IBMはRSAカンファレンスにおいて、セキュリティ製品QRadarのプラットフォーム中心の拡張機能を発表しました。これは、対応を迅速化し、セキュリティ・オペレーション・センターに統合フレームワークを提供するワンストップショップとして設計されています。同社によると、QRadar Suiteと呼ばれるこのクラウドネイティブ・サービスは、脅威の検知、調査、対応技術全般にわたる機能を拡張します。
このサービスは、統合されたダッシュボード型のユーザーエクスペリエンスと、脅威と対応策を解析するための人工知能(AI)による自動化機能を備えています。セキュリティオペレーションセンターを取り巻く現状の不都合な状況、すなわち、拡大する一方の脅威環境、より巧妙化する攻撃者、そして企業の境界を守りキルチェーンを運用する人員の深刻な不足に対処するために設計されています。
IBM は、「今日のセキュリティ オペレーション センター チームは、ハイブリッド クラウド環境全体に広がる急速に拡大するデジタル フットプリントを保護しているため、複雑さが増し、加速する攻撃速度に対応することが困難になっています」と述べています。また、これらの製品は、労働集約的なアラート調査と対応プロセス、手動分析、ツール、データ、エンゲージメント ポイント、API、その他の潜在的な脆弱性の増加に直面しているセキュリティ オペレーション センター チームを支援することを目的としていることも説明しました。
XDR、SIEM、SOAR
RSA 2023の笛吹き男の一人である「マルチベンダーセキュリティよりも統合プラットフォーム」に歩調を合わせ、IBMはQRadar Suiteには拡張検知・対応(XDR)に加え、セキュリティ情報・イベント管理、そしてセキュリティオーケストレーション・自動化・対応(SOAR)が含まれていると述べました。さらに、共通のユーザーインターフェース、共有されたインサイト、連携されたワークフローを基盤として構築された、クラウドネイティブのログ管理機能も新たに搭載されています。
デロイトのグローバルサイバーリーダー、エミリー・モスバーグ氏は、SOARはワークフローの自動化であり、SIEMはセキュリティログとイベント、そしてそれらに基づいて分析を定義するためのルールとポリシーの収集であると述べています。「私はSOARをセキュリティのワールドフロー管理と考えています。ベンダーは、セキュリティ運用全体を簡素化し、インシデント対応や調査にかかる労力を軽減するために、SOARを推進しているのです」と彼女は述べています。
彼女は、これはセキュリティアナリストの慢性的な不足に対処することに尽きると述べた。「人材不足を補うという要素がありますが、現実的にはコストがかかると思います。組織は、自らを守るために得られる収益を上回る費用をかけることはできません。常にあらゆるものに人間の目で監視をしていたとしたら、セキュリティ対策にかける余裕はないでしょう。」
IBMは、QRadar SIEMに、より幅広いセキュリティ運用ツールセットを活用した共有インサイトとワークフローを提供する新しい統合アナリストインターフェースが搭載されたと発表しました。IBMは、2023年第2四半期末までにQRadar SIEMをAmazon Web Services上のサービスとして提供開始する予定であると発表しました。
AIはセキュリティの必須要素か?
RSA では、多くの企業が、SOC へのアラートの増加や、特にフィッシング攻撃に対してより脆弱である可能性のある中規模企業における人間のエージェントの不足など、セキュリティにおける AI の利点について語りました。
IBMマネージド・セキュリティー・サービスは、AIを活用してアラートのクローズを70%以上自動化し、導入後1年以内にアラートのトリアージのタイムラインを平均55%短縮していると発表した。
IBM によれば、QRadar は AI を次のように活用している。
- トリアージ:同社によると、アラートの優先順位付けと対応のために、QRadar には、以前のアナリストの対応パターンに基づいてトレーニングされた AI に加えて、IBM X-Force からの外部脅威インテリジェンスと、検出ツールセット全体からのより広範なコンテキスト洞察が組み込まれています。
- 調査: AI モデルは優先度の高いインシデントを識別し、自動的に調査を開始して、MITRE ATT&CK フレームワークに基づいてインシデントのタイムラインと攻撃グラフを生成し、対応を迅速化するためのアクションを推奨します。
- ハンティング: QRadar は、オープンソースの脅威ハンティング言語とフェデレーション検索機能を使用して、元のソースからデータを移動せずに、環境全体にわたる攻撃と侵害の兆候を識別します。
システムの設計要素には、キルチェーンとAI機能全体にわたるアナリストのスピードと効率性の向上を容易にする、製品横断的なUXが含まれています。クラウドベースでAWS上で提供され、クラウドネイティブのログ管理機能も備えています。
「攻撃対象領域の拡大と攻撃期間の短縮という状況において、リソースが限られたセキュリティチームにとって、スピードと効率性は成功の鍵となります」と、IBMセキュリティ担当ゼネラルマネージャーのメアリー・オブライエン氏は声明で述べています。「IBMは、セキュリティアナリストの生産性を最大化し、攻撃チェーンの各段階における対応を迅速化するために、高度なAIと自動化機能を組み込んだ、統一された近代化されたユーザーエクスペリエンスを基盤として、新しいQRadar Suiteを開発しました」とオブライエン氏は付け加えました。
シスコの脅威インテリジェンス部門Talosで脅威インテリジェンスおよび阻止担当ディレクターを務めるマット・オルニー氏は、AIにとって今がまさに刺激的な時代であり、人間のアナリストを支援するシステムが理想的だと述べた。しかし、彼はAIは速度は速くなるものの、必ずしも優れているとは限らないと懸念し、セキュリティ分野におけるAIの活用は矛盾したジレンマを生じさせると指摘する。「私たちはインターネット上でAIを訓練しているので、既に解決済みの問題をすべて解決できるものを作っているのです。しかし、実際に問題を解決していなければ、AIを使ってその問題を解決することはできません」と彼は述べた。
シスコは、セキュリティ向けAIモデルAMESの初期概念版を披露しました。このモデルは、自然言語インターフェースへと進化していく予定です。オルニー氏は、セキュリティAIシステムが最終的に下位レベルまたはティア1のセキュリティ関連職を駆逐し、企業が創造的な方法で問題を解決し、AIの性能向上につながるデータを生成する、より上位のSOCアナリストのポジションを埋める能力を阻害する可能性があると懸念を表明しました。「では、AIのトレーニングを始める際に、これらの人材を駆逐してしまうとしたら、一体どのような新しい知識でAIをトレーニングすることになるのでしょうか?」
プラットフォームと単一ベンダー: 誤った二分法?
モスバーグ氏は、プラットフォーム化のトレンドはRSAで明らかになった業界の転換点を反映したものであると述べた。「長年、私たちは最善の製品、最高のネズミ捕りに注力してきましたが、それが複雑化し、管理が困難になってきました。設置する時間がないのに、最高のネズミ捕りを100個も持つ意味があるでしょうか? 現状のものを実際に管理できるように、ある程度のシンプルさへと移行する必要があります。今後5年間は、こうした傾向がさらに強まるでしょう。そして、大幅な統合が進むでしょう」と彼女は予測した。
オルニー氏は、統合環境を持つことにはメリットがあると述べました。「何に投資するかを決める際には、考慮すべき点が数多くあります。ですから、最も可視性が高く、セキュリティ担当者の現在の高度なスキルレベルとうまく統合できるものを探すことが重要です。ツールは確かに非常に重要で、有用で、必要なものですが、最終的にセキュリティプログラムの成功を決定づけるのは人材です」と彼は述べました。
彼は統合環境のメリットを列挙した。「ベンダーとの関係が良好になり、交渉の際の影響力が増し、人材のトレーニングも容易になります。また、サポート契約は通常統合されているため、資金調達にも役立ちます」とオルニー氏は述べた。
欠点:一つの企業がすべてのツールセットで優れている可能性はどれほどあるだろうか?「顧客にアドバイスするなら、セキュリティ製品を探す前に、自社のセキュリティニーズをしっかりと理解しておく必要があると伝えます」とオルニー氏は述べ、企業は敵と積極的に交戦している際にネットワークを保護するために、最大限の可視性と最も安全な制御を提供するソリューションを見つけるべきだと付け加えた。
結局のところ、セキュリティは難しいと彼は言った。
「ベンダーから何かを買って、接続すれば安全だ、なんて言うわけにはいきません。そういうやり方ではうまくいきません。適切なスキルセットを持つ適切な人材と適切なツールや能力を組み合わせ、それらを補完し合う必要があります」と彼は付け加えた。
