TISインテックグループのTISは1月30日、日本マイクロソフトのSIEM(Security Information and Event Management:セキュリティ情報イベント管理)ソリューション「Azure Sentinel」の導入・運用を行う「Azure Sentinel向け活用サービス」を提供すると発表した。

Azure Sentinelは、クラウドネイティブ型のSIEM機能とSOAR(Security Orchestration Automation and Response:セキュリティオーケストレーション自動応答)機能を兼ね備えたクラウドプラットフォーム「Microsoft Azure」のセキュリティ監視クラウドサービス。SIEMの基本機能であるログ収集、相関分析、影響範囲の可視化に加え、AIによる脅威情報の判定および複数のアラートから重要なインシデントの抽出、SOARによる運用の自動化を可能としている。

TISの新サービスはAzure Sentinel導入に向けたアセスメント、設計、実装、運用の各フェーズで支援を提供するサービスとなる。導入から運用開始までの期間を短縮し、将来的には企業自身で運用が行えるように支援するサービス。

「Azure Sentinel向け活用サービス」の全体像

主な特徴としては、クラウド特性を活かした初期サイジング設計負荷の軽減と設計期間の短縮、テンプレート化されたデバイスログの取り込みインターフェース、検知ルールによるルール設計の負荷軽減、運用自動化機能で検知時の初期対応工数の軽減、Microsoft365、Azureネイティブなログ取り込みおよび分析機能を即時利用可能などを挙げている。

新サービスを活用することで、人材不足のためSIEM製品の導入を断念していた企業や、セキュリティ製品による大量のアラートログからの脅威検出と対処に課題を持っていた企業は、セキュリティ運用業務の質の向上と負荷の削減が実現できるという。

提供メニューは「アセスメントサービス」「導入サービス」「サポートサービス(2020年度中リリース予定)」の3つ。アセスメントサービスはAzure Sentinelの導入検討企業に対し、TISの技術コンサルタントが現状のセキュリティ運用状況や実現したい要件などをヒアリングし、要件に沿った形で体制のイメージや導入ステップの提示などアセスメントを実施する。

導入サービスは、Azure Sentinelの導入支援として、自社運用(内製化)をする場合は構築や操作説明などのナレッジトランスファーを行うことに加え、試用や検証などの部分導入を希望する企業向けのスモールスタートパッケージも用意し、個別の要件にも柔軟に対応します。

サポートサービスは、Azure Sentinelの実装と運用開始後に発生する技術的な質問に回答するQAサービスやAI(Azure Machine Learning)を活用したオリジナルルールの適用、スポットの教育メニューや有事の際のフォレンジック支援対応など、「Azure Sentinel」の有効活用のためにTISが運用面を支援する。

サポートサービスの提供イメージ

また、同サービスでは主に自社でSOC運用を検討する企業を想定し、SIEM運用に加え、SOC運用、CSIRT運用を支援するため同社の脅威インテリジェンスセンターで保有する最新の脅威情報、脆弱性情報を利用して、環境に適した検知から対処までの自動化ルールを継続的に提供。さらに、2次SOCとして分析困難な調査や過去ログの分析を行い、SOC運用を継続的に支援するという。