デジタル人材の育成

SCSKセキュリティ株式会社 瀬口 慶之様 インタビュー

公開日:2026年7月10日

  • SCSKセキュリティ株式会社 瀬口 慶之様

SIEM/SOAR運用の実態—現場課題と継続的な学び

SIEMやSOARの導入は進んでいるものの、ログ設計やアラート対応、実際に脅威を検知できているかといった運用課題は依然として残っています。
また、AIによる自動化が進む中でも、最終的な判断や運用設計の重要性は変わらず、それらをどう活用するかが実効性を左右します。
本記事では、SIEM/SOAR運用の現場視点から、こうした課題への取り組みの現状について紹介するとともに、登録セキスペで得た知識が実務にどのように活かされているかについても触れます。

Q セキュリティエンジニアを目指した理由を教えてください。

新卒時からセキュリティ分野に興味があり、まずは基盤理解が重要と考え、約6年間システム系の業務に従事しました。その後、希望してセキュリティ領域に移り、脆弱性診断などの業務を担当しています。
運用の中で脆弱性対応や攻撃対応を経験するうちに、より深く攻撃者視点を理解したいと考えるようになりました。その流れで診断業務に取り組み、さらに現在は守る側の運用に関心を広げSIEM/SOCの業務に移りました。

Q 情報処理安全確保支援士試験を受けた動機、資格登録のきっかけを教えてください。

情報処理安全確保支援士試験は自主的に受験しました。実務に役立つと考えたことと、制度変更のタイミングもあり、良い機会だと判断しました。
会社側からの推奨が登録の理由となっています。登録更新費用・講習費用も会社が負担してくれています。

Q 現在の業務での役割を教えてください。

SCSKセキュリティ株式会社 瀬口 慶之様

現在はセキュリティインテリジェンス事業本部に所属し、主にSIEM/SOAR領域に関する業務を担当しています。具体的には、サービス企画やプロモーションといった上流工程から、プリセールスとしての顧客提案、導入支援における要件定義・設計・開発・テスト、さらに導入後の運用支援まで一貫して携わっています。
また、これらの取り組みに関連して、講演会やセミナーでの講師を担当することもあり、実際の事例や運用のポイントを踏まえた情報発信にも取り組んでいます。
さらに、直近ではBAS(Breach and Attack Simulation)を活用した新たなサービスの立ち上げにも携わっています。

Q SIEM導入で想定通りにいかなかったことを教えてください。

SIEMの導入では、製品自体の理解だけでなく、ログ収集対象となるセキュリティ機器や各種サービスへの理解が不可欠です。実際には「どのログを収集すべきか分からない」というお客様も多く、適切なログ観点を提示することが重要になります。
こうした実運用を意識した説明は、ログや攻撃の見方といった基本的な考え方を踏まえたものであり、登録セキスペの講習で得た知見も一部参考にしています。

Q 効率的な提案が難しいお客様にどのように運用していただきますか?

SCSKセキュリティ株式会社 瀬口 慶之様

提案だけでは十分に伝わらない場合もあるため、必要に応じてアセスメントを実施し、「このログでどのような脅威を検知できるか」といった具体的な活用まで説明しています。
こうした実運用を意識した説明は、ログの活用や攻撃の捉え方といった基本的な考え方を踏まえたものであり、登録セキスペの講習で得た知見も一部参考にしています。

Q 想定外の事象で従来のシナリオが通用しない場合、どのように対応されていますか。

基本的には、似たような構成や要件のお客様が多いため、過去の対応を横展開できるケースが多いです。ただし、お客様ごとに個別の要望や試したいケースがあるため、一律の対応だけでは難しい場合もあります。
そのため、導入後は運用支援として定期的にミーティングを実施し、お客様のニーズをヒアリングしたうえで、具体的な設計・実装に落とし込んで進めています。
こうした状況に応じた対応は、登録セキスペの講習で扱われるインシデント対応における判断の考え方とも、一部通じる部分があると感じています。

Q SOARで自動化できない部分や判断ミスが起きやすいポイントはどこでしょうか。

SOARで自動化を進めるうえで最も難しいのは「判断」の部分です。
例えばEDRによる端末隔離は自動化しやすい処理ですが、「高リスクアラートを即隔離」としてしまうと、業務影響を考慮できず現実的ではありません。アラートの正当性や影響範囲の判断は組織ごとに異なります。そのため、まずは通知などの定型処理から自動化を進め、運用状況を踏まえて段階的に範囲を拡張していきます。また、危険度に応じて誤検知はクローズし、重要なものは優先度を引き上げるといった対応も行っています。
こうした判断のプロセスは、登録セキスペの講習で扱われるインシデント対応における考え方とも一部共通する部分があると感じています。

Q 検知・分析・対応・検証で見落としや判断の難しさが出やすいところはどこでしょうか。

SIEM導入後は、その有効性を定量的に評価することが難しく、「本当に機能しているのか」を判断しづらい場面が多いため、継続的な検証が重要です。
MITRE ATT&CKにより対応状況は可視化できますが、机上評価にとどまりがちです。一方、BASを活用することで実際の攻撃シナリオに基づいた検証が可能となり、検知可否や対策の有効性を確認できます。
こうした「検知できているか」を確認する視点は、登録セキスペで扱われる攻撃手法の理解といった基礎を背景に、実務の中で発展していく領域だと感じています。

Q SIEM/SOARをご提案する中で、最も説明が難しい/納得されにくい点は何ですか?

SCSKセキュリティ株式会社 瀬口 慶之様

最も説明が難しいのは、「SIEM/SOARを使ってどう運用していくか」という点です。
SIEM/SOARは、インシデント発生時の調査・対応を効率化するためのツールですが、具体的に調査・分析でどう活用するかイメージを持ちにくいお客様も多くいらっしゃいます。
そのため、実際の画面を用いたデモや、ハンズオン形式での体験を通じて、運用イメージを具体的に持っていただく工夫をしています。
また、最近はSIEM/SOAR自体にAIが組み込まれるようになってきました。このAIを使ってどこまで効率よく調査や分析を行えるかという点も一つ訴求のポイントになっています。

Q SIEM導入後のお客様の反応について教えてください。

SIEM導入後は、「ログを一元的に可視化できるようになった」という点を評価されることが多く、複数のログを個別に確認する必要がなくなったことで、運用の分かりやすさが向上したという声があります。
また、AI機能の活用によりインシデント発生時のサマリー作成や状況把握が自動化され、「何が起きているのか」を把握する初動の負担が大きく軽減されたという意見もあります。
このように、ログの集約とAIによる可視化支援によって運用の入り口が大きく改善されており、こうした考え方は、登録セキスペの講習で得た知見も一部参考にしています。

Q 情報処理安全確保支援士の講習で役立ったことについて教えてください。

登録セキスペの講習で特に参考になったのは、グループ形式で実施されるインシデントハンドリングの実践講習です。普段はSIEMやSOARの導入・運用支援といったベンダの立場で業務に携わっていますが、CSIRTの一員として対応を行う視点を実践的に学べたことで、よりお客様の立場に立って考えられるようになった点は大きな収穫でした。
また、オンライン講習や定期的な実践講習を通じて、普段の業務では経験しにくい対応プロセスや、法令・各国の動向などを体系的に学べる点も有意義だと感じています。

Q 名刺に登録セキスペのロゴを入れてお客様にお渡しした際、どのような反応がありますか?

名刺に登録セキスペのロゴを入れてお渡しすると、「お持ちなんですね」といったお声をいただくことはあります。
登録セキスペとして、情報提供の案内などには目を通し、興味のある内容があれば今後も積極的に取り組んでいきたいと考えています。