統合分析製品「FortiAnalyzer」や生成AIアシスタント「FortiAI」の最新機能を紹介

サイバー脅威の予兆は「可観測性」実現でより早く検知　フォーティネットが“可視化戦略の見直し”提唱

2024年11月11日 08時00分更新

文● 大塚昭彦／TECH.ASCII.jp

　フォーティネットジャパン（Fortinet）は2024年11月8日、「FortiAnalyzer」や「FortiAI」を中心とする、AIを活用した新たなSecOps（セキュリティ運用）ソリューションに関する記者説明会を開催した。

　同説明会ではまず、フォーティネットジャパンでフィールドCISOを務める登坂恒夫氏が、企業のセキュリティ運用体制において「可視化戦略の見直し」が必要になっていることを説明した。具体的には、従来の「監視（モニタリング）」ではなく、セキュリティ運用でも「可観測性（オブザーバビリティ）」を実現するための見直しだという。

セキュリティ運用（SecOps）プラットフォーム「FortiAnalyzer」や、生成AIアシスタント「FortiAI」の最新機能もデモをまじえ紹介

（左から）フォーティネットジャパンマーケティング本部フィールドCISOの登坂恒夫氏、同マーケティング本部プロダクトマーケティングマネージャーの伊藤史亮氏、同コンサルティングSE本部コンサルティングSEの熊村剛規氏

「可観測性（オブザーバビリティ）」により脅威の予兆をより早く検知できる

　「監視」から「可観測性」への見直しがなぜ必要なのか。

　その背景には、企業IT基盤の多様化と分散化、そして攻撃者側のAI活用によるサイバー脅威の高度化といった変化があるという。企業においてはパブリッククラウドの利用が一般的になり、業務アプリケーションはハイブリッド／マルチクラウド環境に分散している。また、従業員のハイブリッドワーク化が進み、オフィス外にいる従業員やデバイスの状況の可視化も難しくなった。

　他方では、AIと自動化によるサイバー脅威の高度化が進んでいる。現在の攻撃者は、AIを攻撃チェーンのあらゆる段階で活用（悪用）し、自動化を進めているという。これにより、攻撃者は一連の攻撃をより短時間で実行可能になる。そのため、防御側ではより早い段階で「攻撃の予兆」をとらえる必要に迫られる。

企業IT環境の分散化によりセキュリティ対策は複雑化している。一方で、サイバー攻撃者はAIを攻撃に活用して高度化／自動化を図っている

　登坂氏は、米国CISAのゼロトラスト成熟度モデルにおいても、成熟度の低い「サイロ化／個別可視化」から「統合化／全体可視化」への進化の必要性が訴えられていると説明する。アイデンティティ（ID）、デバイス、ネットワーク、アプリケーション、データという“5つの柱（ピラー）”を個別に可視化し静的なポリシーを適用するのではなく、“柱”間の横断的な連携による一元的な可視化と、それに基づく包括的、動的な自動制御により、ゼロトラストセキュリティの強化、サイバーレジリエンス（攻撃からの回復性）の向上を目指すという考えだ。

　こうした状況変化を総合して、可視化戦略を「可観測性（オブザーバビリティ）」の実現へと見直していくべき、というのがフォーティネットの提言だ。従来の「監視」では、システムが出力するイベントログなどを個々に見ることで状態を把握していた。こうした環境を、ソフトウェアやシステムの内部状態をテレメトリデータとしてデータレイクに収集し、統合的な分析や生成AI技術の活用などによって、より微細な変化の検知や意味づけを可能にする「可観測性」の環境へと変えていく。

　「デジタル化がどんどん進化するなかで、従来の監視に基づく可視化とのギャップが生まれている。そのギャップを埋めるために、セキュリティ領域でも可観測性、オブザーバビリティが必要になってきている状況だ。可観測性の実現によって、ゼロトラストの成熟度が高まり、脅威の予兆もいち早く検知できる体制が実現する」（登坂氏）

フォーティネットが提唱する「可視化戦略の見直し」。従来のセキュリティツールが提供するサイロ化された「監視」ではなく、全体を包括し相関分析も行える「可観測性」の実現を訴える

　ただし登坂氏は、現状の「監視」環境から理想的な「可観測性」の環境へと変えていくためには、大きな課題もあることを指摘する。

　それは、セキュリティ環境をマルチベンダーで構成しているケースがまだ多く（特に日本企業では）、その“サイロ化”状態を整理、統合していかなければならないという点だ。登坂氏は、収集するテレメトリデータの整合性、運用負荷の軽減といった点から考えて、マルチベンダー型から単一のプラットフォーム型に更新して、セキュリティツールの整理／統合を図っていく必要があると語った。