より迅速かつ効率的な検知、調査、対応を可能とするAIドリブンのSecOps
提供: フォーティネットジャパン
本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「フォーティネットのAIドリブンSecOpsがより高速かつスマートなSecOpsを実現」を再編集したものです。
セキュリティオペレーションの変革
今日のセキュリティチームは、絶え間ない大量のアラート、巧妙化した脅威、運用の複雑さに直面しています。しかしながら、大半の組織は連動していないポイントソリューションを寄せ集めて使用し、サイロや死角を作り出しています。手作業のワークフローでは、対応に時間がかかります。アラート疲れが蓄積され、深刻な脅威はわずかな隙間をすり抜けて侵入します。
この状況を変えるのがフォーティネットSecOpsです。フォーティネット セキュリティ ファブリックを基盤とするフォーティネットのSecOpsソリューションは、AIを活用した統合型プラットフォームを提供します。セキュリティチームはより迅速かつ効率的な検知、調査、対応が可能になり、増員や複雑な操作は不要です。
その仕組みを説明しましょう。
1. 攻撃対象領域の一元的な可視化と制御
現代のSecOpsにおける最大の課題の一つは、可視性が均一でないことです。フォーティネットはこの問題を解消するため、ネットワーク、エンドポイント、クラウド、Eメールなどインフラストラクチャ全体のテレメトリを単一のデータレイクに統合します。これを可能にしているのは、フォーティネット製品間のネイティブな統合と、サードパーティのデータソースをシームレスに取り込むオープンAPIです。
ただし、解決されるのは可視性の問題だけではありません。フォーティネットSecOpsとFortiReconのCTEM(継続的な脅威エクスポージャー管理)機能を使用すると、組織は攻撃対象領域を主体的に管理し、悪用される前にリスクを特定して優先順位付けし、エクスポージャーを減らすことができます。これには継続的資産検出、攻撃対象領域のマッピング、脅威の相関付け、プロアクティブな制御なども含まれ、インシデントに発展する前に欠陥を修復できます。
これらの機能により、資産、ユーザー、振る舞い、リスクを包括的に表示すると共に、実用的なインテリジェンスと適用メカニズムを確立できます。チームは唯一の情報源から取得する一貫したコンテキストを使用して、安心してトリアージや脅威ハンティングを行う一方、攻撃対象領域もリアルタイムで縮小できます。
2. AIを活用した脅威検知とインテリジェンス
フォーティネットSecOpsは、FortiGuard LabsのAIと世界規模の脅威インテリジェンスに支えられています。このプラットフォームは、振る舞いベースの分析、機械学習(ML)、厳選された脅威フィードを使用して、マルウェア、ランサムウェア、ボットネット、ラテラルムーブメントなど、既知および未知の脅威を自動的に検知します。
以下の方法で高度な検知が実行されます。
・FortiSIEM:リアルタイムのイベント相関付けとアノマリ検知
・FortiAnalyzer:セキュリティ分析、脅威ハンティング、コンプライアンス管理
・FortiEndpointおよびFortiEDR:エンドポイントの振る舞い分析と自動減災
・FortiNDR:高度な脅威やエクスプロイト後の活動を早期に検知
・FortiDeceptor:脅威の早期発見、ディセプションを使用した攻撃者の誘い込み
フォーティネットは、静的、動的、および振る舞い分析を組み合わせることで誤検知を減らし、平均検知時間を短縮します。
3. プレイブックを使用した自動レスポンス
インシデントには迅速に、かつ一貫性をもって対応する必要があります。フォーティネットSecOpsは、広範なSOCプラットフォームのSOAR機能をFortiSOARとFortiSIEMに統合し、FortiEDRやFortiNDRなどの主要製品に組み込みます。この多層型アプローチにより、組織は重要なレスポンスのワークフローを複数のスタックレベルで自動化できます。
セキュリティチームは情報の補強、アラートの相関付け、通知、デバイスの隔離といった日常的業務を自動化できます。一元的ランブックと組み込みの「Playbook-as-a-Service」(近日リリース予定)の両形式でガイド付きプレイブックが提供され、タイムリーで協調的かつビジネスリスクに応じたレスポンスが可能になります。チケット発行およびITSMプラットフォームとの統合により、クローズドループの修復と説明責任が実現します。また、コンテキストに応じたルーティングによって、インシデントは深刻度、確信性、アナリストの役割に基づいて分類されます。
このような分散型オーケストレーションモデルは、平均レスポンス時間の短縮や手動操作の負担軽減を可能にし、人員を増やすことなく組織の対応能力を強化します。
4. アナリスト中心のエクスペリエンスとカスタムダッシュボード
フォーティネットは、単にセキュリティインフラストラクチャを構築するだけでなく、セキュリティアナリストに配慮した設計も行っています。カスタマイズ可能なダッシュボード、直感的なUI、そして動的な検索とドリルダウン機能を備えたフォーティネットSecOpsでは、ティア1~3の各層のアナリストがより簡単かつ迅速に調査や追跡を行うことができます。アナリストはタイムラインビューでイベントを相関付け、攻撃パスを視覚化するほか、使いやすい単一のインタフェースでKPIやコンプライアンス指標を追跡できます。
フォーティネットはワークフローを効率化しコンテキストを充実させることで、訓練期間を大幅に短縮すると共に、アナリストの定着率を改善します。
5. セキュリティ ファブリックとの統合によるシームレスな動作
フォーティネットSecOpsは後付けのソリューションではなく、フォーティネット セキュリティ ファブリックに組み込まれています。これは、ファイアウォール、エンドポイントエージェント、ID制御など全領域にわたって検知とレスポンスがリアルタイムで適用されることを意味します。
例えば、FortiEDRで検知された異常な振る舞いは、FortiGateファイアウォールによって自動的に隔離されます。FortiDeceptorのディセプションは、FortiSIEMに正確なIOC(Indicators of Compromise:侵害指標)を提供し、その後の相関付けに役立てられます。FortiSOARのプレイブックは、FortiNACを介してアクセスポリシーを再設定するほか、外部システムに通知して共同アクションを実行することができます。さらにFortiNDRでは、高速ネットワーク検知およびレスポンスを追加することで、ラテラルムーブメントをリアルタイムで監視し、脅威をSOCのワークフローにエスカレーションすることができます。
このように検知、分析、適用のすべてに対応した高度な統合は、サイロ化した環境でよく見られるギャップや遅延を解消し、検知を防御に生かすと共に、レスポンスライフサイクルのあらゆる手順を合理化します。
現実世界での成果
フォーティネットSecOpsを使用している組織からは、誤検知が80%削減され、アナリストはノイズではなく現実の脅威に集中できるようになったという報告が届いています。また、組み込みの自動化機能、コンテキストに基づいたハンドオフ、統合された制御により、レスポンス時間は30%以上短縮されました。
Enterprise Strategy Group(ESG)の調査によると、フォーティネットのお客様は平均検知時間も数週間から1時間以内に短縮できました[1]。これは、封じ込めの迅速化とリスク影響度の低減を可能にする画期的な改善です。
チームは、NIST、ISO 27001、PCI DSS、HIPAAなどのフレームワークに準じた自動コンプライアンスレポートを活用することで、監査の負担を軽減できます。統合型のSecOpsプラットフォームに複数のセキュリティツールを一体化することで、多数の組織がコストと複雑さも低減しています。
フォーティネットSecOpsは、これらの数値で示された成果だけでなく、受け身の態勢からプロアクティブな脅威ハンティング、リスク軽減、成熟したSOCへの転換においてもチームに貢献しており、アナリストに過度な負担をかけずに攻撃者と対抗できるよう支援しています。
フォーティネットのAIドリブンSecOpsによるレジリエントなサイバーセキュリティオペレーション
サイバーセキュリティチームに必要なものは、ダッシュボードやアラートだけではありません。スピード、インテリジェンス、自動化、そして、チームに合わせて拡張可能なプラットフォームも必要とされています。フォーティネットSecOpsは、これらすべてを単一のAI活用ソリューションに統合し、組織が受け身の防御をプロアクティブな強靭さに転換できるよう支援します。
SecOpsに関するFAQ
フォーティネットSecOpsとは何ですか?
フォーティネットSecOpsは統合型のセキュリティオペレーションプラットフォームで、SIEM、SOAR、EDR、NDR、FortiMail Workspace Security、CTEM、FortiDLPが統合されており、データ保護、ディセプション、分析、自動化などの機能を提供します。これにより、組織はより速く効率的にサイバー脅威を検知し対応することができます。
フォーティネットはセキュリティオペレーションをどのように改善していますか?
当社はSecOpsを改善するために、テレメトリの一元化、脅威エクスポージャーの継続的管理、脅威の早期検知、AIによる検知および自動化機能の高度化、レスポンスワークフローの自動化、セキュリティ ファブリック全体でのリアルタイムの適用などを行っています。
フォーティネットSecOpsのコンポーネントを教えてください。
コアコンポーネントはFortiSIEM、FortiSOAR、FortiAnalyzer、FortiEDR、FortiDeceptor、FortiRecon、FortiMail Workspace Security、FortiDLPデータ保護、FortiNDRです。各コンポーネントによって、真に統合された検知とレスポンスのパイプラインが構成されます。
フォーティネットはSOCチームをどのようにサポートしていますか?
SOCチームへの支援では、アナリストが使いやすいツール、カスタマイズ可能なダッシュボード、AIを活用した検知 / 調査 / レスポンス、自動プレイブック、ネットワークおよびエンドポイント制御との緊密な統合などを活用しています。
※1 Enterprise Strategy Group、「The Economic Benefits of Fortinet Security Operations Solutions(フォーティネットのセキュリティオペレーションソリューションの経済的な利点): ESG Economic Validation(ESGによる経済効果の検証)」、フォーティネットの委託による、2023年12月