フォーティネットジャパンは8月7日、報道機関向けの説明会を開催した。「FortiSIEM」「FortiSOAR」といった同社製品を活用した“SOCメンバーを疲弊させない”セキュリティ運用ソリューションを紹介した。
概要を説明したプロダクトマーケティングマネージャーの山田麻紀子氏は、従来型のSIEM(セキュリティ情報イベント管理)の課題として「大容量のログ保管の域を超えていない/プロ向けで有用性を説明しづらい」という点を挙げる。大量のログに対応するだけで「セキュリティ運用(SOC)チームが疲弊している」といい、実践的なSIEMの在り方として“ときめくログだけ見て、パッとレスポンス”という表現で対応すべきログだけを抽出する高度な自動化機能などが求められているとした。
同社では、セキュリティゲートウェイ「FortiGate」を中核とした「セキュリティファブリック」を展開しており、同社製品による“シングルベンダー”環境ではFortiManager(設定管理)、FortiAnalyzer(可視化/分析)でカバーされる機能を「組織のインフラ全体(マルチベンダー)」に拡張する際にはFortiSIEM(統合管理/可視化/相関分析)とFortiSOAR(セキュリティ運用自動化)がカバーすることになる、という全体像を提示した。
なお、FortiSOARは2019年12月に発表されたSOAR(Security Orchestration, Automation and Response)プラットフォームの大手であるCyberSponseの買収によって獲得した製品/技術をベースとしてリリースされ、2020年5月に国内販売が開始された新製品となる。同氏はFortiSIEM/FortiSOARの主要ターゲットとして自社でセキュリティ運用を行っている企業/組織を中核に、「必要なログに集中してセキュリティ運用を変えていきたいというニーズに応えていく」としている。なお、提供形態はFortiSIEMが仮想アプライアンス/ハードウェア、FortiSOARは仮想アプライアンス/ソフトウェアでの提供となる。
続いて各製品の詳細を説明したコンサルティングSEの熊村剛規氏は、まずFortiSIEMについて、一般的なSIEM製品の課題である「ログ収集までは行ったが、収集したものの活用はできていない」という状況にとどまってしまうことを踏まえて、「セキュリティ運用のところまで持っていく」ことを重視しているとした。
その特徴は「軽量化/柔軟性の向上」「脅威情報の実装」「検知手法の拡大」になる。検知手法の拡大に関しては、一般的なログ収集だけではなく、監視対象となるサーバーにエージェントソフトをインストールすることで、より精細な情報取得を行うことができる。今後、UEBA(User and Entity Behavior Analytics:ユーザー/エンティティーの振る舞い検知AI〈人工知能〉機能)も年内に追加される予定だという。
また、FortiSOARはPlaybookによる運用自動化を中核機能とし、他社製品を含む外部機器と連携して情報取得や設定変更を行うためのコネクターが300種類以上提供されるなど、連携強化にも注力している。さらに、一般的なSOARの機能に加えて“コラボレーションプラットフォーム”としての機能も充実しており、SOCチームの複数のスタッフが密なコミュニケーションを維持しながら作業を分担/連携していくことを支援する点も特徴となる。
FortiSIEMとFortiSOARを組み合わせて運用することで、従来SOCチームのスタッフの手動運用で多大な負荷が掛かっていたログ解析からそれを踏まえたセキュリティ運用までの一連の作業が効率化/自動化されるという。