AIを活用して攻撃を分析し整理・修復支援を行うFortiCNAPP

文●フォーティネットジャパン 編集●ASCII

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「FortiCNAPPのAIを活用したアラート調査と修復」を再編集したものです。

SOC調査および修復の強化

 クラウドネイティブな攻撃はますます大規模かつ巧妙になっており、多くの場合、認証情報の窃取、ラテラルムーブメント、APIの悪用、権限の昇格など複数の手法を組み合わせて使用しています。セキュリティオペレーションセンター(SOC)チームにとって、これが大きな問題となります。従来のアラートは断片化されていてコンテキストも限られているため、アナリストは複数のシステムのログを継ぎ合わせるという煩雑な作業を強いられています。

 こうした断片化したアプローチでは、調査にかかる時間が長くなり、シグナルを見落とす可能性が大きくなります。SOCチームは単なるアラート以上のものを必要としているのです。必要なのは、何が起きたか、各イベントがどのように関連し合っているか、そして次に何をするべきかを把握できる全体像です。それこそが、FortiCNAPPが提供する価値です。今では、AIを活用したアラート調査/修復アシスタントによってその価値がさらに高まっています。

複合アラートから完全なコンテキストへ

 FortiCNAPPは、アナリストに何千件もの断片的な異常アラートを送りつけるのではなく、関連するシグナルを集約して複合アラートにします。複合アラートは確度の高いインシデントであり、複数の不審なアクティビティ(通常と異なる場所からのAPI呼び出し、異常なログイン、権限の昇格など)をひとつのわかりやすいビューにまとめたものです。

 このアプローチによって誤検知が大幅に減少し、SOCチームが本当に重要なインシデントに集中できるようになります。アナリストは関連があるかもしれない何十件ものアラートをつなぎ合わせる作業に追われることもなくなります。代わりに、攻撃の全体像が明らかになった状態から分析始めることができます。

 その後、その情報に基づいて、すべてのイベント(ログイン、コマンド、API呼び出し、ネットワークトラフィック)を発生順に並べてひとつの詳細な証拠チェーンにまとめた観測タイムラインが構築されます。アナリストは、複数のログを手作業で再構成することなく、完全なストーリーラインを発生順に把握することができます。その結果、はるかに簡単に攻撃者の振る舞いを理解し、ラテラルムーブメントを特定し、影響を評価できるようになります。

自然言語での質問が可能なAIアシスタント

 FortiCNAPPのAIアラートアシスタントは、このタイムラインを動的でインタラクティブな調査ツールに変えます。アナリストは、難解なログやダッシュボードで情報を探し回らなくても、ただ普通の言葉で以下のような質問をするだけでいいのです。

・どのユーザーとホストが感染していますか?
・どのようなコマンドが実行されていますか?  それらのリスクはどの程度ですか?
・感染した複数の資産の間にどのような関係がありますか?
・インシデントを封じ込めるために、次に何をするべきですか?

 AIアシスタントはその質問に対して、裏付けとなる証拠、視覚的に示された関係、推奨されるアクションを含む構造化された回答を返します。これにより、経験の浅いSOCスタッフでも調査を直感的に実施できるようになり、未熟なアナリストも短期間で習熟できます。

分析だけでなく実用的な修復も

 このAIアラートアシスタントが傑出している点は、提供するのが分析だけではないことです。分析に加えて、目の前のインシデントに合わせてカスタマイズされ優先順位を付けられた修復手順を提供します。推奨されるアクションには以下のようなものがあります。

・侵害された認証情報を無効にする
・不審なホストを隔離する
・悪意のあるIPアドレスをブロックする
・悪用された脆弱性にパッチを当てる
・クラウドストレージの異常なエクスポートをチェックする

 AIアラートアシスタントは、次に何をするべきかについて、証拠に裏付けられた直接的なアクションをSOCチームに提案します。この明確な指示によって不確実性が低減し、封じ込めが迅速化して、セキュリティオペレーション全体の一貫性が向上します。

レスポンスの迅速化とノイズの削減

 SOCチームは、最大の課題のひとつとしてアラート疲れを挙げます。多すぎるアラートとノイズに対してコンテキストが少なすぎるため、重要な脅威が見落とされやすくなっています。FortiCNAPPは、ノイズをフィルタリングし、最も重要なシグナルを強調し、チームを検知から調査、修復へとシームレスにガイドすることで、この問題に対処します。

 この合理化によって、トリアージのサイクルが短縮され、あらゆるスキルレベルのアナリストが強化されて、SOCチームが負担するワークロード全体が削減されます。アラートから解決までの時間を短縮することで、組織は脅威が侵害に発展する前に封じ込める能力を強化することができます。

検知の理念と継続的なフィードバック

 高度な機能を支えているのは、FortiCNAPPの検知フレームワークです。このフレームワークは、実際のお客様からのフィードバックを元に改良を重ね、高度な機械学習を活用して、複数のクラウドレイヤーにまたがるアクティビティを相関的に分析できるよう設計されています。AIを活用した対話型インタフェースを通じてインテリジェンスを提供することで、FortiCNAPPは検知とレスポンスの間に緊密なフィードバックループを形成し、すべてのアラートが正確なだけでなく実用的な情報として活用できるようになります。

クラウドネイティブな脅威に対してSOCチームを強化

 進化し続ける攻撃者に対抗するために、SOCチームは未処理のアラート以上のものを必要としています。明確さ、コンテキスト、確実性を提供するツールが必要なのです。AIを活用したアラートアシスタントを備えたFortiCNAPPは、まさにそれを提供します。すなわち、ノイズを減らす複合アラート、完全な経緯を明らかにする詳細なタイムライン、そして効果的なレスポンスを実現する修復ガイダンスです。

 これらの機能により、SOCチームは現在のクラウドネイティブな脅威に後れを取ることなく、インシデントを迅速に解決し、組織の全体的なセキュリティ態勢を強化することができます。
 
 FortiCNAPP AI Assistの詳細はこちら

CNAPPに関するFAQ

FortiCNAPPはどのようにして誤検知を従来のアラートツールより減らしているのですか?

 FortiCNAPPは、複数の不審なアクティビティを相関付けて複合アラートにまとめることで、アナリストが単発の異常として検知されがちなノイズに惑わされることなく、確度の高いインシデントに集中できるようにします。

経験の浅いアナリストでもAIアシスタントを効果的に利用できますか?

 はい。このAIアシスタントはあらゆるスキルレベルに対応しています。複雑な調査を自然言語での質問形式で実行できるだけでなく、ステップごとに明確な修復ガイダンスを提供するため、新人のアナリストでも熟練のアナリストでも、自信をもって迅速に対応できるよう支援します。

■関連サイト

Fortinet トップへ