脅威が常態化するなか限界に近づくセキュリティ運用
セキュリティはいまや企業活動における必須事項だ。メールアドレスに不審なメッセージが届くことは日常茶飯事で、普段使っているPCやスマホが気づかないうちにマルウェアに感染していることも少なくない。社内ネットワークは絶えず悪意のある攻撃にさらされ、気づいたときには重要情報が盗み出された後だったという事例も多い。クラウドの利用が進むにつれ、設定ミスや操作ミスを原因とした情報漏えいも頻発するようになっている。エンドポイントから企業ネットワーク、クラウドまでそこで行われるすべての業務が常に新しい脅威にさらされていると言っていい。
このように脅威が常態化するなかで、企業が強固なセキュリティを維持し続けることは決して容易なことではない。その難しさについて、国内でさまざまなセキュリティ製品を展開するジェイズ・コミュニケーション(以下、J's) マーケティング戦略本部 マーケティングコミュニケーション部の太田博士氏はこう説明する。
「脅威の進化に対応するためにさまざまなセキュリティ対策が考案されてきました。最近のセキュリティ製品はより詳細でより微細な現象を発見できるように進化を遂げ、多品種化も進んでいます。一方、守るべき情報資産はオンプレミスから仮想環境、クラウド、コンテナなどとより広範囲になり、複雑化しています。セキュリティ担当者は大量のアラートの処理に日々悩まされ、十分に対処できていない状況です」(太田氏)
セキュリティ製品の代表は、アンチウイルスやファイアウォール(FW)、IDS/IPSなどだろう。これらは、脅威に対抗するため、UTMや次世代FW(NGFW)、サンドボックスなどへと進化した。さらに近年では、脅威を詳細に分析するための基盤としてのSIEM(Security Information and Event Management)や、エンドポイントで脅威に迅速に検知・対応するためのEDR(Endpoint Detection and Response)、ネットワークトラフィックで脅威を解析するNTA(Network Traffic Analysis)などが求められるようなってきた。
多くの企業にとってこれらすべてを導入することはコスト的にかなりの負担だ。仮に導入できたとしても人手不足が深刻化するなかで適切に運用していくことが大きな課題となっている。企業のセキュリティ運用は限界に近づきつつあるのが現実なのだ。
カギはマネジメントシステムとAI、外部リソースの活用
そんななかセキュリティ運用に対する新時代のアプローチとしてJ'sが提案しているのが、セキュリティマネジメントシステムの構築とAIや外部リソースの活用だ。具体的には、さまざまなセキュリティ製品を連携させながら統合的なセキュリティ監視の仕組みを作り、それをAIや外部パートナーの力を借りながら、セキュリティオペレーションセンター(SOC)やマネージドセキュリティサービス(MSS)として利用していくというシナリオだ。
「管理を効率化しながら、個人の手作業に頼らずにセキュリティ運用を回せるようにすることが重要です。マネジメントシステムに求められる要件は、セキュリティに関わるあらゆるリソースからセキュリティ情報を収集し、分析、監視、検知、対処できるようにすること。そのためには、多種多様な製品を連携させ、UTMやNGFW、サンドボックス、SIEM、EDR、NTAといった機能を統合管理することがポイントです。また、SOCやMSSを活用するうえでは、さまざまなセキュリティ機能をセキュリティ担当者やパートナー企業がいかに簡単に使いこなせるようにするかが重要です」(太田氏)
こうした要件を満たすセキュリティマネジメントシステムとしてJ'sが提供しているのが、Stellar Cyber(ステラサイバー)社の製品だ。Stellar Cyberは2015年に米国で設立されたスタートアップで「XDR」と呼ばれる新しいコンセプトの製品「Starlight」を2018年から展開している。Stellar Cyberのリージョナル・セールス・ディレクター 小澤嘉尚氏はこう説明する。
「XDRは、EDR製品における検知・対応の機能を社内ネットワークやWAN、クラウドなど、あらゆる領域をクロスオーバー(=X)して実現していくというコンセプトです。大量のアラートによって発生する対応負荷や脅威の見逃しを軽減することが可能です。Stellar Cyberでは、このXDRをさらに推し進め、あらゆるベンダーのセキュリティ製品とオープンなかたちで連携できる『Open XDR』を提唱しています。Open XDRを実現するためのプラットフォームであるStarlightは、さまざまな環境から集めたログデータを総合的かつ多面的に判断して脅威を食い止めます。また、AIを活用した挙動分析によって既知のルールを回避する未知の攻撃を特定し、網羅的に脅威の発見を行います」(小澤氏)
(https://jscom.jp/stellarcyber/の「セキュリティセンサー + 既存セキュリティ機器」より)
※クリックすると拡大画像が見られます
Open XDRを標榜する「Stellar Cyber Starlight」3つの強み
XDR製品を用いたセキュリティマネジメントシステムの構築は、大手セキュリティベンダーも取り組みを進めている段階だ。そのなかでStarlightは、Open XDRによる独自のアプローチが市場から高く評価されているという。2018年に登場してすぐ世界的なセキュリティカンファレンスRSA Conferenceにおいてサイバーセキュリティ分野のアワードを受賞するなど注目度も高く、すでに世界中に多くのユーザーがいる。
Starlightの特徴は、3つある。1つめはさまざまなセキュリティセンサーを製品に内包していること。2つめは他のセキュリティ機器のログとの統合分析が可能なこと。3つめはマルチテナント対応などマネージドサービス基盤としての機能を標準装備していることだ。
1つめのセキュリティセンサーの内包というのは、セキュリティの機能として、IDS、SIEM、サンドボックス、NTA、ハニーポット/デコイなどがすでにStarlightのパッケージに含まれていることを指している。コストや運用面での不安からこれらの機能を導入していない場合、Starlightだけでこれらを利用可能になる。特にSIEMは導入コストも高く、運用にも専門的なスキルとノウハウが求められることから、1パッケージで導入できるメリットは大きい。すでにSIEMなどを導入している場合も、Starlightへ置き換えることでコスト削減を図ることが可能だ。
「さまざまなセンサーを組み合わせながら、サーバ、仮想環境、コンテナ、ネットワークパケットなどからあらゆるデータを収集します。収集されたデータは、データクレンジングなどのビッグデータ処理を行ったうえで、複数のAIを使って、イベントの検出、異常の特定、高精度なアラートの発報を行っていきます」(小澤氏)
2つめの他のセキュリティ機器のログの統合分析は、上記のセキュリティセンサーに加え、他社のUTMやNGFW、ログ管理システムなどのログを取り込んで、AIで分析できることだ。例えば、PaloAlt PAシリーズやCisco ASAシリーズ、CheckPointなどのゲートウェイ製品のほか、Carbon Black、Crowdstrikeなどのエンドポイント製品、VMware ESXiやActive Directoryなどのオンプレミス製品、Office 365やG Suite、AWS CloudTrail、OKTAなどのクラウド製品などに対応している。対応製品は順次、拡張される予定だ。
3つめのマルチテナント対応などマネージドサービス基盤としての機能を標準装備という点は、ユーザー企業のリソース不足を補うという点で特に重要なポイントとなる。Starlightのデータベースは、複数の企業ごとに分けて管理するマルチテナントが可能だ。テナント毎にインデックスを保持し、テナント毎にAIが機械学習によって脅威を発見することになるため、企業それぞれの脅威の動向に合わせた対処が可能になる。
また、マルチテナントで管理できるため、パートナー企業がSOCやMSSを運営する場合に、効率的でセキュアな管理が可能になる。また、分散処理を行うことで大規模な環境にも対応しやすくなる。
ジェイズ・コミュニケーション株式会社
マーケティング戦略本部 マーケティングコミュニケーション部 太田 博士氏(写真右)
StellarCyber Inc.
リージョナル・セールス・ディレクター 小澤 嘉尚氏(写真左)
ユーザー企業やパートナー企業のニーズに応じて3つの提供パターンを用意
J'sでは、Starlightを使ったセキュリティマネジメントシステムを展開しやすくするために、3つの提供形態を用意している。ユーザー企業が自身で運用を行うための「オンプレミス型」、パートナー企業がユーザー企業のSOCを支援するための「サービス利用型」、パートナー企業やSI企業がマネージドサービスを展開していくための「MSS事業者型」の3つだ。
オンプレミス型で導入する場合のメリットは、既存環境に合った運用や分析が可能なことだ。「ダッシュボード上からアラートを効率よく管理できるため、運用効率が向上し、負荷が削減できます。脅威の検知やレスポンスもあらかじめビルトインされているものを活用できます。既存環境にあわせてAIのカスタマイズもできるので柔軟な運用が可能です」(小澤氏)
サービス利用型では「Starlight SOC in BOX」と呼ばれるマネージドサービスがJ'sから提供される。専用アプライアンスを設置してさまざまセキュリティ製品のログを取込み、AIが統合的に解析して危険な兆候をアラートしたり、レポートを提供したりする。
「サービス基盤を運用するのはJ'sです。パートナー企業はユーザー企業のSOCとしてアラートの処理やレポートの報告を行うことでユーザーを支援します。高度なセキュリティ知識やSOCの運用ノウハウがなくてもマネージドサービスが提供できることがメリットです」(太田氏)
MSS事業者型は、Starlightのサービス基盤の運用からパートナー企業やSI企業が担うモデルだ。より多くのユーザー企業をサポートしたり、ユーザー企業により寄り添ったかたちでのサービス提供が可能になる。
セキュリティについてどこにどれだけ投資すればよいか多くの企業が悩んでいる。またセキュリティ運用を人手でカバーすることも限界に近づいている。太田氏は「Open XDRを活用したマネジメントシステムを構築することでセキュリティにまつわるさまざまな悩みを解消してほしい」と訴える。また、小澤氏も「Starlightはセキュリティ運用の課題、ひいては、日本のIT運用の課題を解消できるツールです。ぜひ体験してください」と強調する。Starlightは、ユーザー企業だけでなく、パートナー企業やSI企業にとっても有望なソリューションになりえる製品だ。ぜひ注目しておきたい。
※クリックすると拡大画像が見られます