「SOCトランスフォーメーションによる、セキュリティオペレーションの改革」

【講演者】
パロアルトネットワークス株式会社
Cortex営業本部 本部長
露木 正樹 氏

<サイバーセキュリティの変革が不可欠>

サイバーセキュリティに関する主なトレンドとして、2021年に弊社が実施した調査結果によると、クラウドインシデントの増加率が前年比で188%となったり、約61%の企業がハイブリッドワーカーの保護に苦労していると回答したり、脅威検出の効率を高めるためにAIを利用している組織の割合が約53%にのぼるなど、働き方やIT環境の変化が企業のサイバーセキュリティに影響しているという動向が読み取れる。

昨年攻撃を受けた組織は96%におよび、33%のセキュリティ担当者が侵害の影響で業務が中断したと回答した。また侵害からの復旧に関連する平均コストが約3億円を超えているのが現状であり、サイバーリスクに対して対策をしないと様々なコストを負担することとなる。

<次世代プラットフォームがサイバー変革を実現>

一般的に、セキュリティは「ベストオブブリード」、即ち適材適所に1番良いソリューションを充てるべきであるというポイントソリューションだと考えられているが、実際は多くのソリューションが乱立し、これに対抗するのは「プラットフォームアプローチ」である。しかし我々パロアルトネットワークスだけではなく、約77%のセキュリティ担当役員は、使用するセキュリティソリューション/サービスを削減する事(ベンダーコンソリデーション)が重要であると考えている。

現在弊社は大きく3つのプラットフォームと1つのサービスでサイバーセキュリティに対する変革を実現している。ネットワークセキュリティのプラットフォームとしてStrata / Prisma SASE、クラウドセキュリティのプラットフォームとしてPrisma Cloud、セキュリティ運用のプラットフォームとしてCortex、これら3つのセキュリティプラットフォームによってベストオブブリード プラットフォームアプローチを提供している。また、Unit 42という脅威リサーチャーとセキュリティコンサルタントのチームがあり、アドバイザリーサービスなどを提供している。

従来のセキュリティのように、様々なソリューションに対して様々な製品が使用されていると、管理運用のコストが高くなるだけでなく、検出したものに対する防御の動作が遅くなる可能性もある。しかし我々はネットワークセキュリティ、クラウドセキュリティ、セキュリティオペレーションの3つのソリューションで、それぞれのセキュリティを担保、管理することができるのである。

<ゼロトラストの原則とセキュリティファンクション>

昨今様々なメーカーやベンダーが謳っている「ゼロトラスト」であるが、ゼロトラストとは米国国立標準技術研究所(NIST)のNIST SP800-207の7つの原則を実践することでゼロトラスト・アーキテクチャが実現できるといったものである。

この原則を実際に弊社ソリューションで当てはめてみると、すべてをリソースとみなし、すべての通信を保護し、アクセスはセッション毎に許可し、動的ポリシーにより決定するといった点はSASE、SD-WAN、CASB、NGFWで可能である、つまり弊社のStrata / Prisma SASEといったネットワークセキュリティプラットフォームで実現可能である。次に、すべての資産の完全性とセキュリティ状態の監視/評価については、クラウド上にそれらの資産がある場合はPrisma Cloudで、オンプレミスやデータセンターの場合はCortex XSIAMで実現可能である。弊社は現在認証基盤を持っておらず、アクセスが許可される前のリソースの認証と認可については現在使用中のもので対応が可能だ。最後に、資産、インフラ、通信の現状についての情報収集とセキュリティ状態の改善については、セキュリティオペレーションのプラットフォームであるCortex XSIAMで実現できるのだ。

このように弊社が提供する3つのプラットフォームがあれば、NISTが提唱するゼロトラスト・アーキテクチャが実現可能なのである。

<Cortex XSIAMについて>

Cortex XSIAMは、前述の通りセキュリティオペレーションのプラットフォームであるが、セキュリティを自動的にインテリジェンスでマネージメントするといった製品である。

セキュリティ業務については情報や製品が多く、内部可視化できていない「サイロ化」状態にある。弊社が実施した調査によると、平均的に1つの組織が1日に11,000ものアラートを受け取っており、インシデントが発生した場合の調査に4日以上費やし、SOCチームがKPIに到達する割合は30%未満で、約28%のアラートは無視されているといったことも明らかとなった。

この状況を解決するためにはセキュリティ対策の再設計が必要であるが、今までの再設計は、境界型からゼロトラストやSASE型に、インフラであればデータセンターからクラウドへ、エンドポイントはアンチウイルスからEDRやXDRといったものであった。それに加えてセキュリティオペレーションがSIEMから何かに変化していく必要があるのではないかと考えている。

現在は、SIEMにデータやログ、アラートを集め、アナリストが検出、調査、対応し、分析はAI/MLに任せ一部を自動化している。しかし弊社が考えるセキュリティオペレーションの再設計では、今までアナリストに頼っていた分析や検出、調査、対応をAI/MLにより可能な限り自動化し、本当に人間の知見が必要なものだけをアナリストに渡す。そしてアナリストが「センターオブセキュリティ」としての仕事が全うできるように時間を与えるべきだと考えている。

つまり、XSIAMはセキュリティオペレーションの再設計を実現するために「インテリジェントなデータと分析」、「最初に自動化」、「積極的なセキュリティを提供」の3つのキーコンセプトに基づいて設計されており、検知と対応、アナリストの経験、継続的なリスク削減の変革を実現するのである。

<パロアルトネットワークスが社内で実現しているコンセプト>

弊社のセキュリティオペレーションセンターは全世界で10名のアナリストで展開している。現在1万人以上の社員のネットワークデータや認証データがあり、エンドポイントは約5万台、セキュリティ対象であるクラウドアセットは約430万の情報が存在する。1日23テラバイトにもおよぶこれらのデータはCortex Xpanseというアタクサーフェイスの情報と含めて、Cortex XDRのアナリティクスに渡し、そこでインシデントを検知しCortex XSOARで90%以上を自動化する。その後セキュリティオペレーションセンターのアナリストに渡すデータは、高リスクのインシデント、およびプロアクティブな脅威ハンティングのみとなり、これらに集中できるようになるのである。

これを具体的に弊社以外でも使用できるようにした製品がCortex XSIAMである。

<XSIAMはセキュリティオペレーションにおける大きな変革>

ネットワーク、エンドポイント、クラウド、など共有できる情報も増えており、全てのデータは標準化され、組み込まれた、エンドポイント、クラウド、ネットワーク、アイデンティティの4つのアナリティクスが動き出し、さらにアタックサーフェスやスレットインテルの情報を組み合わせて処理する。そしてセキュリティオペレーションアナリストの知見が必要なものだけを渡す、というのがXSIAMである。

前述の通り、弊社のセキュリティオペレーションセンターは、1日で23テラバイトのログデータを受け取っている。イベント数にすると360億となり、自動で133のアラートに集約される。そのうち125個はほぼ完全に自動で処理し、8つだけ手動でアナリストが担当する。この際のMTTD(検出までの時間)は10秒、MTTR(平均復旧時間)は1分という速い反応となる。

<まとめ>

セキュリティオペレーションセンターの変革のためにクラウドで提供するエンタープライズ向けの基盤であるXSIAMは、データセンターからクラウドまでセキュリティ運用が可能だ。データの関連付け、分析、トリアージ、レスポンス、自動化、全て対応できる。まずはCortex XDR、Cortex XSOAR、Cortex Xpanse、それぞれの製品をまず使っていただき、将来的にセキュリティオペレーションのプラットフォームとして、Cortex XSIAMに統合されていくのでぜひ検討いただきたい。

Cortex XSIAMはアナリストの経験と生産を向上させ、業界最高の脅威インテリジェンスで高度な攻撃を明らかにし、新しいデータソースの導入を簡素化しSIEMの機能を向上させるといったセキュリティオペレーションセンターが必要とするものを提供する。皆さまにも是非セキュリティオペレーションの再設計についてご検討いただきたい。

1 2 3