- ライター:川原 尚人
- ネットワンシステムズに入社以来、インフラSEとしてコラボレーション製品、仮想デスクトップ製品の設計構築に従事。最近では、エンドポイント領域とハイブリッドクラウド領域のセキュリティのあるべき姿を追い求める日々に奮闘している。
【保有資格/認定】
CISSP #653099
CCSP #653099
Palo Alto Networks CYBERFORCE Hero #447
AWS All Certifications Engineers
目次
はじめに
過去、5回に渡り、「XDRを知っていますか?」シリーズをお届けしました。今回の6回目でシリーズを最終回にします。1回目のブログを2020年3月に執筆してから早5年が経過し、革新的なテクノロジーが市場に投入されるなど、セキュリティのトレンドは日々変化しています。そのような中、最近ではSOCの在り方を改めて再検討し、セキュリティオペレーションの見直しを検討される企業が増えていることから、6回目の執筆では「SOC変革の始まり」と題して、Palo Alto Networks社が提供するCortex XSIAMに触れながら執筆を進めたいと思います。
時代の遷移
サイバー攻撃の被害が日本国内で広がりを見せる中、防御だけではなく「セキュリティインシデントの“発生後”」に対するセキュリティ対策の重要性も広まってきています。日本国内においても、この考え方の広がりを見せ、多くの企業で何かしらのセキュリティサービス、セキュリティプロダクトの導入が進んでいます。しかし、事後のセキュリティ対策の重要性は理解しているものの、具体的な数値目標が定められておらず、どのようにセキュリティサービスやセキュリティ製品を導入するべきか迷われている企業が多いのではないでしょうか。そうした中、最近ではMTTD(平均検出時間)やMTTR(平均修復時間)という指標が改めて注目されてきています。この指標を実現するためには、既存のインフラや、セキュリティ運用を少し変更するだけではなく、As-Is / To-Beを整理し、抜本的にセキュリティオペレーションのプロセスを改革し、AI主導のプロセスを導入することが良いでしょう。
Cortex XSIAMの概要
Cortex XSIAMの紹介を初めて受けた時、カッコいいプロダクト名だなと思ったのですが、読み方が不明でした。Googleで検索をしたところ、「拡張セキュリティインテリジェンス&自動化管理(Extended Security Intelligence and Automation Management)」の略称で、エクスサイアムと呼ぶそうです。
前置きは置いといて、本題に入っていきましょう。Cortex XSIAMを物凄く簡単に表現すると、「最先端のAI技術をフルに活用して、高度な脅威を見つけ、アラート対応を自動化/簡素化できるパワフルなプラットフォーム」と、私は思っています。情報システム部門が欲しいという製品というよりは、主にセキュリティ管理者やSOC管理者が企業のセキュリティレベルの向上を目的として求めている製品と言えます。
最近では、メジャーなセキュリティベンダー各社がXSIAMと近しいプロダクトを提供し始めています。「次世代型SIEM」や「次世代型XDR」などと呼ばれることがありますが、Palo Alto Networks社の凄い所は、この領域に対して一早く製品を開発し、市場に投入したことです。また、開発への投資も積極的に実施しており、機能のカバレッジ範囲も広いです。私の過去のブログに記載していますが、そもそもXDRという言葉はPalo Alto Networks社が生み出したもので、XSIAMもそれに近しい状態と言えます。サイバーセキュリティ業界をリードするPalo Alto Networks社の先見性は凄いです。なお、この領域のテクノロジーは日進月歩で進化します。本内容は執筆時点での情報になることはご留意ください。では、ここから少しずつXSIAMの機能面について触れていきます。
Cortex XSIAMの機能
下図1.にあるように、XSIAMには豊富な機能が実装されています。本ブログでは、コア機能である下記4つの機能についてご紹介します。
- XDR(Cortex XDR)
- SOAR(Cortex XSOAR)
- ASM(Cortex Xpanse)
- AIの活用(Cortex Copilot)
図1.Cortex プラットフォーム
XDR(Cortex XDR)
Cortex XDRは過去5回のブログを通じて紹介してきたので、本ブログで深くは説明しませんが、XSIAMのコアコンポーネントに位置付けられています。高度な脅威を見つけるには膨大なテレメトリデータが必要不可欠です。Cortex XDRが提供する、EDRやNDRといったテクノロジーが鮮度の高いテレメトリ情報を提供します。詳細は下部にある関連ページから過去ブログを参照していただけると嬉しいです。
SOAR(Cortex XSOAR)
SOAR(XSOAR)ですが、セキュリティ運用に携わっている方であれば、一度は耳にしたことがあると言葉だと思います。様々なセキュリティ製品から送信されるアラートを自動的に振り分けてアナリストの稼働負荷を低減させる仕組みや製品です。XSIAMにはXSOARという製品が標準で搭載されています。XSOARの概念については内容が少し古いのですが、当社エンジニアが執筆したSOARについての記事がありますので、詳細はこちらをご参照ください。
SOAR機能を提供するベンダーは世の中に数多くあります。しかし、XSIAMには標準的にXSOARの機能が搭載されているので、別途SOAR製品を購入して、製品間を連携させることは不要です。インシデントが発生したら、自動化の処理(Playbook)が実行されるようにSOARの機能がシームレスに統合されています。
図 2.Cortex XDR に統合された XSOAR 機能
ASM(Cortex Xpanse)
経済産業省がASM(Attack Surface Management)のガイドラインを出すほど、ASMの日本国内の需要(注目度)が年々増加しています。また、米ガートナー社のセキュリティトレンドの記事にもASMが登場するなど、海外も同様の傾向があると言えます。
Gartner、日本の企業が2025年に押さえておくべきセキュリティとプライバシーに関する12の重要論点を発表
物凄くシンプルに言いますと、企業が管理(可視化)できていないIT資産をしっかりと可視化することで、外部からの脅威の侵入を低減させる効果が期待できる製品です。「管理できていない資産」というのが重要です。企業として管理できていないものはセキュリティ対策を施しようがないので、組織に関連がありそうな外部の資産の可視性を高め、リスク評価やリスクの対応を通年で行うことで、常に健全な状態を保つことができます。一般的なASM製品は「資産の可視性」にフォーカスしており、可視化した後の「リスクへの対応」の範囲が欠落している場合もありますが、Cortex Xpanseは対応までのカバレッジを網羅している部分が、市場に受け入れられている理由と言えます。
図3.Xpanseによる継続的な対応
当社もASMの重要性を感じており、2023年から製品選定を行った結果、2024年にXpanseを導入しています。
先進ネットワーク技術を追求する ネットワンシステムズ 自社のIT資産保護を目的に 「Cortex Xpanse」を導入
AIの活用(Cortex Copilot)
Palo Alto Networks 社は、AIという無限の可能性を秘めた最先端のテクノロジーを自社ポートフォリオ全体に搭載するなど、AIに対して積極的な投資をしています。お察しの通りCortex XSIAMに多くのAI技術が搭載されています。その中でもCortex CopilotはAIを活用したセキュリティ運用のアシスタント機能を提供します。Cortex XSIAMの管理コンソールを開き、Copilotタブを選択すると、検索バーが表示されます。今回は特定のマルウェアのハッシュ値に対して、どのような対処が必要かを検索してみます。検索バーにハッシュ値を入力すると、検索を実行した時点で必要な「調査(INVESTIGATE)」、「対応(RESPOND)」の情報が表示されます。インシデントを調査するアナリストがCortex XSIAMの操作に熟練していなくとも、Copilotに命令を出すことでアクションとなり得る候補が出てくるので、インシデント調査に要する時間を大幅に短縮できる効果が期待できます。
図4.Cortex Copilotによる運用アシスタント
Cortex XSIAMの更なる進化
Cortex XSIAMがリリースされてから多くの機能が追加され、常にイノベーションが続いています。Palo Alto Networks社は今年に入り、Cortex Cloudは発表しています。Cortex CloudはCortex XSIAMとPrisma Cloudの領域を統合し、XSIAMで提供していたAIと自動化をクラウドセキュリティの範囲まで拡張する事が出来ます。今後も引き続きCortex XSIAMのイノベーションについて注目し発信していきたいと思います。
最後に
当社は Palo Alto Networks 社製品の導入実績国内 NO.1のパートナーで、9年連続でアワードを受賞しており、Cortex XDR を構築した経験値や、PA シリーズ、Prisma Access の豊富な導入実績があります。Cortex XSIAM にご興味、検討されているお客様は、当社営業担当までお問い合わせください。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
