このページの本文へ

セキュリティ運用を支援する脅威の検知と防御を提供

インフォセック、パロアルトのCortexを用いたMDRサービスを開始

2019年09月13日 10時00分更新

文● 大谷イビサ/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 2019年9月12日、インフォセックはパロアルトネットワークスの「Cortex XDR」を採用したMDR(Managed Detection and Response)サービスの提供開始を発表した。エンドポイント、ファイアウォール、クラウドまで含めた幅広いデータソースからデータを収集し、監視や脅威分析、対処、再発防止までセキュリティ運用を包括的にサポートする。

アラートに埋もれるSOCを支援するCortex XDR

 記者発表会の冒頭、登壇したパロアルトネットワークスの鈴木康二氏は、ユーザーや市場の変化に対応し、パートナーの利益にフォーカスした同社のパートナープログラム「NextWaveプログラム」について説明。高い収益性、サービスの販売機会、プロセスの最適化など、拡充したプログラムについてアピールした。

パロアルトネットワークス チャネル営業本部 本部長 鈴木康二氏

 パロアルトの製品ポートフォリオは買収などを経てかなり拡大している。ネットワークセキュリティ向けの次世代ファイアウォールに加え、エンドポイントセキュリティ製品「Traps」、クラウド型セキュリティサービスの「PRISMA」、そして今回インフォセックが採用したCortex XDRを展開している。

 現在、SecOpsチームは、「アラートが多すぎる」「ツールが乱立している」「適切なデータがない」という課題を抱えている。同社の調査によると、平均的な組織では30以上のセキュリティ製品を使用しており、1週間に17万4000ものアラートを受けている。また、適切なデータがないため、脅威を調査するために4日以上の時間がかかる。「本来のSOCは未知の脅威を防御するための対策を練るのが重要なのだが、この状態では対策が後手後手にならざるをえない」と鈴木氏は指摘する。

SecOpsチームが抱える3つの課題

 これを解決するCortex XDRディテクション&レスポンスは、ネットワークやエンドポイント、クラウドなどの製品の情報をCortexのデータレイクに収集し、自動的に脅威検知する。今までのようなオペレーターによる手作業での相関分析ではなく、収集したデータに機械学習やふるまい分析を適用し、重要度の高いモノだけを担当者にアラートとして上げられる。また、さまざまなアラートを統合的に扱えるので、関連性のあるアラートを1つのインシデントとしてグループ化することも可能になる。

さまざまなログを監視していかないと今後は脅威に対応できない

 2001年に創業されたインフォセックは、セキュリティの計画・立案、設計・立案、運営・監視までを包括的に提供する情報セキュリティ企業。SOCの運用や監視サービスも展開しており、あらゆるセキュリティデバイスを監視できるほか、専門のプロフェッショナル人材、海外子会社まで含めた24時間監視体制、AIを活用した脅威分析などの特徴を持つという。

インフォセック 取締役兼CISO 有松龍彦氏

 インフォセックが今回提供する「MDRサービス powered by Cortex XDR」は、パロアルトのMSSP(Managed Security Service Provider)パートナー認定を受けているインフォセックと、パロアルトのCortex XDRを組み合わせたサービス。エージェントのログを24時間365日体制で監視し、検出したアラートを分析し、端末の影響と原因をユーザー連絡する。また、リモートでの感染端末の隔離、フォレンジックによる初動調査、月次レポート、シグネチャチューニングやQ&A対応などを含んでおり、インシデントレスポンス対応もオプションで提供される。

MDRサービス powered by Cortex XDRの概要

 多くのベンダーやSOCはEDRやファイアウォール、IPSなど個別製品のログのみを対象としているが、今回のMDRサービスはCortexの機能を用いてさまざまなデータソースを解析する。「さまざまなログを監視していかないと、今後は脅威に対応できない。そう考えていたところにCortex XDRのサービスが登場した」(有松氏)ということで、従来から提供しているファイアウォールやエンドポイントのフォレンジックやコンサルサービスに加え、新たにMDRサービスを追加する。

 新サービスにおいては、事前に社内の運用チームでテストを実施し、有効性を確かめたという。「誤検知が想像以上に少なく、アラートが上がった原因も中身をきちんと見ることができ、早い対処ができるようになった」(有松氏)。インシデントが起こった際の工数を減らすことでサービスを展開に至ったという。有松氏は、「お客様に迅速に状況や影響をお知らせできるようになったので、われわれにとってもメリットがあった」と語る。サービス開始は9月末で、提供料金は個別見積もりになる。

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード