セキュリティオペレーションチームがゼロトラストを維持する方法

This post is also available in: English (英語)

効果的なゼロトラスト戦略において重要な役割を果たすのがセキュリティオペレーションチームです。そして効果的なゼロトラスト戦略には、企業インフラ全体への一定レベルの可視性とコントロールが必須です。ここでいう可視性やコントロールには、ネットワークトラフィック全体の可視性を得ることをはじめ、インフラ内すべてのソースからのデータオーケストレーションや、機械学習利用により知見を具体的なアクションに落としこむこと、さらにはそうしたアクションを自動実行することなどが含まれます。ようするに、実際にセキュリティオペレーションチームがゼロトラストアプローチを監視・維持したければ、やるべきことはたくさんある、ということです。

ゼロトラストは、「ネットワーク上のユーザー、エンドポイント、資格情報、デバイス、それらは何一つ信頼できると思ってはいけない」ということを意味します。エンドポイントは侵害されうるし、資格情報は窃取されることがあります。セキュリティオペレーションチームは、疑わしい振る舞いや異常な振る舞いを継続的に監視し、全員が名乗ったとおりの人物で、正当な行動をとっていることを確認しなければなりません。そのために役立つのが分析ソリューションです。分析ソリューションを展開し、エンドポイント、クラウド、ネットワークアセット全体を確認することにより、企業全体にわたる可視性と、管理下・管理外アセットの保護が得られます。

パロアルトネットワークスでは、セキュリティオペレーションチーム(と彼らと協業しているITチームと)がこうしたゼロトラスト戦略を実施できるよう、多額の投資を行ってきました。「The Forrester Wave™: Zero Trust eXtended Ecosystem Platform Providers, Q3 2020 (ForresterWave™:ゼロトラスト拡張エコシステムプラットフォームプロバイダ 2020年第3四半期)」では、パロアルトネットワークスがリーダーとしてあがり、次のように説明されています。「パロアルトネットワークスは、組織がゼロトラストインフラストラクチャを運用する上で必要とするすべてのツール・機能を基本的に調達、取得、または構築してきました。パロアルトネットワークスは、オンプレミス、データセンタ、クラウド環境など、あらゆる場所にゼロトラストを提供するための堅牢なポートフォリオを構築しています。」

私たちのツールキットのSecOps部分はCortexポートフォリオを中心に構成されています。

Cortex XDRは、検出・レスポンスソリューションとしての幅広い機能をもち、攻撃を防いでエンドポイントの振る舞い異常を検出するだけでなく、ネットワークやクラウドを含む全体的な可視性・調査・修復機能を提供してくれます。

テレメトリデータが多ければ、異常の識別に必要な知見も、ゼロトラストの展開に対するアーキテクチャ調整通知に必要な知見もそれだけ多くなります。パロアルトネットワークスでは、クラウド、ネットワーク、エンドポイント全体からのテレメトリデータをCortex Data Lakeに集約し、そこでデータをつなぎ合わせることで、機械学習や分析を可能にしています。Cortex XDRはこのデータを使用して、通常のユーザーとデバイスの振る舞いのベースラインを作成し、振る舞い分析エンジンがこうした異常に基づいて脅威を検出できるようにします。新しい脅威ベクトルが見つかったとき、Cortex XDRはその新しく見つかった脅威の詳細な調査を容易にしてくれるので、何が発生していたのかを明らかにしたうえでそれに応じた対応が可能になります。

Cortex XSOARは、ネイティブの脅威インテリジェンス管理を備えた、セキュリティオーケストレーション、自動化、対応のためのソリューションです。Cortex XSOARは、セキュリティスタック全体でインシデントレスポンスを自動化・調整するAPI駆動型の自動化プレイブックを使用しており、セキュリティインシデント発見時のセキュリティチームの迅速な行動を可能にしてくれます。あらかじめ組み込まれた大規模な統合リストは、認証からネットワークセキュリティ、脆弱性管理まで多岐にわたる内容で、これにはSecOpsチームが使うさまざまなツールが含まれています。このなかにはセキュリティツールもあればセキュリティツール以外のツールもあり、パロアルトネットワークス製のものも、そうでないものも含まれています。これらの統合はプレイブックを推進し、反復的手動タスクを自動化します。また、チーム間のコミュニケーションとコラボレーション、迅速な調査、脅威の修復も容易にしてくれます。

ゼロトラストについて、さらに詳細をお知りになりたい場合は、パロアルトネットワークスの創業者兼CTOのNir Zukによるビデオで、さまざまな手法全体がどのように組み合わせて使用されるのかが説明されていますので、ぜひこちらをご覧ください。

本稿は『Zero Trust Throughout Your Infrastructure(インフラ全体にゼロトラストを)』シリーズの一部です。