ハードウェアベースの物理アプライアンスやソフトウェアだけの仮想アプライアンス(Amazon Web Services=AWSでも稼働可能)の形態で提供されているFortiSIEMは、中核となるスーパーバイザーに加えて、負荷分散ノードのワーカー、ログ収集専用ノードのコレクターで構成。必要に応じてワーカーやコレクターの数を追加することで、柔軟にスケールアウト可能という。
エンドポイントにインストールするエージェントは、ログ取得以外にもレジストリー変更やファイル改ざんの検知機能を搭載している。今後は、スーパーバイザーに人工知能(AI)を活用して、ユーザーの振る舞いと聞きなどを分析して不正な振る舞いを検知するUEBA(User and Entity Behavioral Analytics)機能の年内実装を予定している。なお、フォーティネットジャパンは企業や組織内部の脅威を検知し、阻止する「FortiInsight」も提供中だ。
FortiSIEMのインシデントページ
※クリックすると拡大画像が見られます
FortiSOARについて熊村氏は「SOARは自動化に注目が集まるものの、(FortiSOARは)コラボレーションツールとして活用してほしい」と説明する。その理由はマルチテナント機能やタスク管理機能を備えているからだ。
マルチテナントは、文字通り点在するチームの統合管理を意味し、Playbookによるセキュリティ運用パターンの共有化やVPNや中継用の仮想マシンを用いた遠隔地との連携が可能という。
タスク管理はFortiSOARのWorkspace(サブウィンドウ)にチャット機能を実装し、SOC担当者間の意思疎通を可能にした。アラート発生時は類似するアラートを選別して、対応するPlaybookを推奨する機能も備えている。
また、他社システムのAPIにアクセスして制御するコネクターは300種類を超え、「今後も継続的に追加していく」(熊村氏)
FortiSOARのダッシュボード。投資利益率(ROI)なども映し出す
※クリックすると拡大画像が見られます
FortiSOARは仮想マシンやソフトウェアとして提供し、買い切りと年単位のサブスクリプションモデルを採用。マルチテナント運用時は専用ライセンスを選択できる。
フォーティネットジャパンはFortiSIEMとFortiSOARの顧客対象として、データセンター事業者や重要インフラストラクチャー事業者、個人情報を保有している業種を示しているが、実際には政府系組織や製造業、流通業の企業の導入が多いという。
導入支援サービスとしてSOCアナリスト5人までを対象にフォーティネットジャパンの技術者が支援する「10 Daysインストレーションサービス」、25人までを対象にした「15 Daysインストレーションサービス」をオプションとして用意する。
