「セキュリティオペレーション自動化」と「脅威インテリジェンス管理」を統合したプラットフォーム

パロアルト、“SOARを再定義する”新製品「Cortex XSOAR」提供開始

2020年04月27日 07時00分更新

文● 大塚昭彦／TECH.ASCII.jp

　パロアルトネットワークスは2020年4月23日、セキュリティオペレーション自動化（SOAR）と脅威インテリジェンス管理の機能を統合したプラットフォーム新製品「Cortex XSOAR」の国内提供開始を発表した。2019年3月に買収したDemistoのSOARを改称し、機能強化した製品で、パロアルトでは「従来のSOARを再定義するもの」と位置づけている。

　同日のオンライン記者発表会では、国内企業を対象に実施されたセキュリティオペレーションとSOAR導入の実態調査結果から、企業のセキュリティオペレーション自動化を阻害する要因とその解決策も説明された。

パロアルトネットワークスが国内提供開始した「Cortex XSOAR（コルテックス・エックスソアー）」の機能概要

リアクティブな対応、プロアクティブな予防の両方をカバーする狙い

　Cortex XSOARは大きく4つ、「Security Automation & Orchestration」「リアルタイムコラボレーション」「ケース管理」「脅威インテリジェンス管理」の機能群を単一プラットフォーム上に統合した製品。パロアルトネットワークス Cortex営業本部本部長の露木正樹氏は、「このXは“Extended”の意味であり、XSOARは『SOARを再定義するもの』だと位置づけている」と説明する。

　「XSOARでは、従来型のSOARが提供してきたセキュリティ自動化（Security Automation & Orchestration）、ケース管理、リアルタイムコラボレーションの機能に、脅威インテリジェンス管理の機能も統合してリリースする。これにより、セキュリティチームに対してインシデントライフサイクル全体に及ぶサービスを提供できる」（露木氏）

Cortex XSOARの概要。サードパーティのSIEMやセキュリティ製品、脅威インテリジェンスフィードと連携できるプラットフォーム

　従来型SOARの提供してきた自動化、ケース管理、コラボレーションは、インシデント発生後に必要となる「リアクティブ」な調査のための機能群だ。一方で脅威インテリジェンス管理は、外部から得た情報に基づき事前に予防的措置を行うための「プロアクティブ」な機能である。これらをプラットフォーム上で統合し、さらには脅威インテリジェンスを中核に据えることで、従来の“分断”状況を解消してライフサイクル全体をカバーする製品としている。

従来は脅威インテリジェンスが別個に管理されており、円滑なセキュリティオペレーションの妨げとなっていた

　4つの機能それぞれの特徴を見ていきたい。まずSecurity Automation & Orchestrationでは、380以上のサードパーティ製品との統合が可能だ。また「Visual Playbook Editor」を備えており、あらかじめ用意された1000以上のセキュリティアクション（自動化を実行する部品）をGUI上でつなぎ合わせるだけで、ノンコーディングでプレイブックを作成してワークフローを自動化できる。ちなみに、プレイブックもあらかじめ200種類ほど用意されているという。

　「SOARというと『PythonやJavaScriptでコードを書かなければならない』という通説があるが、XSOARの場合はVisual Playbook Editorで画面上にアクションを置き、それらをつなげたり設定変更したりするだけで、簡単に使える」（露木氏）

ワークフロー自動化のための、GUIによるプレイブック作成機能を備える

　ケース管理では、さまざまなセキュリティ製品から上がる膨大な量のセキュリティアラートやインシデント、インジケーターを単一フレームワーク内に統合し、インシデントレスポンスを短縮する。ここでは特に「自動で処理すべきもの、人間が対応すべきものは明確に分かれるので、それをきちんと管理していく」（露木氏）。反復的な攻撃への対応を標準化して負荷を軽減することで、一回限りの高度な攻撃への対応余地を生み出す。

ケース管理機能では、定型的／反復的なケースを切り分け自動化につなげる。なおSLA／メトリック追跡などの機能も備える

　未知のインシデントのような「人間が対応すべき」ケースが発生した場合は、チーム全体での脅威調査を円滑に進めるために、リアルタイムコラボレーションの機能が用意されている。「いわゆる“仮想作戦室”をオンラインに用意し、アナリスト間での協調を可能にして、それぞれの知見を集めることで迅速なインシデント対応を促す」（露木氏）。

　なおこのコラボレーションプラットフォームには、チャットによる対話型式でオペレーションを支援する“ChatOps”のためのAI bot（Dbot）も組み込まれている。このbotはインシデント調査のためのクエリ問い合わせに応答するほか、アナリストに対するオペレーションのサジェストも行うという。

　「たとえば夜中の2時にインシデントが発生し、アナリストAさんが対応したとする。翌日の14時になって同じインシデントが再度発生してアナリストBさんが対応に当たる際、このbotが『昨日はこのように対応しているので、同じように対応したらどうか』とサジェストしてくれる。こうした仕組みにより、効率的にインシデント対応が行える」（露木氏）

チャットによるアナリスト間のリアルタイムコラボレーションが可能。またAI botを介したクエリやサジェストの機能も備える

　そして最後が、脅威インテリジェンス管理の機能だ。パロアルトが提供する「AutoFocus」をはじめとした複数の脅威インテリジェンスフィードからの情報を自動的に集約／解析／重複排除し、一元管理する。プラットフォームに統合されているため、取得した最新の脅威情報をプレイブックに基づいてセキュリティ製品に自動設定し脅威を遮断したり、アラートやインシデントの優先順位付けを脅威情報に基づき実行したりすることも可能だ。