ASM、SOAR、およびXDR: SOC変革のための基盤構築
効果的で回復性のあるセキュリティオペレーションセンター(SOC)を構築するには、段階的なアプローチが重要です。SOCの基盤を支える4つの「鍵となる」テクノロジーを考慮しながら、セキュリティ運用戦略の整備と周知を進めましょう。
1. 攻撃対象領域の把握とリスク管理機能の強化
SOC変革の柱となるのは、強固なリスク管理機能です。リスク管理の出発点は、まず「保護対象」となる資産の特定から始まります。これにより、各リスクに優先順位をつけ、リスク軽減策の適切な分析が可能となります。このプロセスにより、危険度に応じた戦略的対応が組織内で確立されます。
攻撃対象領域管理 (ASM) の役割
SOCにおけるリスク管理機能を強化するためには、攻撃対象領域の把握が不可欠です。「見えないものを守ることはできない」という原則に基づき、ASM(攻撃対象領域管理)ソリューションの導入や、侵入テスト、脆弱性スキャンなどの予防的な評価を行うことが推奨されます。ASMソリューションは、組織内外のリスクポイントを特定し、適切な管理体制の確立に寄与します。
ASMソリューションの選定ポイント
ASMソリューションやその他のセキュリティツールを導入する際には、製品と運用の両要件に基づいた評価が必要です。具体的には、ソリューションの機能性、特徴、対応可能なリスクの範囲、運用に必要なスキルセットなどが基準となります。これにより、組織に最も適したASMソリューションを明確にし、SOC全体で期待される効果を具体的に計画できるようになります。
このようなプロセスを通じて、SOC変革の第一歩である「リスク管理基盤」の強化が実現します。
SOCにおける脅威と攻撃対象領域管理: 「2021 Cortex Xpanse 脅威レポート」の分析
パロアルトネットワークスの「2021 Cortex Xpanse 攻撃対象領域に関する脅威レポート」は、グローバルな大企業が公共インターネットに晒すリスクについて貴重な洞察を提供しています。このレポートでは、2021年の1月から3月にかけて、Cortex Xpanseリサーチチームがグローバル企業50社を対象に5,000万件のIPアドレスをスキャンし、迅速にエクスプロイト攻撃の標的となり得る脆弱なシステムの特定を目的としました。
特に注目すべきは、発見された脆弱性の約3分の1がリモートデスクトッププロトコル(RDP)に起因している点です。RDPの利用は、COVID-19パンデミックによる在宅勤務(WFH)プロトコルの普及により急増しました。これに伴い、多くの企業がクラウド移行を加速させ、リモートワーク支援のために新たなシステムを導入したことで、攻撃対象領域が拡大し、RDPを通じた脆弱性が増加しています。
レポートの主な調査結果とその含意
攻撃者の絶え間ない活動
脅威アクターは、1時間ごとに新しいスキャンを実行し、脆弱性の発見と悪用の機会を逃しません。対照的に、グローバル企業が同様のスキャンを実行するには数週間を要する場合もあり、こうしたスピード差が企業における攻撃リスクを増大させています。
新しい脆弱性の迅速な標的化
攻撃者は、新しいCVE(共通脆弱性識別子)が公開されたわずか15分以内にスキャンを開始しており、特にMicrosoft Exchange Serverのゼロデイ更新については、公開後5分以内にスキャンを開始しています。この迅速な対応能力は、企業が新しい脆弱性に対する対応策を確立する前に攻撃が行われるリスクを示しています。
データコンサルタントとしての考察
このレポートは、SOC(セキュリティオペレーションセンター)が攻撃対象領域管理(ASM)を強化する重要性を示しています。特に、RDPの脆弱性や迅速なスキャン対応に備えるためには、以下の戦略が推奨されます:
リアルタイムな脅威インテリジェンス: 新しいCVEの公開情報を即座にモニタリングし、適用すべきセキュリティ更新の即時適用を推進するプロセスの整備が求められます。
攻撃対象領域の自動スキャンと管理: 攻撃者に先んじて攻撃対象領域のスキャンを定期的に実施することで、潜在的なリスクを事前に特定し、迅速に対応する体制を強化します。
Cortex Xpanseのような攻撃対象領域管理ツールの導入は、組織のインフラ全体の見える化を進め、攻撃者の迅速なスキャン活動に対抗するための基盤構築に寄与します。
SOCにおけるXDRの役割とその進化: 次世代のセキュリティ対応力向上
データセキュリティ領域では、次世代型セキュリティソリューションとしてXDR(Extended Detection and Response)の導入が重要視されています。XDRは、2018年にパロアルトネットワークスの共同創業者であるNir Zuk氏により提唱され、既存のEDR(Endpoint Detection and Response)の機能をさらに進化させ、より包括的な検出および対応能力を提供します。この技術の誕生背景には、攻撃の効率的な阻止、見逃しのない脅威検出、そしてSOCチームの調査能力向上といったニーズがありました。
XDRのコンセプトは、エンドポイントの監視に留まらず、以下のような複数のデータソースを統合的に扱うことにあります:
ネットワークトラフィック分析(NTA)
ユーザー・エンティティ行動分析(UEBA)
セキュリティ侵害インジケータ(IOC)
これにより、従来のサイロ化されたセキュリティツールを統合し、シームレスなアプローチで脅威の検出・調査を行うことが可能になります。
XDRの価値とSOCへのインパクト
XDRの活用により、セキュリティチームは以下の利点を享受できます:
効率的なプロセス統合と可視化の強化
SOCにおけるツールのサイロ化を解消し、可視性を拡大することで、脅威の早期発見・対処が可能になります。これにより、攻撃者の手法に対して盲点をなくし、迅速な対応が実現されます。
調査と対応のスピード向上
XDRは、複数のテレメトリを統合し、調査時間を短縮するだけでなく、キルチェーン全体における重要な段階(例: 持続的攻撃の横展開)で攻撃シーケンスを阻止します。これにより、重大な損害が発生する前に対応を完了できるため、SOCチームの「攻撃阻止」能力が向上します。
高度な分析と自動化
機械学習や高度な分析機能により、複雑な攻撃のパターンを自動で識別し、迅速なレスポンスを実現します。この機能は、特に複数のセキュリティツールが関与するインシデントレスポンスの場面で有効です。
現在の市場とSOCへの導入動向
市場においては、XDRの価値が高まりつつあり、特に以下の要因がその推進を後押ししています:
サードパーティとの連携強化
XDRは、サードパーティのツールと密に統合することで、SOCにおけるシステム間の調整を効率化し、レスポンスの迅速化を可能にします。
増加するツール数への対応
企業が平均で45個ものセキュリティツールを使用している中、インシデントレスポンスでは約19個のツール間での調整が必要とされています。XDRによって、複数のツールを統合し、SOCチームが適切かつ効率的にリスク管理を行えるようになります。
XDRの導入は、SOCチームのセキュリティプロセスの効率化と、より強固な攻撃対応基盤の構築を可能にし、現代の高度な脅威に対する備えを一層強化する手段として有望です。
グローバル企業における脆弱性管理とSOCの役割
脆弱性管理の現状
グローバル企業では、重大なセキュリティ問題が平均して12時間ごと、すなわち1日に2件発生しています。具体的には、リモートデスクトッププロトコル(RDP)やTelnet、SNMP、VNCといった安全でないリモートアクセス、またMicrosoft Exchange ServerやF5ロードバランサーなどのゼロデイ脆弱性が含まれます。このような頻繁な脆弱性の発生は、攻撃者に対するエントリーポイントの増加を意味し、セキュリティ運用センター(SOC)における迅速な対応が求められます。
クラウドから生じるリスクの増大
クラウド技術の普及に伴い、クラウドに固有のリスクが増加していることが明らかになりました。調査によると、グローバル企業で発見される重大なセキュリティ問題の79%がクラウド要因に起因し、オンプレミス要因の21%を大きく上回っています。この統計は、クラウドホスト型サービスやクラウドベースのアプリケーションに対するセキュリティ管理の必要性を強調しており、クラウド環境の脆弱性を適切に管理することがいかに重要であるかを示しています。
攻撃対象領域管理(ASM)の導入
攻撃者が新しい攻撃ベクターを発見する速度は、スキャン技術の進歩により飛躍的に向上しています。このため、SOCには放置された資産や不正な資産、設定ミスがある資産を迅速に検知し、外部の攻撃対象領域を絶えず評価できるASMソリューションの導入が推奨されます。ASMを用いることで、SOCは外部リスクに対する可視性を向上させ、対応の精度を高めることが可能です。
SOARによる効率化と自動化
SOCの効率化には、SOAR(Security Orchestration, Automation, and Response)ソリューションの活用が欠かせません。SOARの中心的な機能は、人手を最小限に抑えながらもセキュリティイベントの優先順位付けとワークフローの合理化を実現することです。複雑なインシデント調査の負担を軽減し、SOC内の各種ツールを連携させることで、インシデント対応プロセスの自動化と効率化が図れます。これにより、SOCチームは迅速な脆弱性対応とインシデントレスポンスを実現し、企業全体のセキュリティ体制を強化します。
結論
クラウド技術の普及と共に、クラウド特有の脅威が増加しており、企業はクラウド環境のセキュリティリスクに十分な対策を講じることが求められています。ASMやSOARといった最新のセキュリティソリューションを活用し、攻撃対象領域の継続的な監視と自動化された対応プロセスを確立することで、SOCは効率的にリスクを軽減し、強固な防御体制を維持することが可能になります。
SOCにおけるXDRの役割:検出とレスポンスの強化
従来のアプローチの課題
XDRが登場する以前、SOCではエンドポイントのテレメトリと他のイベントデータを関連付ける作業が煩雑で、多くの誤検知や情報過多に悩まされていました。異種イベントの統合には膨大なリソースが必要で、アラートのエスカレーションは主に熟練アナリストの判断に依存していました。その結果、SOCチームは実際に対応が必要なアラートに割くべきリソースが限られ、正当な脅威の調査が後回しにされることが少なくありませんでした。
XDR導入のメリット
このような限界に直面している中、進化する攻撃手法と頻度に対抗するため、先進的なセキュリティ組織はXDRのアプローチによる効率向上に注目しています。XDRは複数のセキュリティアーキテクチャを統合し、異種テレメトリをシームレスに処理することで、アラートの精度と有効性を向上させ、SOCチームが重要な脅威に集中できる環境を整えます。
結論:Cortex XDRの活用
Cortex XDRは、EDR(Endpoint Detection and Response)/EPP(Endpoint Protection Platform)などの防御機能を組み合わせたSecOpsアーキテクチャとして機能し、企業全体での脅威検出と対策を可能にします。SIEMの全機能を必要としない企業や、検出とレスポンスに特化した防御を強化したい組織に適しており、SIEMと併用することでEDR/EPP機能を包括的に提供する柔軟なアーキテクチャを構築できます。
XDRによるSOC効率の向上
XDRの導入により、SOCチームはアラートの信頼性を高め、誤検知の削減を実現し、セキュリティ運用の効率を大幅に向上させることが可能になります。
SOC(Security Operation Center)における革新:Cortex XSIAMで迅速なレスポンスと脅威の先取りを実現するAI主導のSOCプラットフォーム
従来のSIEMの限界
SIEM(セキュリティ情報イベント管理)ソリューションは、アラートやログ管理を合理化する目的で発展してきましたが、その多くは人間が手動で検出・修復を行う設計に依存しています。自動化の割合が低いため、人件費の負担が増大し、迅速な対応が求められるサイバー脅威には対応しきれない状況も少なくありません。このため、最新のサイバー攻撃に対抗するためには、AIを用いた根本的な運用変革が求められています。
Cortex XSIAMの導入効果
Cortex XSIAM(Extended Security Intelligence and Automated Management)は、SOC運用の中心となる包括的なAI主導のソリューションで、セキュリティアラートやイベント管理の自動化を可能にします。例えば、インフラから送られてくる膨大なアラートをXSIAMが自動的に整理し、重要度に基づいて優先順位を付け、適切な処理を行います。これにより、セキュリティ専門家はより高度な脅威分析と戦略的対応に集中でき、効率が大幅に向上します。
XSIAMによる包括的なSOC機能の強化
XSIAMは、SIEMと専用ツールの機能を統合し、次のような広範な機能を提供します:
データの一元化とインテリジェント統合:複数のソースからデータを統合し、全体の視野を確保。
分析による脅威の検出:AI駆動の分析により、高度な脅威の早期検出を実現。
インシデント管理と脅威インテリジェンス:インシデントの自動分類と情報の共有で迅速な対応が可能に。
自動化と攻撃対象領域の管理:攻撃対象領域のモニタリングとプロセス自動化で運用負担を軽減。
結論:AI活用によるSOC運用の未来
Cortex XSIAMを導入することで、SOCは高度な脅威に対して迅速かつ効率的に対応できる体制を構築できます。AIと自動化を活用することで、従来の運用プロセスの限界を克服し、スケーラブルで戦略的なセキュリティ運用を実現します。
SOCの自律運用基盤としてのCortex XSIAM
Cortex XSIAM
Cortex XSIAM(Extended Security Intelligence and Automated Management)は、XDR、SOAR、脅威インテリジェンス、ASM、SIEM機能をネイティブに統合し、自律型SOCの実現に貢献するソリューションです。複数の製品を単一のプラットフォームに集約することで、運用コストを削減しながら、アナリストの生産性と業務効率を高めます。この統合プラットフォームにより、従来のSOCでは対処が難しかった課題に対しても一貫した対応が可能になります。
Cortex XDR
Cortex XDRは、エンドポイントの保護を主眼に置いた検出およびレスポンス機能を提供し、特にWindowsやLinux環境でのEDR機能に優れています。自動化された証拠収集や関連アラートのグルーピング、タイムラインへの統合により、あらゆるスキルレベルのアナリストが迅速にトリアージや調査を実施可能です。これにより、アラートの管理精度が向上し、インシデント対応のスピードも大幅に向上します。
Cortex XSOAR
Cortex XSOAR(Extended Security Orchestration, Automation, and Response)は、インシデントとセキュリティ運用プロセス全体をエンドツーエンドで管理するプラットフォームです。900以上の事前作成されたコンテンツパックや強力なケース管理機能を活用し、セキュリティワークフローやプロセスのオーケストレーション、自動化、迅速化を支援します。さらに、統合脅威インテリジェンス管理により、インシデントに対する脅威情報の自動マッピングが可能になり、リアルタイムでの一元的な脅威管理とインシデント対応が実現します。
Cortex Xpanse
Cortex Xpanseは、クラウド上の資産と設定ミスを含む外部攻撃対象領域の正確なインベントリを作成し、継続的な検出、評価、削減を支援します。特に、リスクのある通信やサプライヤーのリスク評価、M&A対象企業のセキュリティ評価といったリスク管理プロセスにおいて、詳細な分析と可視化が可能です。これにより、外部攻撃のリスクを低減し、セキュリティ態勢の強化に貢献します。
SOC運用を支援するCortex製品スイートの優位性
現実的に、多くの顧客や潜在顧客は「システムインテグレータ」になりたいわけではありません。手作業による反復業務の負荷を減らし、運用の負担を軽減する方法を求めています。サイロ化されたツールを管理し続けることには、時間やコストが多大にかかり、結果としてSOCの可視性が断片化し、分析が複雑化することで、セキュリティ運用の成果が制限されるリスクもあります。
また、1日24時間の時間を増やすことはできませんが、Cortex製品スイートなら、統合プラットフォームを通じて、運用の最適化やTCO(総所有コスト)の削減を実現できます。他のセキュリティプロバイダーと比較して多くのサードパーティツールを統合できるため、顧客のSOC運用を次のレベルに引き上げる支援が可能です。さらに、データの安全な保管や必要なツールを提供することで、セキュリティアナリストが雑務を減らし、優先度の高いセキュリティ課題に専念できる環境を構築します。
Cortex製品スイートでのSOC変革の加速
SOCの変革において、Cortexの製品スイート(Cortex XSIAM、Cortex XDR、Cortex XSOAR、Cortex Xpanse)は、セキュリティ運用全体を強化するためにシームレスに連携します。このスイートによって得られる主なメリットは以下の通りです。
運用効率の向上:異種のツールやデータソースを一元管理し、SOC運用の一貫性を確保。
総所有コストの削減:サードパーティのツールを統合し、無駄なコストを抑えた効果的な運用を実現。
可視性の向上:断片化されがちなセキュリティ情報を統合し、SOCの大局的な可視性を強化。
アナリストの業務最適化:手作業の負荷を減らし、分析と意思決定に専念できる環境を提供。
Cortex製品スイートは、現代のセキュリティ運用の効率化と最適化を支援し、セキュリティチームが複雑な脅威に迅速かつ確実に対応できる体制を構築します。
SOC運用におけるエンドツーエンド統合と相互運用性の強化
現代のSOC(Security Operation Center)では、各種ツールのシナジーを活かした統合的アプローチが必要とされています。Palo Alto NetworksのCortexエコシステムは、このニーズに応えるため、SOCチームが脅威の全体像を把握し、迅速にループを終息させるための支援を提供します。
Cortex XSIAMは、EDR(エンドポイント検出と対応)、XDR(拡張検出と対応)、SOAR(セキュリティオーケストレーションと自動応答)、ASM(攻撃対象領域管理)、UEBA(ユーザーとエンティティ行動分析)、TIP(脅威インテリジェンスプラットフォーム)、ITDR(アイデンティティ検出と対応)、SIEM(セキュリティ情報とイベント管理)といったトップレベルのセキュリティ機能を統合しています。セキュリティ特有のデータモデルと機械学習を活用することで、データ統合から高度な分析まで対応し、多くのアラートを自動トリアージするため、アナリストは複雑なインシデントに集中できます。
Cortex XDRとXpanse:インターネット上の攻撃対象領域、エンドポイント、クラウド、ネットワーク全体を包括的に可視化し、高精度な検出を実現します。
Cortex XSOAR:完全なオーケストレーション、自動化、レスポンスを提供することで、SOCワークフロー全体の効率を高め、Cortex XDRやXpanseとの連携で精度の高いアラート検出も可能にします。
攻撃阻止を目指すSecOpsの刷新
Palo Alto Networksは、顧客の重要なリソースを守るため、最先端のセキュリティソリューションを提供しています。Cortex製品の活用により、組織のデジタル資産の保護をさらに強化し、SOCの運用効率やセキュリティ成果を向上させる支援を行います。
詳しい情報やデモの申し込みについては以下のリンクをご覧ください:
[Cortex Xpanse]
[Cortex XSOAR]
[Cortex XDR]
[Cortex XSIAM]
[Unit 42]
Palo Alto NetworksのCortex製品スイートは、エンドツーエンドでSOC運用をサポートし、効率的かつ高度な脅威対策の実現を目指します。
SOCの機能強化:ネットワーク全体への自動アクションの伝播
現代のSOC(Security Operation Center)における効率的な脅威対応には、ネットワークの他のセグメントに迅速かつ的確に指示を伝える仕組みが不可欠です。たとえば、特定のエージェントに封じ込めを指示したり、ファイアウォールに不正通信を拒否するよう命令したりといったアクションが迅速に展開されることで、被害拡大のリスクを最小限に抑えられます。
機械学習の活用によるSOCの高度化
機械学習技術の導入により、以下のような主要機能を実現し、SOC運用のレベルアップが期待されます:
統合:全体のデータを解析し、環境内で何が起こっているかを正確に把握します。
分析:問題領域に関する洞察を深め、潜在的なリスクや異常動作を予測します。
自動化:意思決定プロセスを加速し、システムレベルのアクション、ワークフロー、および意思決定を自動化することで、対策スピードと精度を向上させます。
セキュリティチームの最適化
効果的なSOCの構築には、最新のセキュリティソリューションやツールへの投資だけでなく、人的リソースの最適化が重要な要素です。特に反復的な業務において、機械学習や自動化の導入は対応時間、精度、全体的な成果向上に貢献します。しかしながら、エンジニア、アナリスト、アーキテクトなどの優秀な人材の採用・トレーニング・保持をSOCの変革戦略に組み込むことが不可欠です。自動化技術を活用することで、セキュリティチームはビジネスの保護に集中し、価値のある業務にリソースを注力できます。
サイバーセキュリティ業界の人材需要
労働統計局は、サイバーセキュリティ分野の労働者が2019年から2029年にかけて31%増加すると予測しています。また、米国教育統計センター(NCES)によると、過去6年間でサイバーセキュリティの新規取り組みは33%増加し、求人は94%増加したとされています。これらのデータは、サイバーセキュリティ人材への高まる需要を示しており、SOC運用の効率化と強化には自動化と人材育成の両面からのアプローチが求められています。