パロアルトネットワークス(アリイ・ヒロシ会長兼社長)は4月23日、セキュリティ運用を自動化・効率化するSOAR(Security Orchestration, Automation and Response、ソアー)プラットフォーム「Cortex XSOAR(コルテックス エックスソアー)」の国内提供を開始すると発表した。2019年3月に買収したDemisto(デミスト)のSOARを名称変更したもので、脅威インテリジェンス管理機能を統合・強化している。

 Cortex XSOARは、「Automation&Orchestration」「ケース管理」「リアルタイムコラボレーション」「脅威インテリジェンス管理」の四つの主要機能を搭載。350種類以上のサードパーティー製品に対応し、アラートやインシデントの情報を収集・管理できる。インシデント発生時にはインシデント対応を自動化するフロー(プレイブック)に基づいて自動で対処する。プレイブックはGUI上で作成することが可能で、同社でも「100を超える」(Cortex事業本部システムエンジニアの澁谷寿夫氏)数のプレイブックを用意しているという。

 また、Cortex営業本部の露木正樹本部長は、「上がってきたアラートやインシデントに対しては、人が対応しなければいけないものと、自動的に対応できるものとに明確に分かれる。(Cortex XSOARでは)これをきちんと管理していく」と説明。アラートやインシデントを「既知」と「未知」に分け、既知の場合は自動で対応。未知の場合に向けては、アナリストが協力して調査したり、効率的に知見を集めてインシデントに対応したりするためのボットやコマンドラインのインターフェースを用意している。

 また、新たに追加した脅威インテリジェンス管理機能で、同社の脅威情報サービスである「AutoFocus」だけでなく外部の脅威情報のフィードも含めて情報の集約や管理が可能になった。その情報を基にしてファイアウォールやプロキシの設定変更、インシデント調査対応の優先順位付けに役立てることができる。

 同社が今年3月に実施した調査「セキュリティオペレーションジャパンサーベイ2020」(年間売上高500億円以上かつ従業員500人以上の国内民間企業が対象)によると、多くの企業がセキュリティ人材・スキルの不足、複数のセキュリティ製品を導入していることによる運用の煩雑さ、アラート疲れといった課題に直面していることが分かったという。

 チーフサイバーセキュリティストラテジストの染谷征良氏は、「人がやるべきものとテクノロジーに任せるものを切り分けていく必要がある」と指摘。社内で定型的・反復的に行われている作業を整理した上で作業フローを固め、SOARを使って自動化することで、「人材不足や運用負荷の課題を解決できる」と言う。その上で、社内外のセキュリティログや脅威インテリジェンスを活用することで、セキュリティオペレーションを効率化・高度化していくことが重要だと説明した。

 Cortex XSOARの日本市場への提供は4月23日に開始。同社ではSOCを持つ企業をターゲットに展開を図る。従来のDemistoユーザーは、クラウド利用の場合は自動的にCortex XSOARへ移行、オンプレミスの場合は、バージョン5.5にアップグレードすることで移行できる。(前田幸慧)