パロアルトのSOARプラットフォーム「Cortex XSOAR」国内提供、自動化などでセキュリティ対策を効率化

　パロアルトネットワークス株式会社（以下、パロアルト）は23日、SOAR（Security Orchestration, Automation and Response）プラットフォーム「Cortex XSOAR」を発売した。オンプレミス版、クラウド版、ユーザー側が利用するIaaS経由での提供といった、3形態での提供を予定している。

　Cortex XSOARは、2019年3月に米Palo Alto Networksが買収したSOARの開発企業、Demistoの「Demisto」を名称変更し、機能強化したもの。包括的なセキュリティオーケストレーションと自動化プラットフォームとして、インシデント対処の迅速化、リアルタイムコラボレーション、ケース管理、脅威インテリジェンス管理などを実現する。

　セキュリティ管理者の課題である、利用するセキュリティ製品数の多さ、そしてアラート数の多さなどを解決するために、基本的な対処を自動化し、必要な対処のみを手動で行っていく体制を作るプラットフォームとして、利用を呼びかけていく。

Cortex XSOAR

既存のSOARと脅威インテリジェンスを統合したCortex XSOAR

　Cortex XSOARは、既存のSOARと脅威インテリジェンスの両プラットフォームを統合した製品だ。パロアルトではSOARの全世界市場規模550億円と、スレットインテリジェンスの市場規模550億円が合わさることで、1100億円の市場規模になると分析しており、そこに向けて提供していく。

　パロアルトでは、現状の大企業におけるセキュリティ対策の問題点として、「われわれの調査では、セキュリティ製品からは週に17万4000件という大量のアラートがあり、アナリストはそのノイズへの対応、社内で導入している多数のセキュリティ製品によってインシデントにつなげられないといった問題を抱えている。その結果、作業を自動化することができず、ワークフローの欠如、手動で属人的な作業が多くなっているといった点が課題となっている」（パロアルト Cortex営業本部 本部長の露木正樹氏）と指摘する。

　この問題点を解決するために、脅威インテリジェンスのフィードに対して完全な制御を提供。スムーズなインシデント対応の意思決定のため、すべてのツールとプロセスを充実させた。また、インテリジェンスとアクションをプレイブックによって自動化している。

　具体的には、ワークフロー自動化エンジンとして380を超える製品を統合し、1000を超えるセキュリティアクション、Visual playbook editorを利用することで、画面上でフローをつなげ、パラメーターの設定を行えるようにしている。

　セキュリティチケッティングシステムとしての機能も備えており、製品、チーム、ユースケース全体でプロセスを標準化。すべてのセキュリティアラートの取り込み、検索クエリ、SLA/メトリック追跡、ダッシュボードとレポートなどを実現した。

ワークフロー自動化エンジン

セキュリティチケッティングシステムとしての機能

　またコラボレーションプラットフォームとして、未知/既知の脅威を協力して調査するための仮想作戦室、リアルタイムセキュリティアクション、自動ドキュメンテーションなどを提供。

　脅威インテリジェンスのフィードを完全制御する、脅威インテリジェンス管理プラットフォームとしての機能も備え、大規模な指標の集計、解析、重複排除、管理などを実現した。指標を強化および優先順位付けによってスマートな調査対応の判断に利用できる。プレイブックの自動化により脅威インテリジェンスとアクション間のやり取りを解消する。

コラボレーションプラットフォームとしての機能

脅威インテリジェンス管理プラットフォームとしての機能

　なお旧DEMISTOのユーザーは、バージョンを5.5にアップグレードすることで、自動的にCortex XSOARに移行される。

日本の大企業が抱えているセキュリティオペレーションの現状

　またパロアルトでは、日本の大企業が抱えているセキュリティオペレーションの現状を独自調査で明らかにした。

　それによれば、自社セキュリティオペレーションの成熟度と自社耐性について、成熟度が高いと答えた企業ほど、「自社の安全性は高い」「深刻な被害を防ぐ」「適切な対応ができる」という項目に対し、それぞれ高い自信を見せているという。

　セキュリティオペレーションに関する問いに対しては、「担当する人材のスキルが不足している」「一部人材のスキルに依存している」「担当する人材が不足している」と答えた企業の割合が高い。セキュリティ製品の多さ、アラートの多さに対する課題を指摘する声も多く、人材とセキュリティ製品に関する悩みが高い割合を占めることも明らかになった。

　こうした課題を解決するものとして、セキュリティオペレーションを自動化するSOAR製品が提供されているが、調査では導入済みの企業は8.9％にとどまり、導入検討中の企業が24.4％だった。

　なお、セキュリティオペレーションを自動化するためには、「どこまで自動化していいのかわからない」「必要な作業フローが整備されていない」「費用対効果がわからない」、「自動化する作業に割く時間やリソースがない」といった声が挙がっていた。

　そこでパロアルトでは、SOAR導入のために段階を踏んでいくことが必要だと呼びかける。

　「3段階に分けて課題を解決しながら導入をお勧めしている。まず、セキュリティオペレーション効率化に向けた用務の棚卸しとワークフローの整備。次の段階として、定型業務の自動化と優先業務への人的リソース割り当てを行う。人的リソースがコストと見合ったものとなっているか、見直しを行う。3段階目として、セキュリティログと脅威インテリジェンスの有効活用を行っていく。課題を解決し、オペレーションをより良くするために、段階を踏んでいった上で、導入することをお勧めしている」（パロアルト チーフサイバーセキュリティステラジストの染谷征良氏）。

パロアルト チーフサイバーセキュリティストラテジストの染谷征良氏

　また導入段階においては、ノウハウを持ったインテグレーターやパートナーのサポートを受けることによってスムーズな導入につながることから、現在、教育を実施中。スムーズな導入を支援する体制を整え、対応していく。