サイバー攻撃者の速度が急速に増している中、全てのセキュリティオペレーションセンター(SOC)チームは、AIを活用して有利な状況を構築する方法を模索する必要があります。CrowdStrikeのCEOで共同創業者のジョージ・カーツ氏は、最近の講演で驚くべき統計を示しました。攻撃者はシステム内でアクセスを得てからわずか2分7秒で横移動し、31秒以内にツールキットをダウンロードして侵害されたシステムの偵察を開始できるとのことです。これは、RSAC 2024での“Next-Gen SIEM: データ、セキュリティ、IT、ワークフロー自動化、AIの融合”という基調講演での発言です。
サイバーセキュリティにおけるAIの緊急性
カーツ氏は、セキュリティチームが膨大なデータセットを迅速に分析し、脅威を検出・対応する必要性を強調しました。「今日のサイバー攻撃の速度は、従来のSIEMシステムの能力を超えています」と語り、組織は投資回収の迅速化と総所有コストの削減を可能にする高度な技術を求めていると述べました。重要なセキュリティデータは主にFalconプラットフォームに集中しており、古いSIEMソリューションにデータを転送する時間とコストを削減します。私たちの統一アーキテクチャは、AIとワークフロー自動化を活用し、ネイティブおよびサードパーティのデータを統合します。これにより、AIネイティブのSOCの可能性を最大限に引き出しています。
従来のSIEMの課題
攻撃者が手法を洗練させるにつれて、エンドポイントとアイデンティティセキュリティのギャップが深まっています。エンドポイントデータは、侵入試行を予測するための重要な洞察を提供できますが、適切に集約されている必要があります。「サイバーセキュリティにおける大きな問題はデータの複雑さを管理することです」とカーツ氏は指摘しました。SOCチームは、脅威を特定するために膨大なデータをナビゲートするのに苦労しています。
従来のSIEMは、SOCチームにとって負担となっています。アナリストは、異なるシステム間で切り替える“スイベルチェアインテグレーション”に陥り、貴重な時間を浪費しています。リスクスコアを確認するために複数のデータソースを様々なツールで処理しなければならず、特に緊急な事案では遅延が発生します。「データ照会には数日を要し、その間に重要なアラートが見逃されることがあります。敵を上回る方法を見つけることが重要です」とカーツ氏は強調しました。
カーツ氏は、携帯電話プランの進化を例に挙げ、次世代SIEMはコストを大きく増加させることなくスケーラブルなデータ取り込みを可能にすべきだと述べ、組織が費用に制約されることなく情報に基づいたセキュリティ決定を行えるようにする必要性を強調しました。
AIを活用した防御者の強化
カーツ氏は、RSAC 2024でCrowdStrike Falcon Next-Gen SIEMの革新を発表し、防御者に適切なツールを提供して運用効率を高める必要性を説きました。彼の基調講演では、従来のSIEMの制約を取り除き、SOCにAI機能を強化する重要性が強調されました。特に、CrowdStrikeはFalcon Insightの顧客に対し、毎日10GBのサードパーティデータ取り込みを無料で提供し、次世代SIEMの速度と効果を示しています。
AIはFalcon Next-Gen SIEMアーキテクチャに不可欠であり、データの解析と正規化を自動化し、脅威の特定を改善するためにデータセットを豊かにし、高度な脅威検出と自動応答メカニズムをサポートします。「AIネイティブのSOCは継続的に学習します」とカーツ氏は説明しました。「各組織は、従業員や環境について独自の洞察を持っており、組織はこのインテリジェンスを供給業者だけに依存するべきではありません。システムは、その文脈における悪意のある内部者を認識し、時間とともに適応する必要があります。」
SOCパフォーマンスの加速
CrowdStrikeのFalcon Next-Gen SIEMは、従来のSIEMと比較して最大150倍速い検索機能と80%低い総所有コストを提供し、SOCのパフォーマンスを向上させることを目指しています。これは、SOCにとっての重要な課題である遅いパフォーマンスと応答時間を解決します。
Falcon Next-Gen SIEMの主な革新点は以下の通りです:
- 生成AIとワークフロー自動化
- シャーロットAI: CrowdStrikeの生成AIアシスタントがFalconのデータやドキュメントを平易な言葉で提供し、アナリストの応答時間を短縮します。
- 調査効率: AIが関連するコンテキストを自動的に照合し、調査を迅速化します。
- カスタムプロンプトブック: アナリストが再利用可能な検出と応答ワークフローを定義することで、迅速なインシデント解決を実現します。
- SOAR統合: 新しいFusion SOAR UIにより、SOCアナリストがドラッグ&ドロップインターフェースを通じてワークフローを簡素化し、運用効率を向上させます。
- 自動調査: 自動化されたワークフローが脅威ハンティングを強化し、Falconおよびサードパーティツールとのアクションを統合します。
- 迅速なデータ取り込み
- 拡張されたエコシステム: 新しいコネクターが様々なサードパーティのITおよびセキュリティデータをFalconプラットフォームに統合します。
- クラウドコネクター: AWS、Azure、GCPへの包括的な接続により、データアクセスとモニタリングを効率化します。
- 自動データ正規化: 簡素化されたデータのオンボーディングにより、全てのソースにおいて迅速かつ正確な検出を実現します。
- 効率的なデータ管理: 取り込みステータスと健全性の監視と管理を簡素化します。
- インシデント管理におけるアナリスト体験の向上
- 自動強化: インシデントに自動的にコンテキスト情報を追加し、調査を加速させます。
- コラボレーションツール: 改善されたビューと通知により、アナリスト間の共同応答を促進します。
- 脅威インテリジェンス統合: アナリストはカスタム脅威インテリジェンスを検索にシームレスに組み込むことができます。
CrowdStrikeの革新は、急速に進化するサイバーセキュリティ環境において、SOCの効率性と応答性を向上させるための重要なソリューションとしてFalcon Next-Gen SIEMを位置づけています。