パロアルトネットワークスは4月23日、脅威情報の管理機能を統合したSOAR(Security Orchestration, Automation and Response)プラットフォーム「Cortex XSOAR」の国内提供を開始すると発表した。
Cortex XSOARは、2019年に買収された米DemistoのSOARプラットフォームがベースとなっている。脅威情報の管理機能を統合したことで、新たにCortex XSOARという名称を与えられた。なお、XSOARの“X”は“eXtended”の意味で「従来のSOARが実現してきた機能をさらに拡張した」という主張が込められている。
チーフサイバーセキュリティストラテジストの染谷征良氏は、4月21日に発表されたセキュリティオペレーションとSOAR活用の現状に関する調査「セキュリティオペレーションジャパンサーベイ2020」の結果を説明し、市場の現状を明らかにした。
まず、セキュリティオペレーションの機能として、日本セキュリティオペレーション事業者協議会の『セキュリティ対応組織(SOC/CSIRT)の教科書 ハンドブック』で“セキュリティチームの仕事”として整理されている“9つのカテゴリー”を紹介。具体的には、(1)セキュリティ対応組織運営、(2)リアルタイムアナリシス(即時分析)、(3)ディープアナリシス(深掘分析)、(4)インシデント対応、(5)セキュリティ対応状況の診断と評価、(6)脅威情報の収集および分析と評価、(7)セキュリティ対応システム運用・開発、(8)内部統制・内部不正対応支援、(9)外部組織との積極的連携――がある。
調査では、これを踏まえた上で「自社のセキュリティオペレーション成熟度」に対する自己評価を聞き取り、「成熟度が高い企業/組織」と「成熟度が低い企業/組織」との違いについて考察した。
例えば、「セキュリティオペレーションの現場が抱える課題」では、「『人』と『セキュリティ製品』に関する悩みや課題がセキュリティオペレーションの足かせ」になっていると総括されている。これを成熟度別に分析すると、成熟度が高い組織では「属人化」と「アラート疲れ」に対する懸念が強い一方、成熟度が低い組織では「人材不足」「スキル不足」が顕著に見られるという。
つまり、成熟度が高い組織にはセキュリティを担当する人材が確保できており、十分なスキルを備えているものの、その人材のスキルに依存してしまっていることや多数のセキュリティ製品から上がってくる膨大な量のアラートに対応することに忙殺されてしまっている点が課題となっている。成熟度が低い組織の場合は、そもそもそうした人材が確保できていないことが課題として認識されているわけだ。
成熟度によって認識されている課題は異なるものの、実はいずれにおいてもSOAR導入でワークフローを整備して自動化を実現できればある程度のレベルでの課題解決が期待できる点が共通している。こうした分析を踏まえて、同氏は「人が対応すべきこととテクノロジーに任せて自動化する部分を適切に切り分ける必要がある」と指摘した。
続いて、Cortex営業本部 本部長の露木正樹氏がCortex XSOARの詳細を説明した。同氏はまず、「セキュリティオーケストレーションと自動化プラットフォームで、ネイティブケース管理、リアルタイムコラボレーションを行うのがSOARだ。そこに脅威情報の管理機能を加えたのがCortex XSOARになる」といい、「インシデントライフサイクル全体でセキュリティチームにサービスを提供する」のが製品の狙いだと語った。
また、従来のSOARは「発生したインシデントに対応する」という意味で“リアクティブ”な対応となるが、脅威情報によって“プロアクティブ”(予防的)な対応が可能にあるという。具体的には、脅威情報によってC&C(コマンド&コントロール)サーバーのIPアドレスなどが判明した場合、その情報を次世代ファイアウォールに登録して通信を遮断するように事前に設定することで、被害の発生はもちろん、セキュリティアラートの発生も未然に防止できるようになる。
従来、こうした対応は人手で行われていたが、SOARのワークフロー自動化の機能と組み合わせることで、運用管理の負担を削減できる。同社が開発した約200のプレイブックが提供されるので、これを活用してワークフローを自動化できる。
セキュリティオペレーションの現場が抱える課題
