パロアルトネットワークスは4月22日、SOAR (Security Orchestration, Automation and Response) プラットフォーム「Cortex XSOAR」の国内提供を開始すると発表した。同製品は、2019年3月に買収したDemistoを機能強化したプラットフォームとなる。

今回、脅威インテリジェンス管理を中核に置くことで、SOARプラットフォームを再構成した。具体的には、脅威インテリジェンス管理を、統合ケース管理や自動化、リアルタイムコラボレーションといったSOAR機能と統合することにより、セキュリティ製品のサイロ化を解消し、脅威インテリジェンスを全面的に運用することを可能にする。

Cortex 営業本部 本部長の露木正樹氏は、「Cortex XSOAR」の主要機能として、「Automation & Orchestration」「リアルタイムコラボレーション」「ケース管理」「脅威インテリジェンス管理」を挙げた。

「Cortex XSOAR」の主要機能

「Cortex XSOAR」は350以上のサードパーティ製品に対応しており、インシデント対応をオーケストレーションするプレイブックの利用により、既知の脅威を自動的に対処する。未知の脅威は知見を集めてリアルタイムコラボレーションによって対処し、その対処内容はケース管理でまとめていく。ケース管理では、製品・チーム・ユースケース全体でプロセスを標準化する。

こうした対処はすべてリアクティブなものだが、「脅威インテリジェンス管理」では、脅威インテリジェンスを集約して、脅威に対抗するため、予防的にファイアウォールのプロキシ設定を変更し、それを管理者に通知することまでを自動化するなど、プロアクティブな対処を実行する。

「Cortex XSOAR」の仕組み

露木氏は、企業におけるインシデントマネジメントにおいては、「ノイズが多すぎること」「製品が多すぎることで、インシデントにつなげられないこと」「手動かつ繰り返しの作業が多いこと」などが問題となっているが、「Cortex XSOAR」はこれらを解決するという。

「Cortex XSOAR」は、2019年3月に買収したDemistoを機能強化したプラットフォーム。クラウドのDemistoのユーザーは自動で「Cortex XSOAR」に移行し、オンプレミスのDemistoのユーザーはバージョン5.5にアップグレードを行うと自動的に移行する。

チーフサイバーセキュリティストラテジストの染谷征良氏からは、「セキュリティオペレーション ジャパンサーベイ2020年版」の結果に基づき、日本企業におけるSOARの導入状況が紹介された。

セキュリティオペレーションの現場が抱える課題としては、「担当する人材のスキルが不足している」(43.3%)、「一部人材のスキルに依存している」(43.0%)、「担当する人材が不足している」(42.4%)、「セキュリティ製品が複数あり煩雑である」(29.7%)、「セキュリティ製品からのアラートやログが多い」(24.6%)という回答が多く、「人」と「セキュリティ製品」に関連する課題が セキュリティオペレーションの足かせになっていることがわかったという。

国内企業におけるSOARの導入状況については、「導入済み」が8.9%、「導入検討中」が24.4%と、黎明期にある。染谷氏は、「SOCの成熟度が高い企業は、SOARをSOCを高度化のための手段と位置付けており、外部インテリジェンスを活用するためなどに使っている」と説明した。

また、染谷氏は「SOAR導入の大きな阻害要因は、どこまで自動化していいのかわからないこと、自動化のプロセスが設定されていないこと」と述べた上で、セキュリティオペレーションの効率化・高度化に向けた3段階として、以下を紹介した。

セキュリティオペレーションの効率化・高度化に向けた3段階