「Azure Sentinel」は、クラウドとAI(人工知能)を活用した企業のセキュリティ運用ソリューションです。企業内で収集したさまざまなイベントログを統合管理し、相関関係を分析して、サイバー攻撃による被害を未然に防いでシステムを保護します。また、タスクの自動化や、拡張可能なアーキテクチャによってセキュリティ管理の負荷を軽減します。
サイバー攻撃は多様化し、特定の企業を狙った標的型攻撃など、新たな脅威が次々と発生するようになりました。したがってシステムを最新の状態にアップデートすることはもちろん、強固な基盤で防御する必要があります。
セキュリティ関連で重視されているソリューションに「SIEM」があります。「Security Information and Event Management」を略した用語で、日本語では一般的に「セキュリティ情報イベント管理」と呼ばれています。Azure Sentinelは、このSIEMに加えて「セキュリティオーケストレーション自動応答 (SOAR)」を提供するソリューションです。
ここではSIEMの基礎知識を確認するとともに、Azure Sentinelの特長と機能を中心に概要をまとめました。
Azure SentinelのSIEM、SOARの概要
まずAzure Sentinelが提供するセキュリティ情報イベント管理(SIEM)と、セキュリティ オーケストレーション自動応答 (SOAR)について、一般的な知識とAzureのソリューション概要を解説していきます。
Azure Sentinelのセキュリティ情報イベント管理(SIEM)とは
SIEMは、標的型攻撃に対する有効な手段として注目を集めたセキュリティソリューションです。
標的型攻撃は、不特定多数にウィルスをばらまくのではなく、特定の企業から情報を盗み、あらゆる手口を使ってその企業に攻撃を仕掛けます。メールの添付ファイル、Webサイトの改ざん、ソフトウェア更新時に悪意のあるソフトウェアをインストールするなど、手口は多岐に渡ります。狙いを定めて特定の組織を攻撃することから極めて悪質です。
このような悪質な侵入の予兆は、システムのイベントログに残されています。しかし、標的型攻撃は単体のログだけでは判別できず、過去にはなかった手口を使うので脅威として検出されない場合があります。したがって、システムに残されたあらゆるログの相関関係から脅威を検出して防御しなければなりません。
膨大なデータから脅威をリアルタイムで抽出することは、人間の能力をはるかに超えています。そこでAIによる脅威の抽出が注目されるようになりました。
Azure Sentinelは、企業内のイベントログの収集、膨大なデータから脅威の検出、重大なインシデント(損失や中断あるいは危機的状況)の調査、迅速な自動保護によるインシデント対応を統合して提供しています。
Azure Sentinelのセキュリティオーケストレーション自動応答(SOAR)とは
次にセキュリティオーケストレーション自動対応(Security Orchestration, Automation and Response:SOAR)の一般的な概念について解説し、Azure Sentinelで提供するソリューションを整理します。
「オーケストレーション」は、AIの活用分野としてRPA(Robotic Process Automation:業務プロセスの自動化)などにおいても重視されるキーワードです。複雑なITシステムのプロビジョニングから、プロセスの統合と管理、全体の最適化を行います。膨大なビッグデータを扱う処理では、フレームワーク全体を見渡して、人間がやらなければならない処理のどこまでを自動化するか見極めることが大切です。
特にセキュリティに関しては、新たな脅威が次々と生まれつつあり、膨大なログの相関関係を分析することが必要になります。さらにSOARが重視される理由として「高度なセキュリティ対策のスキルとノウハウを持った人材の不足」という深刻な側面もあります。
大企業のセキュリティ管理者は、社内で運用しているシステムのインシデントに対して、ハードウェア、ネットワーク、ソフトウェアに関する幅広い知識を持つことが必要です。さらに的確な判断力と迅速かつ柔軟な行動力が求められます。しかしながら、どんなに高度なスキルを持った管理者も人間である以上、処理できる範囲や量に限界があります。自動化できる処理はシステムに代替させることが理想です。
Azure Sentinelは、セキュリティプレイブックによってオーケストレーションを簡略化しています。プレイブックは「戦略集」と翻訳されることがありますが、インシデントに対するアラートをどのように処理するか、手順をまとめたテンプレートと考えてよいでしょう。
Azure Logic Appsを使うと、ギャラリーからAzure Functions などのサービスに用いる200以上のコネクタを含んだプレイブックを入手できます。プレイブックは自動処理だけでなく、手動で実行することも可能です。
Azure Sentinelが提供する、あらゆるリソースに接続可能なコネクタ
Azure Sentinel には、リアルタイムのセキュリティ統合を簡単に実現する Microsoft ソリューション用のコネクタが数多くあります。次のようなソリューションに接続して利用できます。
- Microsoft Threat Protection
- Microsoft 365の以下のソース
Office 365、Azure AD、Azure ATP、Microsoft Cloud App Securityなど
Microsoftのサービス以外にも、幅広いパートナーのエコシステムを組み込むコネクタを備えています。 さらに一般的なイベント形式(Syslog、REST-API)のデータソースとAzure Sentinelを接続することが可能です。
Azure Sentinelの機能を3つの観点から整理
SIEMとSOARという2つのキーワードでAzure Sentinelの概要について解説しました。続いて「セキュリティデータ収集」「検索と調査」「インシデントへの対応」の3つの観点から機能を整理します。
1. セキュリティデータ収集:企業全体のあらゆるセキュリティデータを確認可能
大企業では、ハイブリッドクラウドや複数のクラウドを利用している場合があります。Azure Sentinelはオンプレミスおよび複数のクラウドで構築されているインフラストラクチャー、あらゆるユーザーとデバイス、利用しているアプリケーションのセキュリティデータを収集します。
Azure Sentinelに接続したデータリソースは、Azure Monitorとブックを統合を使用して監視できます。組み込みのブックテンプレートを使ってデータソースに接続し、すばやく企業全体のデータを確認することが可能になります。テンプレートはカスタマイズできるため、さまざまな企業のニーズに応えます。
2. 検出と調査:AIを用いて重大な脅威を未然に防御
Azure Sentinelの脅威を検出する強力な機能とクエリは、MITRE(マイター)のフレームワークで構築されています。MITREは米国政府が支援するセキュリティ研究に特化した非営利団体で、脆弱性識別子の「CVE」を採番していることでよく知られます。MITREが提供するフレームワークを用いて、大企業におけるデータソース全体からセキュリティの脅威を検出します。サイバー攻撃に対する戦術と技術をライフサイクルで体系化したフレームワークとして、セキュリティ分野では注目されています。
脅威の検出にAIを採用していることがAzure Sentinelの特長です。詳細調査のツール(プレビュー版)は潜在的な脅威の範囲を定め、根本的な原因の発見に役立ちます。関連性を把握しやすいグラフのインターフェースと、特定のエンティティに対する質問を繰り返す対話型の調査を提供します。
セキュリティ管理にAIを採用するメリットは、組み込みによる機械学習と膨大な分析で誤った判定を軽減できることです。Microsoftの実績を基盤としたクエリを使い、過去に発見した脅威はもちろん、新たな脅威の検出を可能にします。優先順位を付与したアラート一覧から数秒単位で数千のセキュリティ・イベントの相関を解析、攻撃範囲の全体を視覚的に把握できます。
3. インシデントへの対応:クラウドによる迅速なセキュリティ対応とスケーリング
組み込みによる自動化されたタスクの提供と、あらゆるセキュリティデータを統合管理できるソリューションによって、Azure Sentinelは迅速に企業のデータ資産やシステムを脅威から保護します。また、クラウド環境で提供するAzure Sentinelには、ストレージやクエリの制限がありません。組織の拡大に合わせて自動的にスケーリングして、最適なリソースを確保します。
Microsoft Azureとは何か?入門から応用まで徹底解説
まとめ
リモートワーク、BYOD(従業員がそれぞれの端末を持ち込むこと)の導入が拡大し、大企業におけるセキュリティ管理は経営面からも重点項目です。このような局面において、高度な知識とスキルを持った人材の獲得はもちろん、タスクの「自動化」とデータの「統合」を核としたセキュリティ管理がビジネスを支えます。
SIEMとSOARを統合したAzure Sentinelは、セキュリティ対策に追われる管理者の煩雑さを軽減し、企業をサイバー攻撃から守る強力なソリューションを提供します。
