SentinelOne Japan株式会社
執行役社長
伊藤 俊明氏
リモートワークやクラウドの普及により、セキュリティー監視領域が拡大している。サイバー攻撃は様々なシステムを社内横断的に実行するため、管理者は個々の製品ログを監視しているだけでは高度な脅威を検知できなくなってきている。
攻撃者のAI活用で攻撃スピードも格段に上がった。その一方で防御側の人数は増えない。これによりリソースがひっ迫し、運用が限界に近づいている。「こうした環境変化を踏まえると、今後のセキュリティー対策では、あらゆる製品のログをAIで相関分析するとともに、運用もAIで自動実行することが大切です」とSentinelOne Japanの伊藤 俊明氏は提言する。
従来から多くの企業が様々なセキュリティー製品を導入してきた。その結果、運用のサイロ化が進んでいる。1つのベンダーからワンストップで製品を導入して全体最適を図る方法もあるが、これはベンダーロックインにつながりやすい。こうした観点から考えると「AIによる運用の自動化」はこうした課題に対する有効策となり得る。
「外部SOCに委託しているから、運用の効率化は自社でなく外部SOCの問題、と考える企業もあるでしょう。しかし決してそうではありません。AI活用の攻撃が増えている今、外部SOCが使っているツールが人手に頼るものであれば対応遅延、抜け漏れが発生し、ユーザー企業に影響を及ぼします。アラートが通知された後の正検知・誤検知の判定、該当ユーザーへの確認、同じ攻撃がほかの端末にもきていないかどうかの調査、報告書の作成など、自社での運用作業は依然として発生しており、今後は攻撃の増加やスピードに対応できなくなります」と伊藤氏は指摘する。
セキュリティー運用の自動化に向けSentinelOneが提供するのが「Singularity Hyperautomation」だ。これは「Singularity Platform」に組み込まれているソリューションだ。他社製品も含めたワークフローの構築をノーコードで実現可能とするもので、100以上の製品と標準連携し、それ以外の製品もカスタムで連携できるという。
「Singularity Hyperautomationは手作業による反復作業を簡単に自動化できるツールです。ベストプラクティスのテンプレートも豊富に用意していますので、すぐに運用の自動化を実現することが可能です。またSingularity PlatformはXDR(Extended Detection and Response)とSIEMを統合し、単一のプラットフォームで包括的なセキュリティーを提供する基盤となります。当社だけではなく他社製のEDRやクラウドセキュリティー、アイデンティティ、Eメール、ネットワーク系のログもすべて取り込めるため、セキュリティーの運用効率を大幅に向上させることが可能です」(伊藤氏)
Singularity Platformの中核ツールとして用意されているのが「Data Lake」と「Purple AI」「AI SIEM」だ。あらゆるデータをData Lakeに効率的に取り込み、Singularity Platformで企業全体の可視化と保護を提供。その上でPurple AIとAI SIEMを動かすことでAIを効果的に活用する仕組みが提供されている。