ArcSightがセキュリティオペレーションの土台であり続ける理由

トップ企業がArcSightを20年近く使用し、今後も使用し続ける5つの理由

ArcSight、プロダクトマネジメントディレクター、Mary Writzのゲスト投稿

現在、私たちはデジタル環境で、ITとセキュリティの曲がり角に遭遇しています。組織は、モバイル、IoT、クラウド、コンテナーに新しいテクノロジーを採用する一方、バックエンドでは時代に合わなくなったシステム、アプリケーション、オンプレミスインフラストラクチャーの多くをそのまま使い続けています。こうしたハイブリッドIT環境は通常、非常に複雑化するため、セキュリティから言えば、敵対者に新たな悪用の手段を提供する結果となっています。脅威のランドスケープは絶えず変化しているため、セキュリティソリューションも、これらの攻撃者に遅れをとることなく、変化し続ける必要があります。セキュリティオペレーションチームが使用するツールには、セキュリティ対策を適切に実行するためのコンテキストと可視性を提供する、強力なアプローチが不可欠です。

image6.jpg

こうした理由から、当社は、具体的には当社顧客のニーズに合わせて、ArcSightの継続的な変更とイノベーションを進めています。顧客には、公的機関や、世界中の大手銀行、小売業者など、多様な事業者が含まれています。お客様は、巧妙化する攻撃者に対抗するため、統合された、オープンで強力なソリューションを必要としています。Micro Focusとの合併を経て、現在、ArcSightを土台に、この分野で最大のセキュリティポートフォリオの1つが形成されています。当社では、ArcSightを歴史あるMicro Focusのセキュリティソリューションと統合して、追加機能を提供し、新しいユースケースに対処する作業にすでに着手しています。ここでは、ArcSightが、世界最先端のサイバーディフェンスセンターで必要不可欠とされ、結びつきが保たれている、5つの理由を示します。

1. クリーンなデータを提供する

分析や違反の検出では、正規化され、構造化されたデータが重要な意味を持ちます。

現在の環境において攻撃者を見つけて攻撃を止める作業は、巨大なパズルを解く作業にいくらか似ています。データとログのさまざまなピースは、すべて手元に揃っています。より大きな像を描くには、各ピースがどの場所に当てはまるかを確かめる作業が必要です。バラバラのログから価値を正確に引き出すには、それらのログの強化、標準化、構造化を図るしかありません。異種のログソースにわたる異常動作のハントにN次クラスタリングを使用するとすれば、データの構造化は不可欠です。既知の脅威をできるだけ早く検出するため、ストリームのイベント相関ルールを作成する必要がある場合は、ストリーム内のクリーンなデータが必要です。

ArcSightでは業界をリードするデータプラットフォーム (ADP) を提供しており、違反の検出をサポートするため、コネクターとパーサーの知的所有権への投資を、数百に及ぶさまざまなソースを対象に10年間実施しています。ADPは、セキュリティログを取得すると、データの正規化、構造化、強化を取り込み直後に実行します。その際、セキュリティコンテキスト (ネットワーク、資産、時間) などのセキュリティ仕様が考慮されます。IPアドレスは変わる可能性があるため、取り込み時に実行することが、適切なリアルタイムコンテキストを取得する上で重要です。ArcSightデータプラットフォームは、標準化された共通イベントフォーマット (CEF) を生成します。CEFは、多方向からの攻撃を探すため、さまざまなデータセットのパズルピースを組み合わせる際に非常に有効なダウンストリームです。

2. 検索ではなく、リアルタイム相関を実行する

ミッションクリティカルな環境を保護する必要がある場合、リアルタイム相関は譲れない条件です。

経験豊富なサイバープロフェッショナルは、検索とリアルタイム相関に大きな違いがあることを理解しています。成熟度レベルの低いサイバーオペレーションでは、さまざまな行動を「ニア」リアルタイムで探す際、それに合わせて検索をコーディングすることが許される可能性はありますが、そこには看過できない歴然とした違いがあります。たとえば、特定の種類の不審なアクティビティを検索するとします。その際、重要な資産にログインする、通常と異なる動きをするシステムの検索を、5分を単位とするDLP (データ損失防止) の起動によって監視します。「ニア」リアルタイム検索をコーディングすると、このアクティビティは、5分のチャンクで検索されます。すなわち、5分ごとにスクリプトが実行され、特定の組み合わせのアクティビティが検索されます。では、ログインが5分チャンクの最後の1分に発生し、異常なDLPアクティビティが2番目の(次の)5分チャンクの最初の1分に発生した場合はどうなるでしょうか? アクティビティが2つのチャンクにまたがっているため、検索スクリプトはそれを見逃します。一方、リアルタイム相関の場合、情報をメモリに保持するので、どの5分間ウィンドウでもアクティビティを常に探します。他にも違いはあるものの、「ニア」リアルタイム検索ではカバレッジのギャップに対応できないため、ミッションクリティカルな環境を保護している場合、リアルタイム相関がいかに譲れない条件であるかは、この例を見れば明らかです。

ArcSightは、世界レベルのリアルタイム相関製品、ArcSight Enterprise Security Manager (ESM) を提供します。ESMは、大規模なサイバーセキュリティの脅威に対する直感的な検出、特定、対応、分類にかかる時間を大幅に短縮します。ESMを使用すれば、何千ものセキュリティ上の脅威とバリエーションを正確に監視することができるため、重要なシステムに影響が出る前に攻撃を軽減できます。

3. オープンアーキテクチャーなので、セキュリティオペレーションのビッグデータに対応して進化できる

サイバーセキュリティデータを囲い込む古い独自仕様のSIEMは、時代に適合しません。これからの時代は、オープンで柔軟なアーキテクチャーが主流です。

攻撃者の手口がさらに巧妙化し、スピードもこれまで以上に速まっていることは、誰もが知るところです。組織には、複数の検出手法をデータに適用することで可視性を高め、検出までの時間を短縮できる、セキュリティオペレーションソリューションが必要です。計画性の高いソリューションは、同じデータ収集インフラストラクチャーを活用するので、特定されたすべての脅威に対して1つの基準点を設けることができます。ただし、業界アナリストや競合企業が、1つの閉ざされたテクノロジーと1つのデータレイクに違反検出を集約すれば、違反検出の問題を適切に解決できるとみなしていることには、大いに不満を感じます。現実には、とりわけ大規模な組織では、単一のレイクと単一の分析ツールは、実態に即しません。分析機能は、データストアによって異なります。グラフベースの分析には、グラフベースのデータストアが必要です。コンプライアンス用の不変のデータレイクが必要な場合は、考慮すべき点が異なり、データの送り先が違う可能性があります。これは、違反の発見に必要な検出エンジンを検討する場合にも当てはまります。すべての分析オプションを開いた状態に保つには、1つのデータストアでは不十分です。それでもなお「単一の完全なデータレイク/検出分析ツール」を望むのであれば、どちらも当分は存在しないことになります。

ArcSightでの設計上の意思決定は、お客様のニーズに基づいて行われます。当社では、お客様がサイバーセキュリティのデータレイクの「チェーン」を処理する必要があること、および当社の仕事はエコシステムのサポートであることを理解しています。そのため、当社はここ数年、ArcSightのポートフォリオを解体し、豊富なクリーンデータをどこにでも送信して、組織全体で可視性を実現できるようにするという、大きな改革に取り組んでいます。ArcSightは、構造化されたデータをKafkaベースのメッセージバスにプッシュし、データの送信先に対する制御をすべてお客様に委ねています。ArcSightでは、独自仕様のSIEMによるサイバーセキュリティデータの囲い込みという考えには断固として反対しており、オープンで柔軟なアーキテクチャーを推進しています。

4. 高度な分析により、既知と未知の脅威を検索できる

強固で持続可能なセキュリティ体制を構築する鍵となるのは、統合と継続的な学習です。

ビッグデータが利用しやすくなるにつれて、既知の脅威の検索のみならず、セキュリティにビッグデータ分析を適用し、未知の脅威を探すチャンスも生まれてきました。組織がリスク環境を把握するほど、検出と対応のためのより適切な体制が維持されます。ArcSightは、ここ数年、検出エンジンとハンティング機能の無料スイートを導入し、ベースライン、トレンド、ユーザー行動など、多様なビッグデータ分析のユースケースをサポートしています。2017年には、ハントと探索のための全く新しい機能をリリースしました。それが、ArcSight Investigateです。使いやすいUIと完全にアンロックされたバックエンドを持つため、Verticaのパワーをサイバーデータに利用できます。これにより、ArcSightは世界で最も高速なデータストアの1つを使用して、未知の脅威を容易にハントすることができるようになりました。既知の脅威と未知の脅威の検出は、いわばコインの表と裏の、非常に補完的な関係にあります。サイバーハンターが未知の攻撃を探す際には、今後の同様のハントを自動化できるようにする必要があります。また、リアルタイム相関に迅速に方向転換できるシステムへのアクセス機能も必要です。ArcSightでは、異なる検出手法同士の統合のしかたに重点を置いて成熟したセキュリティオペレーションをサポートしており、これによって1つの「学習する組織」が構築されます。

5. スケーラブル、最新、セキュアという特長がある

ArcSightはエンタープライズ規模のサービスを幅広く提供しており、その際、スケーラビリティ、IT管理、およびセキュリティを考慮しています。さらに、迅速なパッチ適用とメンテナンスのニーズに対応するため、コンテナーを採用しました。当社のすべての製品は強化されており、FIPSコンプライアンスの基準と一般的な基準に適合しています。ArcSight製品は、100万以上のEPSデータ取り込みを処理できるなど、真のスケーラビリティも備えています。製品リリースの設計では、データの取り込み方法から、違反の検出、システムの強化、UIエクスペリエンスまで、ソリューションのすべての側面が考慮されています。

今日のセキュリティ環境では、カバレッジの拡大と統合レベルの向上による、お客様の機密性の高いデータ、アプリケーション、エンドポイント、アイデンティティの保護が必要です。ArcSightは、そのすべての土台となります。これには、SOCで分析と洞察を提供するため、すべてのデータとログを収集、正規化、強化する作業が含まれます。Micro Focusの包括的なポートフォリオ (業界をリードするデータセキュリティアプリケーションセキュリティ、およびIDおよびアクセス管理ソリューション) の統合により、GDPRコンプライアンスに対するサポート、アプリのセキュリティログのSecOpsへの取り込み、アイデンティティとアクセスのガバナンスの強化の点で、サービスの幅と奥行きは大きく広がりました。これは単なる始まりに過ぎません。当社は、今後も顧客中心のイノベーションの提供に努めてまいります。


以上

(本ドキュメントは、以下のBlogドキュメントの日本語訳となります)

Why ArcSight Remains the Cornerstone of Security Operations

https://community.softwaregrp.com/t5/Protect-Your-Assets/Why-ArcSight-Remains-the-Cornerstone-of-Security-Operations/ba-p/1625054#.WmBtyk0UnIV

タグ:
カテゴリ: