2020.06.26   ソリューション

AIでSIEMの能力、SOCの効率を最大化 ー SPIDER TM AI Edition -

日々巧妙化するサイバー攻撃、UTMなどのセキュリティ機器、 EDRなどのセキュリティ対策製品と、SIEMを連携することでリアルタイムに異常検知することの重要性が注目されています。

しかし、必ずしもSIEMを導入することで完全な運用が確立できるわけではありません。
日々発生するセキュリティイベントに対応するにはそれなりの時間が必要です。
結果、攻撃への対処に時間が掛かってしまうということも多くあります。

今回は、こうした課題をクリアする手段としてセキュリティに特化したAI「SPIDER TM AI Edition」について、その特徴、効果について確認したいと思います。

SIEMとは

SIEMは「Security Information and Event Management」の略称です。直訳すると、セキュリティ情報イベント管理となります。

セキュリティ機器やセキュリティ対策製品などのログを一元管理し、それぞれのログを確認し、データ通信の流れなどを確認することも可能です。
そして複数の機器を通った通信のログを相関分析することで個々の機器、製品では検知しづらかったセキュリティインシデントを発見することが出来るソリューションです。

ログを収集し、セキュリティインシデントとしてなりうるルール、そして相関的なシナリオを設定することで、統合的にログを分析することが可能で、大量のログの中から自動的にセキュリティインシデントを検知することを可能とします。

その為、サイバーキルチェーンを断ち切る為、多くの機器、製品のログを収集することで巧妙化するサイバー攻撃への対策として有効な手段として考えられています。

[blogcard url=” http://cyberfortress.jp/contact/ “]

セキュリティ運用の限界

セキュリティ機器において日々様々なセキュリティイベントが発生します。

サイバーフォートレス調査では、セキュリティ監視者が確認したアラートイベントのうち、37% は誤検知(サイバー攻撃ではないもの)であり、本来は不要な監視業務が生じています。

一方でセキュリティ監視者が確認できなかったセキュリティイベントは、44% に達しています。
これらはインシデントとなる前に、他のログから検知され、早期に対応することが出来ており、それがSIEMの魅力の一つでもありますが、こうした検知しにくい最新のセキュリティ脅威や、潜伏する脅威が増加していることは明らかです。
これを見逃した場合、深刻なセキュリティの穴が出来きる恐れがあります。

セキュリティ運用の現状

そしてこれらは、セキュリティ監視者の技術力、知識量によって左右されるところもあります。

セキュリティ運用で AI が必要な理由

SIEMの働きを最大化するAI技術活用

セキュリティエンジニアの判断が機械的に出来れば、より早くセキュリティインシデントの処理を行い、より多くのセキュリティ脅威の高いイベントを対応できるのではないでしょうか。

過去に発生したセキュリティイベントを分析し、その結果をAIに学習させ、イベントの危険度をスコアリングしイベントの対応優先度をつけることで、危険度の高いイベントから処理すくことが可能となります。

又、AIに通常の振る舞いと攻撃の特徴の情報を学習させることで、これまで多様なログの相関分析の結果からセキュリティ監視者でしか検知することのできなかった、最新の脅威や潜在するサイバー攻撃を検知することが可能となります。

SPIDER TM AI Edition の特徴

「SPIDER TM AI Edition」は、「SPIDER TM」というSIEMソフトを利用したセキュリティ運用の中で蓄積されたノウハウを生かした、セキュリティに特化したAIです。

■ インシデント分析 ー 正検知・誤検知の自動判定 -

SIEM製品である、「SPIDER TM」を活用したセキュリティ運用の中で確認されたセキュリティイベントデータを収集し、そのデータを学習させたAI。
これを利用し、数多くのセキュリティ機器から発生する様々なイベントを漏れなくリアルタイムに分析し、危険度を分類。
危険度の高いイベントから分析することが可能。

■ アノマリー検知 - 未知の脅威を自動的に検知 -

日々の振る舞いの中で、通常とは違う動きを検知しサイバー攻撃の特徴である変則活動や、異常行動を検知。
これを利用し、従来のルールベースのセキュリティ機器では検知出来なかった最新のセキュリティ脅威や、潜伏しているサイバーキルチェーンを検知することが可能。

■ 複数ソフトとの連携 - 現状利用しているSIEMソフトなどへアドオン -

「SPIDER TM AI Edition」は、元の SIEMソフト 「SPIDER TM」に限定されず利用することが可能。既存のSIEMソフト等にアドオンすることも出来る。

既存のSIEMソフト、統合ログ管理ソフトに、AI機能のみ追加することが可能。現状では統合ログ管理ソフトとして良く耳にする Splunk にアドオンすることも可能。

SPIDER TM AI Edition の効果

セキュリティ運用の限界として考えられた課題を以下の通り改善することが出来るのではないかと考えます。

■ アラートの危険度自動判定による業務負荷の軽減、高危険度攻撃の対応効率アップ

■ 未確認データの減少、最新セキュリティ脅威にたいするセキュリティ監視ホールの最小化

■ セキュリティ監視者別の能力差によるアラート分析及び対応差を解消

最後に

セキュリティ対策に完璧はありませんが、日々進化するサイバー攻撃には、常に何が起きているかを監視し、見える化する必要があると考えます。

これまでもログを収集し見える化に取り組まれてきたかとは思います。これからは日々進化するサイバー攻撃に対し、見える化された出来事を効率的に処理する力、というものがこれからのセキュリティ対策には欠かせなくなるのではないでしょうか。

SPIDER TM AI Edition 動画でご紹介:
http://cyberfortress.jp/product01/#p02

[blogcard url=” http://cyberfortress.jp/contact/ “]

Written by CYBERFORTRESS, INC.

サイバーフォートレス CYBERTHREATS TODAY 編集チーム

サイバーフォートレスは、サイバーセキュリティ対策を提供するセキュリティ専門企業です。

セキュリティ対策や、最新のセキュリティ脅威、サイバー攻撃のトレンドなど、当社が研究開発や情報収集した内容をもとに、最新のセキュリティ脅威・セキュリティ対策についてお伝えします。

関連記事

よく読まれている記事