TISは2020年1月30日、日本マイクロソフトのSIEM(セキュリティ情報イベント管理)サービス「Azure Sentinel」の導入・運用を担当するSIサービス「Azure Sentinel向け活用サービス」を発表した。「Microsoft Azure」と「Office 365」のセキュリティログ監視を総合的に支援する。
Azure Sentinelは、クラウドネイティブ型のSIEM機能とSOAR(セキュリティオーケストレーション自動応答)機能を備えた、Azureのセキュリティ監視クラウドサービスである。SIEMの基本機能であるログ収集、相関分析、影響範囲の可視化に加え、AIによる脅威情報の判定および複数のアラート発信から重要なインシデントの抽出、SOARによる運用の自動化が可能だ。
TISが開始するAzure Sentinel向け活用サービスは、Azure Sentinelの導入・運用を担当するSIサービスである(図1)。Azure Sentinelの導入に向けて、アセスメントサービス、導入サービス、サポートサービス(2020年度中リリース予定)を提供する。
拡大画像表示
Azure Sentinelの導入から運用開始までの期間を短縮し、将来的には企業自身で運用が行えるように支援する。クラウドの特性を活かし、初期のサイジング設計の負荷を軽減し、設計期間を短縮する。各種デバイスログの取り込み方法や検知ルールをテンプレート化しており、ルール設計の負荷を軽減する。
アセスメントサービスでは、Azure Sentinelの導入検討企業に対し、TISの技術コンサルタントが現状のセキュリティ運用状況や、実現したい要件などをヒアリングし、要件に沿った形で体制のイメージや導入ステップを提示する。
導入サービスでは、Azure Sentinelの導入支援を実施する。ユーザーみずから運用する場合は、構築や操作説明などのナレッジ移転も実施する。試用や検証などの部分導入を希望する企業向けのスモールスタートパッケージも用意し、個別の要件にも柔軟に対応する。
サポートサービスでは、Azure Sentinelの実装と運用開始後に発生する技術的な質問に回答するQ&Aサービスや、AI機能「Azure Machine Learning」を活用したオリジナルルールの適用、スポットの教育メニューや有事の際のフォレンジックの支援など、Azure Sentinelの有効活用のための運用面を支援する。
サポートサービスは、主に自社でSOC(Security Operation Center)運用を検討する企業を想定している。SIEMの運用に加え、SOC運用、CSIRT運用を支援する。TISの脅威インテリジェンスセンターが持つ脅威情報や脆弱性情報を利用し、ユーザーの環境に適した検知から対処までの自動化ルールを継続的に提供する。また、2次SOCとして、ユーザーだけでは分析困難な調査や、過去ログの分析を行い、SOC運用を継続的に支援する。
背景について同社は、セキュリティの脅威は高度化・複雑化し、外部からのサイバー攻撃に加えて内部不正などにも注意する必要があることを挙げる。「実害が発生するまで攻撃に気が付かないといったケースも見受けられるという。また、セキュリティ人材、IT人材の不足、対策技術の広範囲化・高度化により、サイバー攻撃へのセキュリティ対策の実施現場における負荷や求められる専門性も高まっている」(同社)。
なお、SIEM(Security Information and Event Management)は、情報システムを構成するサーバーやネットワーク、セキュリティの様々な機器やソフトウェアの動作状況の記録(ログ)を一元的に蓄積・管理し、保安上の脅威となる事象をいち早く検知・分析する仕組みを指す。
SOAR(Security Orchestration Automation and Response)は、発見された脅威やイベントに対し、あらかじめ対処方法を定義し、実際の事象が発生した際に定義された対処方法に従って、操作を実施する仕組みのこと。具体的には、被害端末の隔離や特定通信の遮断などを行う。