セキュリティ運用をログ分析とAI処理で効率化!マネージド提供も可能な「Stellar Cyber Starlight」の強み

膨大なアラート処理やインシデント対応で、企業のセキュリティ運用は限界に近づきつつある。次々とセキュリティ製品が発表される中、導入コストは増え続け、運用コストも高止まりしている。運用の効率化や自動化はどうすれば実現できるのか。そんななか注目を集めているのが、新しいマネジメントシステムを構築するためのコンセプト「XDR」だ。Open XDRを標榜し、業界に新風を巻き込んでいるソリューション「Stellar Cyber Starlight」を紹介する。

脅威が常態化するなか限界に近づくセキュリティ運用

 セキュリティはいまや企業活動における必須事項だ。メールアドレスに不審なメッセージが届くことは日常茶飯事で、普段使っているPCやスマホが気づかないうちにマルウェアに感染していることも少なくない。社内ネットワークは絶えず悪意のある攻撃にさらされ、気づいたときには重要情報が盗み出された後だったという事例も多い。クラウドの利用が進むにつれ、設定ミスや操作ミスを原因とした情報漏えいも頻発するようになっている。エンドポイントから企業ネットワーク、クラウドまでそこで行われるすべての業務が常に新しい脅威にさらされていると言っていい。

 このように脅威が常態化するなかで、企業が強固なセキュリティを維持し続けることは決して容易なことではない。その難しさについて、国内でさまざまなセキュリティ製品を展開するジェイズ・コミュニケーション(以下、J's) マーケティング戦略本部 マーケティングコミュニケーション部の太田博士氏はこう説明する。

 「脅威の進化に対応するためにさまざまなセキュリティ対策が考案されてきました。最近のセキュリティ製品はより詳細でより微細な現象を発見できるように進化を遂げ、多品種化も進んでいます。一方、守るべき情報資産はオンプレミスから仮想環境、クラウド、コンテナなどとより広範囲になり、複雑化しています。セキュリティ担当者は大量のアラートの処理に日々悩まされ、十分に対処できていない状況です」(太田氏)

 セキュリティ製品の代表は、アンチウイルスやファイアウォール(FW)、IDS/IPSなどだろう。これらは、脅威に対抗するため、UTMや次世代FW(NGFW)、サンドボックスなどへと進化した。さらに近年では、脅威を詳細に分析するための基盤としてのSIEM(Security Information and Event Management)や、エンドポイントで脅威に迅速に検知・対応するためのEDR(Endpoint Detection and Response)、ネットワークトラフィックで脅威を解析するNTA(Network Traffic Analysis)などが求められるようなってきた。

 多くの企業にとってこれらすべてを導入することはコスト的にかなりの負担だ。仮に導入できたとしても人手不足が深刻化するなかで適切に運用していくことが大きな課題となっている。企業のセキュリティ運用は限界に近づきつつあるのが現実なのだ。

図:大量のアラートでセキュリティの運用現場は疲弊するばかり 図:大量のアラートでセキュリティの運用現場は疲弊するばかり

(https://jscom.jp/stellarcyber/の「セキュリティ監視の課題」より)
※クリックすると拡大画像が見られます

カギはマネジメントシステムとAI、外部リソースの活用

 そんななかセキュリティ運用に対する新時代のアプローチとしてJ'sが提案しているのが、セキュリティマネジメントシステムの構築とAIや外部リソースの活用だ。具体的には、さまざまなセキュリティ製品を連携させながら統合的なセキュリティ監視の仕組みを作り、それをAIや外部パートナーの力を借りながら、セキュリティオペレーションセンター(SOC)やマネージドセキュリティサービス(MSS)として利用していくというシナリオだ。

 「管理を効率化しながら、個人の手作業に頼らずにセキュリティ運用を回せるようにすることが重要です。マネジメントシステムに求められる要件は、セキュリティに関わるあらゆるリソースからセキュリティ情報を収集し、分析、監視、検知、対処できるようにすること。そのためには、多種多様な製品を連携させ、UTMやNGFW、サンドボックス、SIEM、EDR、NTAといった機能を統合管理することがポイントです。また、SOCやMSSを活用するうえでは、さまざまなセキュリティ機能をセキュリティ担当者やパートナー企業がいかに簡単に使いこなせるようにするかが重要です」(太田氏)

 こうした要件を満たすセキュリティマネジメントシステムとしてJ'sが提供しているのが、Stellar Cyber(ステラサイバー)社の製品だ。Stellar Cyberは2015年に米国で設立されたスタートアップで「XDR」と呼ばれる新しいコンセプトの製品「Starlight」を2018年から展開している。Stellar Cyberのリージョナル・セールス・ディレクター 小澤嘉尚氏はこう説明する。

 「XDRは、EDR製品における検知・対応の機能を社内ネットワークやWAN、クラウドなど、あらゆる領域をクロスオーバー(=X)して実現していくというコンセプトです。大量のアラートによって発生する対応負荷や脅威の見逃しを軽減することが可能です。Stellar Cyberでは、このXDRをさらに推し進め、あらゆるベンダーのセキュリティ製品とオープンなかたちで連携できる『Open XDR』を提唱しています。Open XDRを実現するためのプラットフォームであるStarlightは、さまざまな環境から集めたログデータを総合的かつ多面的に判断して脅威を食い止めます。また、AIを活用した挙動分析によって既知のルールを回避する未知の攻撃を特定し、網羅的に脅威の発見を行います」(小澤氏)

図:Open XDRを実現するためのプラットフォーム「Stellar Cyber Starlight」 図:Open XDRを実現するためのプラットフォーム「Stellar Cyber Starlight」
https://jscom.jp/stellarcyber/の「セキュリティセンサー + 既存セキュリティ機器」より)
※クリックすると拡大画像が見られます

Open XDRを標榜する「Stellar Cyber Starlight」3つの強み

 XDR製品を用いたセキュリティマネジメントシステムの構築は、大手セキュリティベンダーも取り組みを進めている段階だ。そのなかでStarlightは、Open XDRによる独自のアプローチが市場から高く評価されているという。2018年に登場してすぐ世界的なセキュリティカンファレンスRSA Conferenceにおいてサイバーセキュリティ分野のアワードを受賞するなど注目度も高く、すでに世界中に多くのユーザーがいる。

 Starlightの特徴は、3つある。1つめはさまざまなセキュリティセンサーを製品に内包していること。2つめは他のセキュリティ機器のログとの統合分析が可能なこと。3つめはマルチテナント対応などマネージドサービス基盤としての機能を標準装備していることだ。

SIEMやサンドボックス、NTAを1パッケージで提供

 1つめのセキュリティセンサーの内包というのは、セキュリティの機能として、IDS、SIEM、サンドボックス、NTA、ハニーポット/デコイなどがすでにStarlightのパッケージに含まれていることを指している。コストや運用面での不安からこれらの機能を導入していない場合、Starlightだけでこれらを利用可能になる。特にSIEMは導入コストも高く、運用にも専門的なスキルとノウハウが求められることから、1パッケージで導入できるメリットは大きい。すでにSIEMなどを導入している場合も、Starlightへ置き換えることでコスト削減を図ることが可能だ。

 「さまざまなセンサーを組み合わせながら、サーバ、仮想環境、コンテナ、ネットワークパケットなどからあらゆるデータを収集します。収集されたデータは、データクレンジングなどのビッグデータ処理を行ったうえで、複数のAIを使って、イベントの検出、異常の特定、高精度なアラートの発報を行っていきます」(小澤氏)

他社セキュリティ機器と連携し、ログを統合分析

 2つめの他のセキュリティ機器のログの統合分析は、上記のセキュリティセンサーに加え、他社のUTMやNGFW、ログ管理システムなどのログを取り込んで、AIで分析できることだ。例えば、PaloAlt PAシリーズやCisco ASAシリーズ、CheckPointなどのゲートウェイ製品のほか、Carbon Black、Crowdstrikeなどのエンドポイント製品、VMware ESXiやActive Directoryなどのオンプレミス製品、Office 365やG Suite、AWS CloudTrail、OKTAなどのクラウド製品などに対応している。対応製品は順次、拡張される予定だ。

パートナー企業によるSOCやMSSの提供が可能に

 3つめのマルチテナント対応などマネージドサービス基盤としての機能を標準装備という点は、ユーザー企業のリソース不足を補うという点で特に重要なポイントとなる。Starlightのデータベースは、複数の企業ごとに分けて管理するマルチテナントが可能だ。テナント毎にインデックスを保持し、テナント毎にAIが機械学習によって脅威を発見することになるため、企業それぞれの脅威の動向に合わせた対処が可能になる。

 また、マルチテナントで管理できるため、パートナー企業がSOCやMSSを運営する場合に、効率的でセキュアな管理が可能になる。また、分散処理を行うことで大規模な環境にも対応しやすくなる。

ジェイズ・コミュニケーション株式会社マーケティング戦略本部 マーケティングコミュニケーション部太田 博士氏(写真右)
StellarCyber Inc.リージョナル・セールス・ディレクター小澤 嘉尚氏(写真左)
ジェイズ・コミュニケーション株式会社
マーケティング戦略本部 マーケティングコミュニケーション部 太田 博士氏(写真右)
StellarCyber Inc.
リージョナル・セールス・ディレクター 小澤 嘉尚氏(写真左)

ユーザー企業やパートナー企業のニーズに応じて3つの提供パターンを用意

 J'sでは、Starlightを使ったセキュリティマネジメントシステムを展開しやすくするために、3つの提供形態を用意している。ユーザー企業が自身で運用を行うための「オンプレミス型」、パートナー企業がユーザー企業のSOCを支援するための「サービス利用型」、パートナー企業やSI企業がマネージドサービスを展開していくための「MSS事業者型」の3つだ。

 オンプレミス型で導入する場合のメリットは、既存環境に合った運用や分析が可能なことだ。「ダッシュボード上からアラートを効率よく管理できるため、運用効率が向上し、負荷が削減できます。脅威の検知やレスポンスもあらかじめビルトインされているものを活用できます。既存環境にあわせてAIのカスタマイズもできるので柔軟な運用が可能です」(小澤氏)

 サービス利用型では「Starlight SOC in BOX」と呼ばれるマネージドサービスがJ'sから提供される。専用アプライアンスを設置してさまざまセキュリティ製品のログを取込み、AIが統合的に解析して危険な兆候をアラートしたり、レポートを提供したりする。

 「サービス基盤を運用するのはJ'sです。パートナー企業はユーザー企業のSOCとしてアラートの処理やレポートの報告を行うことでユーザーを支援します。高度なセキュリティ知識やSOCの運用ノウハウがなくてもマネージドサービスが提供できることがメリットです」(太田氏)

 MSS事業者型は、Starlightのサービス基盤の運用からパートナー企業やSI企業が担うモデルだ。より多くのユーザー企業をサポートしたり、ユーザー企業により寄り添ったかたちでのサービス提供が可能になる。

 セキュリティについてどこにどれだけ投資すればよいか多くの企業が悩んでいる。またセキュリティ運用を人手でカバーすることも限界に近づいている。太田氏は「Open XDRを活用したマネジメントシステムを構築することでセキュリティにまつわるさまざまな悩みを解消してほしい」と訴える。また、小澤氏も「Starlightはセキュリティ運用の課題、ひいては、日本のIT運用の課題を解消できるツールです。ぜひ体験してください」と強調する。Starlightは、ユーザー企業だけでなく、パートナー企業やSI企業にとっても有望なソリューションになりえる製品だ。ぜひ注目しておきたい。

図:J'sによる「Stellar Cyber Starlight」3つの提供パターン 図:J'sによる「Stellar Cyber Starlight」3つの提供パターン
※クリックすると拡大画像が見られます

Infomation

提供:ジェイズ・コミュニケーション株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2020年9月30日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]