サイバーセキュリティ攻撃の量と複雑さが増しています。セキュリティ運用の専門家は、レガシーの限界を克服してセキュリティ脅威の先を行くために、人工知能(AI)を信頼して活用するようになっています。
Avanadeの調査(PDF)によると、新しいセキュリティ技術が新しい脅威の先を行っていると考えている経営者はわずか52%にすぎませんでした。このデータからもわかるように、AIなどの新しい技術を採用する傾向は、驚くべきことではありません。
先進的なSOCの誕生
このような状況の中で多くのセキュリティ責任者は、脅威やインシデントの検出と迅速な修復を担当するセキュリティ監視センター(SOC)の将来に不安を抱いています。現在、彼らはAI、機械学習(ML)、自動化、適応ツールを活用してセキュリティイベントや情報を管理する、先進的な“SOC 2.0”に注目しています。
SOC 2.0は、クラウドで提供されるセキュリティ情報イベント管理(SIEM)ツールとAI、機械学習、高度な分析を組み合わせて構築されています。高度な監視と自動応答で、さまざまな内外からの情報を組み合わせて迅速に相関関係を構築、対応し、脅威を取り除くことができます。
未来のSIEMであるAzure Sentinel
最新のセキュリティ運用の成功には、先進のSIEMとそこから得られるインサイトが不可欠です。しかし、すべてのソリューションが同じというわけではありません。
SIEMツールの中には、企業全般にわたって生成されたさまざまなアラートを照合、分析する際に課題を抱えているものもあります。理由は、元々オンプレミス向けに設計されていることにも関係があります。それらの従来のSIEMツールは、様々なサードパーティのデータソースから送られてくるメッセージを翻訳するのに時間がかかります。文字通りAPI変換を使用してインシデント分析のために実際のセキュリティメッセージに変換しています。
また、IT環境のさまざまなツールには多くのセキュリティ侵害インジケーター(Indicator of Compromise:IoC)が潜んでいます。そのため、あらゆる脅威アラートを集約し、潜在的な原因を特定して、脅威をリアルタイムで修正できる単一のオーケストレーターが必要となります。
マイクロソフトのSIEM「Azure Sentinel」は、セキュリティに関するデータをクラウドやオンプレミス環境から取り込むクラウドサービスです。
ペタバイトのデータを扱うことができ、それらをMLモデルやAIオーケストレーションで分析、利用状況に応じて自動化することができます。
脅威に対するブックマークの追加、対処するためのプレイブックの迅速な作成、インシデントへの迅速な対応、スマートな内蔵クエリといった機能を備えるスケーラブルなSIEMとなっており、データセンター(DC)のセキュリティを管理する「Azure Security Center」のようなツールの脅威検出機能を補強することができます。