タイムラインによるリスクの可視化と
実績に裏打ちされたAI機能で、
セキュリティー運用の課題を解決

　企業を狙うサイバー攻撃は大きく2つのタイプに分けられる。１つは、システムやネットワーク機器の脆弱性などを狙う技術的な攻撃。そしてもう1つは、「人」の脆弱性を突く攻撃だ。最近はこの2つのうち、後者が用いられるケースが増えている。

　「背景には『守りの高度化』があるといわれています。現在の企業・組織は様々な技術を駆使して防御に努めているため、容易に突破することはできません。それならば、人をだましたほうが効率的だと、攻撃者が考え始めているのです」とExabeam Japanの梅原 鉄己氏は語る。

　また最近は脅威のトレンドにも様々な変化が見受けられる。一例が、ランサムウエア攻撃の巧妙化・産業化である。RaaS（Ransomware as a Service）のような攻撃代行サービスを使えば、技術や知識のない人でも簡単にサイバー攻撃を仕掛けられる。

　多様化するリスクに備えるため、現在の企業・組織内は様々なセキュリティー製品を導入・運用している。しかし、それでも守り切ることは難しいのが実情だ。「なぜインシデントが起こるのでしょうか。当社は、その要因の1つが、現在のセキュリティー運用が内包している課題にあると考えています」と梅原氏は言う。

　例えば、多様なセキュリティー製品がそれぞれバラバラに運用されていたり、運用が特定の担当者に依存していたりするケースは少なくない。これでは、組織横断的にリスクの実態を可視化することは難しいだろう。

　また、各製品は日々大量のアラートを発報するが、それらすべてを確認できているケースは稀だ。多くの場合、大量のアラートをさばき切れずに重要なものを見逃したり、対応が後手に回ってしまったりする。当然、アラート同士を関連付けた高度な分析や対応にはまったく手が届いていない。「そもそもセキュリティー人材が不足しているために、必要性は分かっていてもやれないケースが多くあるようです」と梅原氏は述べる。

　そこでExabeamは、このようなセキュリティー運用の課題を解決するソリューションとして、セキュリティーオペレーションプラットフォーム「Exabeam」を提供している。

　Exabeamは、様々なデータソースから取り込んだログを相関分析するSIEM（Security Information ＆ Event Management）、ユーザーやデバイスの異常な振る舞いを検知するUEBA（User ＆ Entity Behavior Analytics）、セキュリティー運用を自動化するSOAR（Security Orchestration Automation ＆ Response）の3つの機能を統合したクラウドベースのソリューションだ（図1）。 　「オンプレミスのIT資産はもちろん、パブリッククラウドも含めたあらゆるシステムのログを集約し、組織のIT環境で何が起きているかを横断的に可視化します。調査・脅威検知・対応の3つのサイクルを単一のプラットフォームで実現できるソリューションは、業界でもほかにないと自負しています」と梅原氏は強調する。

　まず脅威に対抗するために重要なのがデータ収集だ。とはいえ、ただデータを集めただけでは必要な気付きを得ることはできない。ログに記録されたイベントが正常なものなのかを、データ単体では判断できないからだ。

　「該当のユーザーが誰であり、普段はどのネットワークでどのような操作を行っているのか、ログにあるURLには以前もアクセスしたことがあるのか。たった一行のログであっても、そこから調査すべき項目は数十件にも及びます。当社のプラットフォームであれば、これらの情報を網羅的に収集して組み合わせることで、分析することが可能です」と梅原氏は話す。

　また、仮に網羅的なデータが集まっても、その先の作業を人がやっていたのでは追いつかない。その点Exabeamでは、強力なAI機能で作業を自動化することが可能だ。ログを取り込んだ時点でAIが必要なデータを取り出し、表現を整えて意味のある情報に変換する。市場に存在する数百以上の製品のログに対して、標準化やエンリッチメント（コンテキストの補完）などを行うことができるという。

　収集したイベントやアラートの情報は、互いに紐づけてタイムライン化する。これによりユーザーの行動を時系列で可視化し、「誰が・いつ・何を行ったか」という攻撃の全体像を明らかにできる。このタイムライン化は、SIEM、UEBA、SOARの3つが揃って初めて実現できるもの。まさしくExabeamならではの機能といえるだろう。

　「また、タイムライン全体をAIが評価してリスクスコアを算出します。これにより、優先的に対処すべきリスクを容易に判断できます。大量のアラートに埋もれて、対応が後手に回るということはなくなります」（梅原氏）

　万一、危険度の高いリスクが検知された場合には、ソリューション側で調査サマリーを自動作成する。ここにはリスクの概要や起こりうる脅威、次のステップなどが自然言語で記載されているため、それを基に速やかに初動対応を行えるだろう。

　調査を進める中で疑問が生まれた場合は、AIエージェントに質問すれば回答が返ってくる。「経験の浅い担当者でも的確な対応が行えます。チーム全体のスキルの底上げ、人材不足の解決につなぐことができるでしょう」と梅原氏は説明する。

　同社自身もこのプラットフォームを活用して多くの成果につなげている。検知・トリアージ・調査・対応に要する工数は、従来の20％程度にまで削減※。アナリストは単調な作業から解放され、本来注力すべき業務に集中できるようになったという（図2）。 　「組織内に侵入した外部脅威を検知したい」「バラバラのセキュリティー監視を統合したい」「属人的な運用から脱却したい」――。このような思いを抱く企業にとって、Exabeamは多くの価値をもたらすソリューションといえる。加えて、外部への情報持ち出しやリモートワーク環境の監視など、内部不正対策の局面でも効果が期待できるだろう。

　ビジネスを取り巻くサイバーリスクは日増しに多様化している。タイムラインやAIによって、システム内のあらゆるイベントを可視化できるExabeamは、この状況に対処する上での強力な武器になるはずだ。

• Exabeamが搭載するAgentic AI「Exabeam Nova」による効果