サイバー脅威の予兆は「可観測性」実現でより早く検知 フォーティネットが“可視化戦略の見直し”提唱
フォーティネットジャパンが、「FortiAnalyzer」や「FortiAI」を中心とする、AIを活用した新たなSecOps(セキュリティ運用)ソリューションに関する記者説明会を開催した。その中で、企業のセキュリティ運用体制において「可視化戦略の見直し」が必要になっていることを説明した。 【もっと写真を見る】
フォーティネットジャパン(Fortinet)は2024年11月8日、「FortiAnalyzer」や「FortiAI」を中心とする、AIを活用した新たなSecOps(セキュリティ運用)ソリューションに関する記者説明会を開催した。 同説明会ではまず、フォーティネットジャパンでフィールドCISOを務める登坂恒夫氏が、企業のセキュリティ運用体制において「可視化戦略の見直し」が必要になっていることを説明した。具体的には、従来の「監視(モニタリング)」ではなく、セキュリティ運用でも「可観測性(オブザーバビリティ)」を実現するための見直しだという。 「可観測性(オブザーバビリティ)」により脅威の予兆をより早く検知できる 「監視」から「可観測性」への見直しがなぜ必要なのか。 その背景には、企業IT基盤の多様化と分散化、そして攻撃者側のAI活用によるサイバー脅威の高度化といった変化があるという。企業においてはパブリッククラウドの利用が一般的になり、業務アプリケーションはハイブリッド/マルチクラウド環境に分散している。また、従業員のハイブリッドワーク化が進み、オフィス外にいる従業員やデバイスの状況の可視化も難しくなった。 他方では、AIと自動化によるサイバー脅威の高度化が進んでいる。現在の攻撃者は、AIを攻撃チェーンのあらゆる段階で活用(悪用)し、自動化を進めているという。これにより、攻撃者は一連の攻撃をより短時間で実行可能になる。そのため、防御側ではより早い段階で「攻撃の予兆」をとらえる必要に迫られる。 登坂氏は、米国CISAのゼロトラスト成熟度モデルにおいても、成熟度の低い「サイロ化/個別可視化」から「統合化/全体可視化」への進化の必要性が訴えられていると説明する。アイデンティティ(ID)、デバイス、ネットワーク、アプリケーション、データという“5つの柱(ピラー)”を個別に可視化し静的なポリシーを適用するのではなく、“柱”間の横断的な連携による一元的な可視化と、それに基づく包括的、動的な自動制御により、ゼロトラストセキュリティの強化、サイバーレジリエンス(攻撃からの回復性)の向上を目指すという考えだ。 こうした状況変化を総合して、可視化戦略を「可観測性(オブザーバビリティ)」の実現へと見直していくべき、というのがフォーティネットの提言だ。従来の「監視」では、システムが出力するイベントログなどを個々に見ることで状態を把握していた。こうした環境を、ソフトウェアやシステムの内部状態をテレメトリデータとしてデータレイクに収集し、統合的な分析や生成AI技術の活用などによって、より微細な変化の検知や意味づけを可能にする「可観測性」の環境へと変えていく。 「デジタル化がどんどん進化するなかで、従来の監視に基づく可視化とのギャップが生まれている。そのギャップを埋めるために、セキュリティ領域でも可観測性、オブザーバビリティが必要になってきている状況だ。可観測性の実現によって、ゼロトラストの成熟度が高まり、脅威の予兆もいち早く検知できる体制が実現する」(登坂氏) ただし登坂氏は、現状の「監視」環境から理想的な「可観測性」の環境へと変えていくためには、大きな課題もあることを指摘する。 それは、セキュリティ環境をマルチベンダーで構成しているケースがまだ多く(特に日本企業では)、その“サイロ化”状態を整理、統合していかなければならないという点だ。登坂氏は、収集するテレメトリデータの整合性、運用負荷の軽減といった点から考えて、マルチベンダー型から単一のプラットフォーム型に更新して、セキュリティツールの整理/統合を図っていく必要があると語った。 多数のセンサーの中心に「FortiAnalyzer」を置く“強み”とは 登坂氏の説明内容を受けるかたちで、フォーティネットジャパン プロダクトマーケティングマネージャーの伊藤史亮氏、同 コンサルティングSEの熊村剛規氏は、フォーティネットが提供するAIドリブンなセキュリティ運用プラットフォーム(同社では「セキュリティファブリック」と呼ぶ)について、特に重要なコンポーネントであるFortiAnalyzerやFortiAIを中心に紹介した。 伊藤氏は、フォーティネットの優位性は「圧倒的な防御/検知ツールの数と領域」にあると説明する。幅広い領域からテレメトリデータを収集し、相関分析を行うことで、微弱な脅威の予兆を検知したり、重大な脅威の発展する前の段階で予防できるためだ。その一例を次のように説明する。 「たとえば、FortiGateやFortiNDRによるネットワークベースのアラート、FortiEDRによるエンドポイントベースのアラートが(個別に)出ていても、脅威スコアが低ければ対応を後回しにするだろう。しかし、相関分析した結果、それがMITRE ATT&CKの初期の活動ステップと一致すること、今後重大な脅威に発展する可能性があることが分かれば、優先的に対応できる」(伊藤氏) FortiAnalyzerは、フォーティネットのセキュリティ運用プラットフォームの中心で、各ツールからの膨大なログやアラート、テレメトリデータを蓄積し、高速に相関分析を行う。生成AIアシスタントのFortiAIも搭載しており、自然言語を使ったデータ検索、レポート、質問応答などを通じて、運用負荷の軽減や高度なスキルを持たない運用者へのサポートを行う。 伊藤氏は、最新バージョンのFortiAnalyzerでは、FortiAIによる広範囲な脅威ハンティングとサイバーフォレンジック、グラフや自然言語の説明による分かりやすいログやテレメトリデータの表現、SIEM/SOAR機能を統合してインシデント対応を自動化/ワークフロー化する「SOC Automation」といった特徴的な機能が追加されたと紹介した。 脅威状況の回答だけでなく設定変更などの操作もFortiAIが実行 生成AIアシスタントのFortiAIは、セキュリティ運用の煩雑な作業を運用者(人)に代わってAIが担うことで、運用者が本来なすべき業務に集中できるよう支援するものだ。 熊村氏が披露したライブデモでは、「本日発生しているリスクの高い脅威トップ5をリストアップし、そのうち1つを検出できるイベントハンドラーを作成する」「危険なアプリを使用しているクライアントをリストアップし、そのクライアントを隔離する」という2つのシナリオで、FortiAIが調査や操作を支援する様子が紹介された。 いずれのシナリオでも、FortiAIに対する質問と回答だけでなく、その回答に基づいて実行する予防措置の操作(画面遷移や設定作業)も自然言語の指示に基づいて実行されており、脅威対応のノウハウや操作スキルを持たない運用者であってもセキュリティ対策が取れることを示していた。 文● 大塚昭彦/TECH.ASCII.jp