「セキュリティオペレーション自動化」と「脅威インテリジェンス管理」を統合したプラットフォーム

パロアルト、“SOARを再定義する”新製品「Cortex XSOAR」提供開始

2020年04月27日 07時00分更新

文● 大塚昭彦／TECH.ASCII.jp

高度なオペレーション自動化や脅威インテリジェンス管理のデモを披露

　発表会では、XSOARの機能を活用した2つのデモが披露された。

　1つめは、オペレーション自動化のデモだ。ログイン認証を複数回失敗したユーザーがいるというアラートを受けて、当該ユーザーに確認メールを自動発信し、Webフォームでの回答が「いいえ」であれば攻撃と見なしてインシデントを自動作成する。ここで認証ログからアクセス元のIPアドレスを抜き出し、脅威インテリジェンスの情報と照合して既知の脅威かどうかを自動調査する。こうした調査結果は、アナリストがエビデンスとして登録しチーム内で情報共有できる。こうした複雑なオペレーションプロセスも、Visual Playbook Editorで簡単に構成し、自動化することができると説明した。

　「また機械学習の機能も備えているので、過去に似たようなインシデントがあったかどうかを調べ、参考にすることもできる。アナリストが自分だけで判断できないとなった場合は、チャットを通じて他のアナリストをインシデントに呼び込み、共同作業で調査を進めることもできる」（パロアルトネットワークス Cortex事業本部システムエンジニアの澁谷寿夫氏）

インシデント管理のダッシュボードと「Visual Playbook Editor」の画面

　もう1つは、脅威インテリジェンス管理のデモだ。パロアルトのAutoFocusに加えて、マイクロソフトが提供する「Office 365」提供サーバーのフィードを取り込み、これらの情報を次世代ファイアウォールのフィルタリングルール（ブラックリスト、ホワイトリスト）として自動設定するというものだ。「当然、他社の次世代ファイアウォールやプロキシ製品にも取り込みができる」（澁谷氏）。また、複数のフィードに対して「信頼度」を設定し、脅威を判断するうえで役立てることもできると説明した。

オペレーション自動化を阻む要因を調査、それを乗り越える方策を提唱

　パロアルトネットワークスチーフサイバーセキュリティストラテジストの染谷征良氏は、同社が国内企業を対象に実施した「セキュリティオペレーションとSOAR活用の現状」についての調査結果に基づき、現場の課題とCortex XSOARによる解決策を説明した。なお同調査は、年間売上高500億円以上、従業員数500名以上の国内民間企業を対象として実施されたもの（回答者472名）。

　調査結果を見ると、回答企業のうちSOAR製品を「導入済み」としたのは8.9％、また「導入検討中」も24.4％で、「国内SOAR市場は黎明期にある」と染谷氏は説明する。中でもセキュリティ成熟度の高い企業が、次なるステップとしてSOAR導入を位置づけており、そうした企業では特に「外部セキュリティ情報（脅威インテリジェンス）の収集や検索」といった目的を重視する傾向が強いという。

国内企業におけるSOAR活用の現状、活用の目的（パロアルト調査結果より）

　他方で、SOARを導入していない企業に「オペレーション自動化に向けた課題、阻害要因」を尋ねたところ、「どこまで自動化していいのか分からない」「必要な作業フローが整備されていない」という回答がいずれも4割超と、突出して多かった。

　「とはいえ、他方でセキュリティ人材不足やセキュリティオペレーション業務の広範さ、さらに多数のセキュリティ製品を導入している現状を考えると、オペレーションの自動化や効率化は必須。まずは『人がやるべき業務』と『テクノロジーに任せる業務』を切り分ける必要があると考える」（染谷氏）

　染谷氏は、セキュリティオペレーションの効率化、高度化を推進するための「3つの段階」を実践していくべきだと説明した。まずは、現状の定型／非定型業務を棚卸ししたうえで、ワークフローを整備していくこと。そのうえで、定型業務はSOARなどのツールで自動化を図り、運用負荷を軽減していく。ここで余裕のできた人的リソースを活用して、脅威やインシデント検出能力をさらに高めていく、といったものだ。こうしたオペレーションの高度化が進めば、外部脅威インテリジェンスもさらに有効活用だろうと述べた。