2000 年代後半「ファイアウォールは死んだ」という挑発的なキャッチコピーで次世代ファイアウォールを市場に提案したあの会社が、現在 SIEM(Security Information and Event Management)と、それを活用する SOC(Security Operation Center)サービスの領域で同社らしい変革をなさんとしている。
「今の SIEM を用いたセキュリティ運用管理体制には 5 年後 10 年後の未来はありません。根本的に変えていくために AI を活用する選択肢は 100 %外せない」そう語るのは、パロアルトネットワークス株式会社 Cortex営業本部 SEマネージャー 室井 俊彦(むろい としひこ)氏だ。
東京駅南口から(信号が青なら)徒歩 30 秒の KITTE で 10 月に開催される Security Days Fall 2023 で、東京及び大阪で「AI と自動化優先のアプローチ ~ SOC のトランスフォーメーション」と題した講演を行う、室井氏に話を聞いた。
──いわゆる伝統的「SOC」や「SIEM」のどんなところが現在のニーズにそぐわなくなっていると思いますか?
サイバー攻撃がどんどん高度化している中のセキュリティ運用を考えたとき、求められるのは非常にシンプルで、一言で言うと「早く見つけて早く対処する」ことです。
現在の SIEM とか SOC には、単純にデータが溜まっている、集まっているだけで、何かあったときは人間が手動で頑張らなければいけなかったり、SOC 自体も製品ごとにサイロ化していたり、早く見つけて早く対処することが「できない」状況になっています。
一方で 2023 年 7 月 26 日に米証券取引委員会(SEC)は、重要なサイバーインシデントが発生した際に 4 日以内の開示を求める新しい規制を発表しています。こうした流れは今後日本にも入ってくるでしょう。現状ではとてもそんな短期間の開示に対応することが難しいという点で、レガシー SIEM と SOC は言葉を選ばずに申し上げれば、破綻を迎えつつあると言っていいと思います。
──どう変革されていく必要がありますか?
非常にシンプルで、AI とオートメーションの活用です。AI と自動化というふたつの技術を、レガシー SIEM と SOC のオペレーションに組み込んでいくということです。優秀な SOC オペレーターなら SIEMのログを 1 分間に 100 行や 200 行ぐらい読めるかもしれません。しかし、AI やクラウドコンピューティングのリソースを使えば、1 秒間で 100 万行のログを読み込んで分析結果を出すことができるのです。
──そのプラットフォームが「Cortex XSIAM」ということですね。すでにいくつかの SOC で導入が始まっているとか
既存の SIEM から Cortex XSIAM(コルテックス エクスサイアム)に単に乗り換えるという話ではなく、ログを集めているが使いこなせていないお客様が XSIAM にそのデータを取り込んで、分析・トリアージ・対処を自動化する機能を1つのプラットフォーム上で提供するものです。
──東京と大阪で講演の予定がありますが、どんな人に聞いてほしいですか?
たとえば「今年は EDR の更新だからエンドポイントを買い換えよう」など、日本のセキュリティ投資では、1 年に 1 回新しいシングルプロダクトを導入するというアプローチが多いと思います。XSIAM のアプローチは、これまでのやり方をドラスティックに変えていきましょうという話ですので、企業のセキュリティ全体を考えていらっしゃる方や、現場のトップの方、CISO の方などに聞いていただくと良いと思います。
──ありがとうございました
東京 大阪で行われる講演「AI と自動化優先のアプローチ ~ SOC のトランスフォーメーション」は、次世代の SIEM を活用した SOC とセキュリティ監視の未来を考えるという点で、間違いなく今回の Security Days Fall 2023 目玉講演のひとつである。では本編は会場で。
Security Days Fall 2023 東京
10.18(水) 09:50-10:30 | RoomA
「AI と自動化優先のアプローチ~ SOC のトランスフォーメーション」
Security Days Fall 2023 大阪
10.26(木) 12:40-13:20 | RoomA
「AI と自動化優先のアプローチ~ SOC のトランスフォーメーション」
