技術ブログ

※このポストは、2019 年 9 月 24 日に投稿されたAzure Sentinel—the cloud-native SIEM that empowers defenders is now generally available に加筆および更新を行ったものです。

Ann Johnson

コーポレート バイス プレジデント、Cybersecurity Solutions Group

今日のサイバー上のグローバル課題の多くに対処する手段として、人工知能 (AI) で強化された機械学習が非常に注目されています。この機械学習を利用することで、サイバー防御者はマルウェアの特定、検出、ブロックをほぼ瞬時に実行できるようになります。また、この機械学習を組み合わせて、セキュリティ管理者はタスクの衝突を回避し、ノイズからシグナルを分離可能にします。その結果、最も重要なタスクを優先することができます。Azure Sentinel は、企業の規模や扱うワークロードに関係なくインテリジェントなセキュリティ分析をクラウド規模で提供する、クラウドネイティブの SIEM です。この度は、Azure Sentinel の一般提供開始を発表することができ、たいへん嬉しく思います。

マイクロソフトの目標は Microsoft Azure Sentinel を 2 月に初公開したときから変わらず、セキュリティ運用チームを支援して、お客様のセキュリティ体制強化を手助けすることにあります。従来のセキュリティ情報イベント管理 (SIEM) ソリューションは、デジタル上の変化に対応できなくなっていました。お客様からは、SIEM ソリューションの展開と保守にかかる時間が増え、データの規模や俊敏な敵対者への対応が適切に行えないというご意見が寄せられていました。

最新の研究によると、70% の組織のセキュリティ分析とセキュリティ運用は、依然として SIEM システムによって支えられており1、大量のアプリケーションとワークロードをパブリック クラウドに移行する取り組みに注力している組織は 82% でした2。セキュリティの分析と運用に関わるテクノロジは一歩前進し、自身の職務の複雑さ、スピード、規模に対処するセキュリティ アナリストを手助けする必要があります。これを実現するため、65% の組織はプロセスの自動化/オーケストレーションに向けた新しいテクノロジを活用し、51% は機械学習アルゴリズムを取り入れたセキュリティ分析ツールを導入しています3。マイクロソフトが Azure Sentinel を開発したのは、まさにこのような状況を鑑みてのことです。Azure Sentinel は、現代のセキュリティ分析の課題に対応するためクラウドに向けて再発明された SIEM です。

お客様と共に学ぶ24

マイクロソフトは Azure Sentinel のパブリック プレビューを開始した際、Azure Sentinel が類を見ないやり方で日々どのように組織や防御者を支援しているかについて、知見や洞察を獲得することができました。パブリック プレビューの期間を通し、マイクロソフトはパートナーと協力しながら、意見に耳を傾け、知識を獲得し、調整を続けていきました。12,000 組織のお客様からのフィードバックと 2 ペタバイト分以上のデータ分析を活かし、大規模、複雑、多様なデータを深掘りして調査することができました。以上の取り組みから、共通して浮かび上がってきたことがあります。それは、サイバーセキュリティに関して必要とされているのは、組織の防御者が俊敏性と効率を高められるような支援であるということです。

マイクロソフトは RapidDeploy と協同で取り組み、Azure Sentinel がこの複雑なタスクをどのように完遂しているか、その素晴らしい例がありますのでご紹介します。RapidDeploy が作り上げているクラウドベースの緊急派遣システムは、一次対応者が即座に行動を起こして市民を守れるように支援を行っています。このシステムの担う役割は重大であり、同社のクラウドネイティブ プラットフォームは数々の深刻なサイバー脅威に対して安全でなければなりません。そのため SIEM システムを導入する際、RapidDeploy は世界でいち早く開発されたクラウドネイティブの SIEM である Azure Sentinel を選択しました。

マイクロソフトはつい先日、RapidDeploy の最高情報セキュリティ責任者である Alex Kreilein 氏と会談しました。同氏はその場で次のように述べています。「当社のプラットフォームは、生命を守るために構築されています。その目標を達成するために、このプラットフォームはインシデント対応時間を短縮したり、一次対応者の状況認識の改善を通して彼らの安全性を高めたりしています。」

現在、RapidDeploy は Azure Sentinel の完全な可視性、自動化された対応、迅速な展開能力、低い総保有コストを活かしながら、市民のための安全システムを保護するために、この SIEM ソリューションを役立てています。Kreilein 氏はこう続けています。「多くの SIEM は、展開に数か月かかることもありますが、Azure Sentinel は数分で済みました。展開ボタンをクリックするだけでよかったのです。」

マイクロソフトと RapidDeploy の連携について詳しくは、ストーリーの全体をご覧ください。

Azure Sentinel で成果を上げている企業の優れた例としては、このほかに ASOS も挙げられます。世界最大級のオンライン ファッション小売企業である ASOS は、自身がサイバー犯罪の主要なターゲットであることを自覚しています。同社は 5 つのチームと 2 つのサイトにまたがった大規模なセキュリティ機能を有していますが、これまでは、サイバー脅威アクティビティに対する包括的な視野を確保することが難しい状況にありました。現在、ASOS は Azure Sentinel を使って、脅威を早期発見するのに必要なものを見渡せる俯瞰的な視野を獲得し、事業と顧客を予防的に保護できるようになっています。その結果、同社は問題解決にかかる時間を半分に短縮しました。

ASOS のサイバー セキュリティ運用リードである Stuart Gregg 氏は次のように述べています。「世の中には多数の脅威があります。インサイダー脅威、アカウント侵害、Web サイトや顧客データに対する脅威、さらには物理的なセキュリティ脅威も存在しています。当社では常に自身の身を守り、より予防的に物事を進めようと努めています。」

ASOS はすでに Azure のさまざまなサービスを利用していたため、Azure Sentinel が自社のデータを即座かつ容易に統合できるプラットフォームであると考えました。統合の対象となったのは、Azure Security Center と Azure Active Directory (Azure AD) のセキュリティ データや、Microsoft 365 のデータでした。その結果、脅威環境の全体を見渡せる包括的な視野を手に入れました。

Gregg 氏は次のように続けます。「Azure Sentinel のセットアップは簡単でした。そして今はもう、ばらばらになったシステムの間でデータを移動させる必要がなくなりました。本当にボタンを何個かクリックするだけで、すべてのセキュリティ ソリューションが Azure Sentinel へデータを供給するようになったのです。」

ASOS が Azure Sentinel からどのようなメリットを得ているかについて、こちらで詳しくご紹介しています。

さまざまな企業が Azure Sentinel を使ってデータとテレメトリを実用的なセキュリティ アラートに転換し、調査や対応に活かしています。RapidDeploy や ASOS は、そのような企業の一例に過ぎません。マイクロソフトはプレビューの参加者やパートナー、さらには自社のセキュリティ専門家までもが集まっている活発な GitHub コミュニティを有しています。このコミュニティでは、新しいコネクタや検出、検出クエリ、自動化プレイブックなどが共有されています。

これらの設計パートナーの協力で、マイクロソフトは Azure Sentinel のイノベーションを続けてきました。Azure Sentinel はデータ ソースの場所が Azure でもオンプレミスでも、他のクラウドでも接続できるソリューションとして提供が開始されます。マイクロソフトは引き続き、さまざまなソースに向けた新しいコネクタや、機械学習ベースの検出機能を追加していきます。また Azure Sentinel は Azure Lighthouse サービスと統合する予定です。これによってサービス プロバイダーやエンタープライズのお客様は、Azure Sentinel のインスタンスを Azure の別々のテナント間で確認できるようになります。

組織をセキュア化

Azure Sentinel のパブリック プレビューが終了し、一般提供が始まった今は、このソリューションが自社にどう役立つのかを検討する最高のタイミングです。従来のオンプレミスの SIEM にはインフラ コストとソフトウェア コストの両方がかかるうえ、契約が年単位であったり、契約内容の融通が利かなかったりする問題がありました。マイクロソフトはこのような問題点を解消しています。コスト効率に優れたクラウドネイティブの SIEM である Azure Sentinel は、課金額が予測可能で、契約が柔軟です。

リソースが必要に応じて自動的にスケールするうえ、使った分の支払いしか求められないため、お客様はインフラ コストを削減することができます。ほかにも、容量予約による料金設定を活用することで、従量課金制の場合と比べ最大 60% のコストを削減できる場合があります。請求される月額料金は予測可能であり、容量クラスに応じた契約内容は 31 日ごとに柔軟に変更することができます。そのうえ、Office 365 の監査ログや Azure アクティビティ ログ、Microsoft Threat Protection ソリューションのアラートからデータを持ち込んでも、追加の支払いは一切発生しません。

2019 年 9 月 26 日 (火) 午前 10～11 時 (PT) のAzure Security Expert Series では Azure Sentinel が特集されます。ぜひご参加ください。こちらのイベントでは本稿で取り上げたイノベーションの詳細や、これまでは発見できなかった脅威を Azure Sentinel が検出した実際のユース ケースについて知ることができます。さらに、Accenture と RapidDeploy が Azure Sentinel でセキュリティ運用チームをどのように支援しているかについてもお話しする予定です。

今すぐ Azure Sentinel を導入しましょう!

¹ 出典: ESG Research Survey、Security Analytics and Operations: Industry Trends in the Era of Cloud Computing、2019 年 9 月
² 出典: ESG Research Survey、Security Analytics and Operations: Industry Trends in the Era of Cloud Computing、2019 年 9 月
³ 出典: ESG Research Survey、Security Analytics and Operations: Industry Trends in the Era of Cloud Computing、2019 年 9 月

※本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。