今日、誰もが複数のデバイスを持ち、そのデバイス上のデータはパブリック クラウドに保存されていきます。それらは膨大な量のデータとなり、データが大量に行き交う世界で、そのトラフィックを監視するのは誰かと言えば、それはセキュリティオペレーションセンター(SOC)です。
ところが、最近では日常的に行き来するデータがフルスピードで疾走するF1カーに例えられる一方で、一部のトラフィック モニターは警察官の巡回パトロール程度だと言われています。
調査を行ってみると、この例えがそれほど的外れでもないことが分かります。セキュリティ イベントの25%は分析されることなく見過ごされています。また、セキュリティ部門の39%は、外部からの脅威情報の収集、処理、分析が自動化されていません。
考えてみてください。デジタル世紀の幕開けにも関わらず、3分の1以上の企業が人の手でサイバーセキュリティに対応しているというのです。これでは長続きしません。
そもそも、セキュリティ問題に対処していくために必要な人材が、単純に足りていない現状があります。ただし、トレーニングを行ったり採用を増やしたりすることで解決する問題ではありません。人間にかかる負荷を軽減し、機械に多くの仕事をさせる、という発想が必要です。脅威防御の自動化には、スピード、学習能力、他のソリューションとの連携など、さまざまなメリットがあります。データの統合、分析機能、機械学習は、高度なSOCにとって基本条件なのです。
マカフィーでは、1年ほど前から、これからのSOCの基盤となる、セキュリティ情報・イベント管理(SIEM)の最新版「McAfee Enterprise Security Manager(McAfee ESM 11)」を開発してきました。
サイバー犯罪者が賢くなるほど、SOCを進化させることがますます重要になってきます。McAfee ESM 11は、サイロ化されたデータを人間が調査する運用から、機械学習と高度な分析機能に基づくスピーディーな運用へと、企業のSOCを変革するためのソリューションを提供します。
McAfee ESM 11は、他のSIEMツールと比較し、柔軟なアーキテクチャーと高い拡張性を特長としています。
McAfee ESM 11の中核を成すオープンで拡張性の高いデータ バス アーキテクチャーの採用により、大量のセキュリティ イベントを効率よく処理できるようになりました。セキュリティ運用者や脅威ハンターは大量のセキュリティ イベントを対象に、インシデントの調査やコンプライアンスのためのデータ保全を柔軟かつ効率よく行えるとともに、大量のデータを必要とする分析プラットフォームとの連携も向上します。
McAfee ESM 11のアーキテクチャーでは、大量データの保存だけでなく数十億件規模の大量のイベントを対象に検索し素早く調査が行えます。必要に応じて、McAfee ESMにアプライアンスや仮想マシンを追加し、パフォーマンスを高めたり、冗長性を向上させることができます。
ESM 11には、パートナー機能も搭載されています。拡張性に優れた分散型のデザインのため、36社以上のパートナーと、数百件規模の標準化されたデータソース、また業界の脅威インテリジェンスが統合されています。
高度な分析を導入することで、重要な洞察や状況の素早い共有を実現すれば、サイバー脅威の調査を行うアナリストやセキュリティ運用チームのメンバーは、脅威が組織全体に与える影響や必要な対策を把握するなど、付加価値の高い次のステップに注力できるようになります。
McAfee Investigator、McAfee Behavioral Analytics、McAfee Advanced Threat Defenseなど、強化された新しいマカフィーのセキュリティ運用ソリューションで人とテクノロジーの融合を実現することで、企業はデータの収集、解析、共有を効率化して、セキュリティ イベントから実用的な洞察を導き出し、高度な脅威を確実かつ迅速に検知し、対応することが可能になります。この戦略については、前回のSOCのブログにまとめられています。
これらの製品は、擬似環境でリスクを完全に可視化し、グローバルに管理することを目的として、昨年度、テキサス州プレイノとアイルランドのコークに新設されたマカフィーのセキュリティ フュージョン センターで一斉にテストされました。セキュリティ フュージョン センターは、お客様がSOCを構築する際のモデルケースにしていただくことができます。
つまり、私たちはSOCをスピードアップさせているのです。重要なデータを分析するのに何時間もかけることはなく、数分で実現します。高度に調整されたアプライアンスが、STIXベースの脅威インテリジェンス フィードなど、他のデータ ストリームも含め、何年分ものログ イベントを収集し、処理および相関分析を行います。そして、何十億件ものイベントやフローが含まれるストレージを備え、長期保存されるイベント データに迅速にアクセスして攻撃を調査します。
データが増えるスピードにセキュリティを追いつかせ、SOCをスピードアップさせましょう。
※本ページの内容は、2018年3月26日更新のMcAfee Blogの内容です。
