図1: 今こそSOCが過去のレガシーSIEMを進化させるとき

そのため、SIEM市場の進化は遅く、ベンダーが製品やソリューションの大幅な変更に投資するインセンティブは限られています。この技術的惰性には、いくつかの理由があります。

  • 旧来のテクノロジ: 多くのSIEMは10年以上前に開発されたものであり、時代遅れのアーキテクチャに基づいていることが多いため、新しいセキュリティ上の課題に適応する能力が制限されています。
  • 複雑さ: SIEMは、誤検知や重要なセキュリティ イベントの見逃しなどの問題を防ぐために継続的なチューニングが必要であるなど、導入や管理が複雑であることが多いです。その結果、ベンダーは、顧客の業務を混乱させる可能性のある大幅な変更を行うことに消極的になるかもしれません。
  • イノベーションの不足: SIEM市場は比較的成熟しており、ベンダーがイノベーションに投資する動機に欠けます。
  • 統合の課題: SIEMソリューションは多くの場合、EDRシステム、侵入検知システム(IDS)、ネットワーク トラフィック解析(NTA)ツールなど、他のセキュリティ ツールと統合されています。SIEMソリューションの基盤技術を変更すると、これらの統合が壊れる可能性があり、顧客がセキュリティ運用を管理するのが難しくなります。
  • カスタマイズ要件: 多くの企業が自社特有のニーズに合わせてSIEMソリューションをカスタマイズしています。基礎となる技術に大幅な変更を加えると、顧客はシステムの再設定が必要となり、時間とコストがかかる可能性があります。
  • 法規制への準拠: 多くの組織が規制コンプライアンス要件を満たすためにSIEMソリューションを使用しているため、SIEMに変更を加えると、これらの要件を満たす能力に影響を与える可能性があります。

"セキュリティ分析プラットフォームには10年以上にわたってこの課題にデータ集約で対処してきた実績がありますが、いまだに企業規模に応じた十分なインシデント レスポンス機能がないため、代替ソリューションを優先せざるを得ません"
– Allie Mellen, シニア アナリスト, Forrester

図2: サイロ化したツールは調査と対応を鈍化する

サイバーセキュリティの抜本的改革

サイバーセキュリティは緊急の脅威是正問題を抱えています。アプリケーション、ワークロード、マイクロサービス、ユーザーの急増により、総合的なデジタル アタックサーフェスが保護能力を超えるスピードで拡大しているのです。このような現実の副産物として、検知・防御ツールは毎日何千ものアラートを生成する可能性があり、セキュリティ チームが効果的に処理できる人員をはるかに超える量になってしまいます。このようなアラートは、セキュリティ アナリストがパズルを解くのに苦労するような、バラバラのソースから送られてきます。

潜在的な脅威を分析するには、一般的に以下のような多くの段階を踏む必要があります。

  1. 発生した可能性がある事象を割り出すため、入手可能なログ データの横断的な確認を開始する。
  2. 脅威インテリジェンス ソースとのデータ照合を手作業で行い、さまざまな兆候が既知の不正行為に該当するかどうか判定する。
  3. 情報のギャップを見つけ、攻撃の追加ステップを示す可能性のある利用可能なデータを検索する。
  4. アラートへの新しい情報リンクが他のチームメンバーによって処理されているかどうかをチェックし、取り組みを調整する。
  5. アラートをエスカレーションする必要があるか、破棄する必要があるか、迅速に修復して終了する必要があるかを評価する。

従来のSOCでは、これらのステップを完了するのに多くの時間と複数のツールが必要ですが、実際問題としてこれは単なるトリアージに過ぎないものです。その結果、アナリストは毎日、最も優先度の高いアラートにしか対処できない環境に囚われています。優先順位の低いアラートの中には、まったく対処されていないものも少なくありません。過去のインシデント調査では、優先順位の低いアラートの集合が実は単一の攻撃の一部であり、レガシーな脅威検知プラットフォームでは気付かないことが明らかになっています。

さらに、アラートのトリアージを担当するセキュリティ アナリストは、攻撃が組織にもたらす真のリスクを判断するためのコンテキストが不十分なまま放置されていることが多いとされています。こうして、アラートはさらなる検証のために上位のグループにエスカレーションされ、さらに多くの時間、労力、リソースが必要となり、すべてのレベルで非効率が生じています。このような非効率性は攻撃者にも知られており、迅速に対応できない状況を攻撃者に付け込まれているものの、ほとんどの組織では脅威の特定と修復に数時間から、時には数日・数か月の時間を要します。

この課題の根幹にあるのは、大量のデータをセキュリティ対策に最大限に活用できていない現状にあります。SIEMソリューションは、アラートとログの管理を円滑化する目的で開発されています。しかし、こうしたソリューションは、後付けの分析機能を用いた人間による検出と修復が大きな比重を占めており、プロセスの一部しか自動化されません。今日の脅威と闘うには、AIを使用して組織でサイバーセキュリティを実行する方法を根本的に再構築する必要があります。

現代のSOCにとってその際に土台とすべきは、現代のIT環境の進化するニーズを考慮して設計された新しいアーキテクチャです。アーキテクチャは、柔軟性、拡張性、適応性に優れ、幅広いセキュリティ ツールやテクノロジーと統合できるものであることが求められます。全体的に、設計は以下の提供にむけて考慮すべきとされています。

  • 自動化された幅広いデータの統合、分析、トリアージ
  • アナリストの生産性を高める統一されたワークフロー
  • アナリストによる最小限の支援で攻撃をブロックできる組み込みのインテリジェンスと自動レスポンス

レガシー セキュリティ オペレーションとは異なり、最新のSOCは、人間の判断や昨日の脅威を捕捉するために設計されたルールではなく、膨大なデータセットに対するデータ サイエンスでリードされています。

XSIAMの詳細

弊社は既存のセキュリティ ソリューションの制約に対処すべく尽力してきました。私たちの業界は、セキュリティの最先端を行くために、絶えず革新を続ける必要があります。Cortex XSIAM(拡張セキュリティ インテリジェンスおよび自動化管理)は、AI主導のアーキテクチャに軸足を置き、ゼロから構築されています。

弊社にとってXSIAMは、サイバーセキュリティに対する考え方と、性質上機械が人間よりも優れた能力を発揮できる分野でのAI利用方針を変える契機となったのです。未来の自律型セキュリティ プラットフォームを構築し、ほぼリアルタイムの検出とレスポンスによって飛躍的に優れたセキュリティを実現するというビジョンの総体です。

図3: パロアルトネットワークスでは、私たちが最初のお客様です

XSIAMはEDR、XDR、SOAR、CDR、ASM、UEBA、TIP、SIEMをはじめとするクラス最高の機能を統合した製品です。セキュリティに特化したデータモデルに基づいて構築され、何万もの顧客にわたってグローバルに収集されたパロアルトネットワークスの脅威インテリジェンスによって継続的に更新されるXSIAMは、大量のセキュリティ データを統合するためにML主導の設計を採用しています。アラートをインシデントに集約し、自動分析とトリアージを行い、ほとんどのインシデントに自動的に対応することで、アナリストが人的介入が必要な少数の脅威に集中できる環境を創造します。XSIAMは、パロアルトネットワークス独自のSOCでも活用されており、毎月1兆件を超えるイベントを毎日わずかなアナリストのインシデントに変えるなど、すでに実運用で実証済みです。

現代のSOCを動かす新しいパラダイム

Cortex XSIAMは、マシン インテリジェンスと自動化の力を活用し、セキュリティの成果を根本的に改善し、SecOpsモデルを変革します。XSIAMによってエンドポイントからクラウドまで企業セキュリティのすべてをSOCの管理下に置くことで、データとセキュリティ機能を一元化し、脅威への先手の対策、レスポンスの高速化、アナリストとSOCチームの活動の大幅な合理化を実現します。

図4: Cortex XSIAMのハイライト: 単一のプラットフォームですべてを実現

今日のハイブリッド企業は、数年前の何倍ものセキュリティ データを生み出しています。しかし、一般的なSOCは、データのサイロ化、限られたクラウドの可視性、老朽化したSIEMテクノロジー、攻撃者に優位性を悪用させる手作業や人間主導のプロセスで運営されています。

アナリストの人数を増やしても流れを止めることはできず、ツールの追加は今日の複雑なSOCアーキテクチャとエンジニアリング メンテナンスの負担を悪化させるだけです。現代のSOCは、アナリストの関与やSOCエンジニアリングのオーバーヘッドを最小限に抑えながら、エンドポイントからクラウドまでの攻撃を大規模にブロックできる、そんなインテリジェントなマシン主導型モデルに転換することが求められています。

Cortex XSIAMは、マシン インテリジェンスと自動化の力を活用することで、セキュリティの成果を劇的に向上させ、手作業によるSecOpsモデルを変革することで、最新のSOCのニーズに対応するように設計されています。このモデルにより、SOCは、機械が管理するデータの約束を実現することで、異常な行動や異常にアナリストが集中できるようになり、業務を事後対応的なものではなくプロアクティブなものに変革することができます。

XSIAMは、SOC活動の中心となるよう独自に設計されており、幅広い機能を全体的でタスク指向のSecOpsプラットフォームに統合することで、SIEMや専門製品に取って代わものです。脅威の検出・レスポンス機能を中核とした専用設計により、ハイブリッド企業を完全に保護できるようセキュリティ運用を一元化、自動化、拡張します。

SecOpsに対する人間優先のアプローチは、もう限界を迎えています。現代のSOCは、前例のない規模と効率で劇的に優れた保護を提供できる、インテリジェントかつ、機械主導で、人間が力を発揮するセキュリティ システムに変わらなければいけません。

仕組み

XSIAMは、EDR、XDR、SOAR、アタックサーフェス管理(ASM)、脅威インテリジェンス マネジメント(TIM)、UEBA、SIEMなどのクラス最高の機能を提供する、最新のSOCの中心的なオペレーション プラットフォームです。しかし、XSIAMはバラバラのツールの集合体ではありません。XSIAMは機能とインテリジェンスをタスク指向のユーザー エクスペリエンスと豊富なインシデント管理フローにまとめることで、アクティビティとコンテキストの切り替えを最小限に抑え、迅速かつ正確な対応をインシデント発生時に行えるようにします。

XSIAMは、今日のセキュリティ製品のアナリスト主導型モデルから脱却するうえで、インテリジェントな自動化を採用した画期的な製品です。データ オンボーディングからインシデント管理まで、XSIAMはアナリストやすべてのSOC担当者のタスクを最小限に抑えることで、人間がシステムが実行できない重要な活動に集中できる環境を創出します。

クラウドとハイブリッド企業のSOCコントロール

今日、ほとんどのSOCチームは限られたサイロ化されたデータに基づいて活動しており、流動的なクラウドやインターネットに面したリソースの可視性は極めて不十分とされています。クラウド セキュリティ製品によって必要不可欠な保護が提供されていますが、通常は独立してSOCの外で運用されています。しかし、SOCチームは完全なエンドツーエンドのセキュリティを一元的に監視し、クラウド資産に関わる多くのインシデントの調査を実施できる必要があります。

XSIAMは、エンドポイントからプロバイダーからの特殊なクラウド フィード、ダイナミック ワークロード、クラウド セキュリティ製品に至るまで、企業のあらゆるセキュリティ ソースにインテリジェントなデータ基盤を構築します。このシステムは、これらのソースから深いテレメトリー アラートとイベントを継続的に収集し、データを自動的に準備してエンリッチ化するものであり、特定のソースとキルチェーン全体の行動検知の両方に特化した豊富な機械学習分析をサポートするように調整されたセキュリティ インテリジェンスに独自につなぎ合わせます。

SOCの再設計

SIEMの老朽化したデータベース アーキテクチャ、管理の複雑さ、限られた進化により、イノベーションは周辺の専門ツールからもたらされることを余儀なくされています。その結果、SOCアーキテクチャーは、データ パイプライン、製品統合、絶え間ない管理の苦労など、複雑で脆い迷路のようなものとなっています。

XSIAMは、複数のツールを統合し、データ収集をスケールアップ、集中化、自動化することで、SOCインフラストラクチャを合理化し、エンジニアリングおよび運用コストを大幅に削減します。

スナップショットML主導のインテリジェンスでアナリストを強化

最新のSOCの変革における重要な要素は、セキュリティ チームが機械学習を最大限に活用して、セキュリティにおける人間の能力を補強・補完できるようにすることにあります。高度なアナリティクスとAIは、重要なセキュリティに関する洞察を得るためにチームが企業内の膨大なデータを処理する時間を大幅に短縮するうえで非常に有用です。AIのサブセットとして、機械学習は、機械が環境に関する知識を学習し、タスクのパフォーマンスを向上させることを可能にするために、クライアント環境からの学習データを使用します。

複数のデータソースにわたる異常なパターンを自動的に検出し、コンテキストを伴うアラートを自動的に提供することで、今日の機械学習は、調査を迅速化し、企業の盲点を取り除くという約束を果たすことができます。

これは、質の高いセキュリティ関連データでMLモデルをトレーニングし、そのモデルを使用してデータ間およびデータ全体のパターンを検出すること、そしてまたそのプロセスをテストして改良することによって機能します。ML技術は、データを収集、統合、分析し、データを照会することで、人間がこれらのタスクを実行するのに必要な時間と知識を削減します。これにより、SOCチームは、データに埋め込まれた複数のセキュリティ レイヤーを横断して脅威のコンテキストと証拠を見つける労力を最小限に抑えることができます。

教師ありML技術は、デスクトップ コンピューター、メール サーバー、ファイル サーバーなどのデバイスからデジタル マーカーを読み取り、異なるタイプのデバイスの動作を学習し、異常な動作を検出するために役立てることができます。機械学習が期待されるのは、ある環境で起きていることの因果関係を推論する能力をもって、人間との対話に頼るのではなく、ソフトウェアに次のステップを指示させることにあります。例えば、純粋に結合したデータ セット内の行動と相互作用に基づいて悪い行動にフラグを立て、エージェントにその行動を封じ込めるように指示したり、ファイアウォールにその行動と通信しないように指示するなど、明示的な指示でネットワークの残りの部分に決定を伝播することが可能です。

XSIAMの機械学習を活用することで以下を行えるようになります。

  • 振る舞い分析: XSIAMは、AIとMLアルゴリズムを使用してエンドポイントの挙動を分析し、脅威の存在を示す可能性のある異常を検出します。
  • 脅威インテリジェンス: プラットフォームは、MLアルゴリズムを適用して大量の脅威インテリジェンス データを分析し、新たな脅威を示す可能性のあるパターンや傾向を特定することができます。
  • 自動レスポンス: XSIAMは、AIを活用した自動化により、人手を介さずにリアルタイムで脅威に対応します。
  • 予測分析: プラットフォームは、MLアルゴリズムを活用して過去のデータを分析し、潜在的な脅威を予測することで、企業が将来の攻撃からプロアクティブに保護できるよう支援します。
  • 継続的な学習:XSIAMのMLアルゴリズムは、新しいデータから継続的に学習し、モデルを調整することで、プラットフォームの精度と有効性の長期的な改善に寄与します。

設計思想: 脅威の検出&レスポンス

XSIAMの中心は脅威の検出とレスポンです。また、インシデント管理フローの自動化という点でユニークです。XSIAMアナリティクスは、技術ベースのインテリジェンスを提供するものであり、アラートをインシデントにグループ化し、関連するコンテキストを完全なものにします。また、組み込みの自動化とインライン プレイブックを通じて分析結果をインテリジェントな実行に活用することで、アラートやインシデントを可能な限り完全に処理して解決します。

図5: アナリストのインシデント管理ビュー

アナリストのインシデント管理ビューでは、自動的に実行されたアクション、その結果、残されたアクションの提案の完全な要約をご確認いただけます。さらなる調査と対応活動が必要な場合、アナリストはドリルダウンしたインシデント タイムラインのほか、すべての分析と機能からの広範なXSIAMインテリジェンスを得ることができます。修復と対応アクションは、インライン プレイブックを活用することができ、管理されたエンドポイントに対しては、XSIAMは、強力なライブターミナル アクセスとフォレンジック ツールとともに、ワンクリックの修復アクションオプションを提供します。

図6: MITRE ATT&CKマッピング、関連するアラート、プレイブックのステータス、アラートソース、アーティファクトにより、インシデントに関するより深いコンテキストを得ることができます。

Cortex XSIAMのユニークな利点

Cortex XSIAMは真のSOCプラットフォームであり、従来のマルチツール、人間主導のSOC運用モデルを大きく変えることができるものです。従来のSOCモデルを使用する企業は、既存のセキュリティ アーキテクチャと管理に関する共通の課題を例外なく抱えています。Cortex XSIAMは、このような苦悩を経験してきたセキュリティ専門家によって構築されました。開発は、パロアルトネットワークスの顧客がセキュリティの成果に関する課題を解決する方法を求めていたことに影響されています。

図7: 運用を一元化、自動化、拡張して企業を保護

主な特徴の概要
データ オンボーディング
クラウド アーキテクチャにより、オンボーディング、モニタリング、レポーティング作業が、何百もの構築済みデータパック、標準的なコネクタータイプ、シンプルで自動化された設定ステップによりシンプルに。 		脅威インテリジェンス管理
パロアルトネットワークスおよびサードパーティの脅威インテリジェンス フィードを管理し、アラートやインシデントに自動的にマッピング。
インテリジェント データ ファウンデーション
あらゆるソースから深い遠隔測定、アラート、イベントを継続的に収集し、自動的にリッチ化して統一データモデルにマッピング。イベントを機械学習アナリティクス用に調整されたインテリジェンスにつなぎ合わせます。 		エンドポイント保護とインテリジェンス
SIEMとEPP/EDRの支出を統合し、統合されたソリューションにします。完全なエンドポイントエージェントとクラウド分析バックエンドにより、エンドポイント脅威の予防、自動応答、あらゆる脅威の調査に役立つ詳細な遠隔測定を提供します。
脅威検出アナリティクス
テクニック ベースのアナリティクスにより、収集されたすべてのデータに対して専門的なアナリティクスと行動ベースの検出を適用します。 		アタック サーフェスの可視化とアクション
内蔵ASM機能により、内部エンドポイントや発見されたインターネット向け資産の脆弱性アラートなど、資産インベントリの全体像を把握できます。
自動化された調査とレスポンス
自動化された機能とインテリジェントなインライン プレイブックにより、多くのタスクを自動実行し、アナリストが人的な行動を必要とするアクションを完了するために必要なインテリジェンスとガイダンスを提供します。 		ユーザーとエンティティの行動分析
機械学習と振る舞い分析を使って、ユーザー、マシン、エンティティのプロファイリングを行い、侵害されたアカウントや悪意のあるインサイダーを示す可能性のある行動を特定し、警告します。
プレイブックとオーケストレーション
堅牢なSOAR(セキュリティ オーケストレーション、自動化、レスポンス)モジュールとマーケットプレイスで使用するプレイブックを作成し、オーケストレーションします。 		ネットワークおよびクラウド分析
ファイアウォールのイベント、クラウドサービスプロバイダーのログ、クラウドセキュリティ製品のアラートなど、ネットワークおよびクラウドデータの異常を専門的な分析によって検出し、アラートを出します。
Cortexエクスポージャ管理
エンタープライズとクラウドにまたがるAI主導の優先順位付けと自動修復を実施。脆弱性のノイズを最大99%削減します。 		Cortex Eメール セキュリティ
最先端の電子メールベースの脅威を阻止すべく、業界をリードするAI主導の検知と対応を拡張します。
管理、レポーティング、コンプライアンス
集中管理機能で運用を簡素化します。コンプライアンス、データ取り込み、インシデント トレンド、SOCパフォーマンス指標などのレポートに対応した強力なグラフィカル レポート作成機能も備えます。

XSIAM 3.0によるプロアクティブ セキュリティとリアクティブ セキュリティの橋渡し

Cortex XSIAMの最新の進化は、リアクティブなインシデント レスポンスとプロアクティブなセキュリティ体制管理を統合する、画期的な一歩です。XSIAM 3.0は、今日企業に影響を及ぼしている以下の最も重要な2つのリスク分野に対応するために、機能を拡張しています。

Cortex Exposure Management

エンタープライズとクラウドにまたがるAI主導の優先順位付けと自動修復を実施。脆弱性のノイズを最大99%削減いただけます。補完的な対策を用いず、実際に武器として悪用される脆弱性に焦点を当てた革新的な脆弱性管理アプローチにより、本当に重大な0.01%の脅威を優先的に処理できます。

Cortexエクスポージャ管理をご利用いただくことで、以下を実現いただけます。

  • 武器化されたエクスプロイトとそれを補うコントロールのない脆弱性に優先順位をつけ、企業およびクラウド全体の脆弱性ノイズを99%削減
  • AIを活用したわかりやすい要約とネイティブ プレイブックの自動化により、業界をリードする自動化で修復を加速
  • 業界をリードするパロアルトネットワークスのセキュリティ プラットフォームで直接、重要なリスクに対する新しい保護をシームレスに作成し、将来の攻撃を防止するためのループを閉じる

Cortex Email Security

LLMに基づく分析機能を業界トップクラスの検出・レスポンス機能と融合し、高度なフィッシング攻撃とメールベースの脅威を阻止します。2030年までに50億ユーザーに達すると予測され、全セキュリティ インシデントの4分の1を占める電子メールは、依然として主要なコミュニケーション ツールとされています。本機能はにより以下を実現いただけます。

  • 新たな脅威から継続的に学習するLLMを搭載したアナリティクスにより、アイデンティティ攻撃者の行動を検知し、高度なフィッシング対策を構築
  • 悪意のある電子メールの自動削除、侵害されたアカウントの無効化、影響を受けたエンドポイントの隔離をリアルタイムで実施
  • 電子メール、ID、エンドポイント、クラウドのデータ相関と、攻撃経路全体を可視化が実現する、効果的なインシデント対応

XSIAM 3.0は、これらの機能を、世界で最も要求の厳しい何百ものSOC環境の保護に成功してきた統合データ、AI、自動化プラットフォームに統合するものです。セキュリティ運用を、現在および将来のあらゆる脅威ベクトルに対応できる、反応的なインシデント対応からプロアクティブなサイバー防御へと変革します。

信頼できるXSIAMのサービス

グローバル カスタマー サービスでXSIAMを成功に導く

弊社の業界トップクラスのサイバーセキュリティ専門家が専門知識、プロフェッショナル サービス、運用プロセスを利用して導入を最適化し、セキュリティ投資の最大限の活用を支援します。

図8: グローバル カスタマー サービスでは、XSIAMのために多くのサポートとサービスオプションを提供しています

XSIAM導入サービスは、Cortex XSIAM機能の大規模な導入と迅速な価値実現にむけられたものです。

主なメリット:

  • 巧妙な脅威に対する防御の全適用ポイントへの導入、エンドポイント ポリシーの調整、相関関係の作成、セキュリティ運用ベストプラクティス、インシデント管理手法、プレイブック作成を短時間で実施。
  • 弊社の専門家による支援で、ベストプラクティスを使用して導入リスクを低減。
  • 効果的な運用、管理、運営を継続的に行い、チームへの確実な知識移転を確保。
  • 劇的に速く、優れた、測定可能なセキュリティ成果を達成。

SOC変革サービスは、企業がセキュリティ オペレーション センターを構築・強化し、セキュリティ インシデントに迅速かつ効率的に対応し、プロセスを容易に自動化するためのフレームワークを提供するものです。

主なメリット:

  • お客様の環境でCortexプラットフォームを運用するためのカスタム戦略を策定。
  • 自動化の機会を増やすために、モジュール化されたプロセスと手順を確立。
  • 強固な評価指標と報告枠組みを通じて、セキュリティ運用の成功を見える化。
  • アナリストがCortex XSIAMを効率的に使用できる。
  • Cortexプラットフォームを活用し、脅威ハンティングとインテリジェンスのための高度なSOC機能を構築。

プレミアム カスタマーサクセスでは、継続的なガイダンス、シームレスな連携、プレミアムテクニカルサポートをお求めいただけます。

主なメリット:

  • Cortex XSIAMへの投資期間中、戦略的ガイダンスを提供するカスタマー サクセス エキスパートへのアクセス。
  • 最適な投資収益率(ROI)を実現するための戦略策定。
  • 24時間年中無休のテクニカル電話サポート。直面するあらゆる問題を解決するのにお役立ていただけます。
  • 常時接続のデジタル サポートとナレッジ ツール。

これらのサービスの詳細については、サービス セールス チームにお問い合わせください。

最新のXSIAMリソースにアクセス
XSIAM製品ページを見る
XSIAMとは?
XSIAMのパーソナル デモをリクエストする
15分のビデオでXSIAMについて学ぶ
Cortex XSIAMをご利用いただいているお客様の実際の結果

最新ニュース、イベント情報、脅威アラートを配信