

- CrowdStrike Charlotte AI: https://www.crowdstrike.com/platform/charlotte-ai/

- SentinelOne Singularity Platform: https://www.sentinelone.com/platform/

- SentinelOne Purple AI: https://www.sentinelone.com/platform/purple-ai/

- Microsoft Defender XDR: https://learn.microsoft.com/en-us/defender-xdr/

- Sumo Logic Cloud SIEM: https://help.sumologic.com/docs/cse/

- Devo Platform: https://docs.devo.com/space/latest

- LogRhythm Axon: https://logrhythm.com/products/logrhythm-axon/

- Exabeam Fusion: https://docs.exabeam.com/

- Securonix Next-Gen SIEM: https://docs.securonix.com/

- Splunk SOAR (Phantom)ドキュメント: https://docs.splunk.com/Documentation/SOAR

- Palo Alto Cortex XSOAR: https://docs-cortex.paloaltonetworks.com/r/Cortex-XSOAR

- Tines公式ドキュメント: https://www.tines.com/docs

- Torq公式: https://docs.torq.io/

- Recorded Future: https://www.recordedfuture.com/platform

- Mandiant Advantage: https://www.mandiant.com/advantage

- Anomali ThreatStream: https://www.anomali.com/products/threatstream

- MISP Project: https://www.misp-project.org/

- Wazuh公式: https://documentation.wazuh.com/current/index.html

- TheHive Project: https://docs.strangebee.com/thehive/

- Panther Labs: https://docs.panther.com/

- Hunters AI SOC: https://www.hunters.security/

- Vectra AI: https://www.vectra.ai/

- MITRE ATT&CKフレームワーク: https://attack.mitre.org/

- MITRE D3FENDフレームワーク: https://d3fend.mitre.org/

- NIST Cybersecurity Framework 2.0: https://www.nist.gov/cyberframework

- ISO/IEC 27001:2022: https://www.iso.org/standard/27001

- 韓国ISMS-P認証: https://isms.kisa.or.kr/

- 日本個人情報保護委員会(PPC): https://www.ppc.go.jp/

- AhnLab MDS: https://www.ahnlab.com/en/site/product/productSubDetail.do?productSeq=120

- SK쉴더스(SK Shieldus): https://www.skshieldus.com/

- 이글루코퍼레이션(Igloo)SPiDER TM: https://www.igloo.co.kr/security-platform/spider-tm/

- LAC JSOC: https://www.lac.co.jp/service/jsoc/

- NRI Secure: https://www.nri-secure.co.jp/

- Cybereason Japan: https://www.cybereason.co.jp/