セキュリティ脅威の複雑化に伴って、セキュリティ対策のソリューションもまた高度化が進み、ユーザーの運用も難しくなりつつある。脅威検知および対応ソリューションを手がける米SentinelOneで最高顧客責任者を務めるEran Ashkenazi氏に、顧客のセキュリティ運用を支援するサポートの現状などを聞いた。
同社は2013年に創業し、カリフォルニア州マウンテンビューに本社を置く。1万880の顧客を抱え、脅威検知および対応プラットフォーム「Singularity XDR」と関連サービスを展開している。
SentinelOne 最高顧客責任者のEran Ashkenazi氏
Ashkenazi氏は、同社を含むセキュリティベンダーで、長年プロフェッショナルサービスやセキュリティ監視センター(SOC)の構築・運用、技術支援サービスなどのビジネスに従事しており、セキュリティ運用の最適化についての経験が豊かだという。
最高顧客責任者の責務について同氏は、「営業面などを除いて、技術支援や脅威対応、フォレンジック調査などセキュリティソリューションの導入から運用、改善に至るライフサイクルに従い、顧客が継続的にわれわれのプラットフォームを最適な形で利用し、セキュリティレベルを高めていくためのあらゆるサポートを担当している」と述べる。
同社が主力とする脅威検知および対応のソリューションは、脅威防御と並んでセキュリティ対策に不可欠な要素となっている。ここのソリューションには、エンドポイント中心の「EDR」やネットワーク中心の「NDR」、EDRやNDRを含む拡張型の「XDR」、EDRやNDR、MDRの運用を支援するマネージドサービス型の「MDR」などがある。
これらのソリューションは、疑わしき兆候の検知から詳細な分析、顕在化した脅威への対応までを担うため、非常に高機能かつ取り扱うデータや領域も膨大になる。運用には高度なスキルや人材が必要で、ユーザー組織でそうしたリソースを確保できるのが理想だが、現実に難しいという組織が多く、ITサービスやセキュリティ専業のサービス提供事業者などが提供するMDRの利用も多い。
Ashkenazi氏は、顧客が直面している課題について「どの組織の最高情報セキュリティ責任者(CISO)も経営陣から安全を担保すべしという強いプレッシャーにさらされている。そうした中でも日本のCISOはとてもきめ細かく対応している印象だ。セキュリティポスチャー(セキュリティ状態)の可視化など運用の負担が増しており、われわれはまずプラットフォームで負荷を下げるように取り組んでいる」と話す。
同氏は、最高顧客責任者に就任する以前に、これらのソリューションがユーザーに提供する膨大なアラートやログなどの情報から対応の優先順位付け(トリアージ)を支援するMDRサービスの「Vigilance」や、ユーザーに関連にする可能性のある脅威を監視する脅威ハンティングサービスの「WatchTower」などの提供を担当したという。
また、脅威検知および対応ソリューションの運用の大半をアウトソースしたい、あるいはトリアージの部分だけを省力化したいといった顧客ニーズには、ニーズに合わせてパートナーと連携した運用支援策をアドバイスする。
「Singularity XDR」プラットフォーム
「プラットフォームとしては使いやすさや拡張性に優れており、なるべく運用を自動化できるよう機能の活用を顧客に提案している。その上で顧客に対して製品の利用状況や、自動更新の設定といった機能活用のためのアドバイス、セキュリティ動向の情報などを率先して提供し、顧客がセキュリティ運用の最適化により関心を傾けてほしいと考えている」(Ashkenazi氏)
先述したように、セキュリティソリューションの高度化に伴う運用の難しさには、世界中の組織が抱えているセキュリティ人材の不足といった問題も関係している。Ashkenazi氏は、「顧客により良いソリューションとサービス、サポートを顧客に提供するためにも多数のセキュリティ人材が必要で、われわれも人材不足の課題に直面している」と、ソリューション提供側の実情を明かす。
この改善のための取り組みの一つが生成AI技術などの活用だ。Ashkenazi氏によれば、同社では以前から脅威に関する分析処理の自動化などにおいてAIの活用を進めており、生成AIについては、例えば、顧客からの質問に対して適切な回答をAIが導き出し、顧客に伝わりやすい対話を生成できるようにしていけるという。「従来のナレッジベースよりも適切な解決策を自動的に提示できるようになるだろう」(Ashkenazi氏)
顧客向けの生成AI機能では、2月のセキュリティカンファレンス「RSA Conference 2023」で、機械学習や大規模言語モデルによる生成AIなどを組み合わせた脅威対応の自動化を図る「Purple AI」を発表した。4月にベータ版へ移行してテストユーザーの環境で、AIを利用した脅威対応の自動化について検証や調整を進めている段階にあり、 11月に開催する同社のプライベートカンファレンスで一般提供を目指しているという
「これによりユーザーは、例えば『サプライチェーンにおける脆弱(ぜいじゃく)な部分を提示してほしい』『このセキュリティイベントに関するソースを提示してほしい』などとAIに問いかけることで、AIが膨大なデータレイクを参照し、ユーザーに適切な回答を示すことができる」(Ashkenazi氏)
また、国内の導入実績は300社以上で、従業員3万5000人以上の製造企業が同社のEDRに切り替えるなどのケースも見られるという。日本法人のSentinelOne Japanでカントリーマネージャーを務める青山裕宣氏は、「既にEDRなどの運用経験があり、課題が明確で、それを解決するためにわれわれのプラットフォームやサポートを利用するために切り替えたユーザーが少なくない。他方で、国内市場全体としては、まだまだEDRやMDRを知らないという組織が多く、脅威対応の重要性を理解していただく必要がある」と話す。