SOC(セキュリティ オペレーション センター)のセキュリティ担当者は、ビジネス化・高度化したサイバー攻撃に日々さらされているため、大きな負担を強いられています。多くの企業は、1件のインシデントを解決するために数日から数週間以上かけているものの、根本的な原因にたどり着くまでに、問題箇所を矛盾なく完全に解明できることは滅多にありません。2017年5月に公開されたマカフィーの調査結果には、このセキュリティ担当者のジレンマがまとめられており、企業はこうした攻撃に対抗するための1つの手段として、高度な分析や業務の自動化に投資していることがわかっています。下記が調査結果の概要です。
• SOCの85%は、分析を強化したいと考えている。
• SOCの84%は、業務の自動化を進めて組織の成熟度を高めたいと考えている。
• 成熟度の高いSOCでは、成熟度の低いSOCと比べて3倍以上の自動化が進んでいるが、一方でほぼすべての企業が業務の自動化に向けた取り組みに投資している。
• 先進的なSOCは、50%以上の調査プロセスをすでに自動化しているが、さらに自動化を進めたいと考えている。
• 最も自動化が進んでいるのは、リアルタイムのエンドポイント分析、トリアージ、フォレンジック、修復などの分野。
マカフィーは機械学習を活用した脅威/マルウェアの自動分析ポートフォリオのさらなる拡張を進めており、先日その一環として初級分析者でもエキスパートの調査員になれるSaaSベースの分析ツール「McAfee Investigator」を発表しています。McAfee Investigatorは、セキュリティ環境のさらなる複雑化を招くようなサイロ化された製品ではなく、SIEMのデータやアラートを活用すると同時に、セキュリティ製品管理ツールであるMcAfee ePolicy Orchestratorやエージェントなどを活用することで、リアルタイムなエンドポイントの可視化を実現します。
McAfee Investigatorは、高い専門性が求められる現場でのデータの収集、整理、事例管理を自動化します。トリアージで優先度を設定するところから始まり、自動化、マカフィーのプロフェッショナルサービスであるFoundstoneから提供される専門的なデータ、機械学習(人工知能も含む)を動員して、アナリストが特定の状況について適切に質問や仮説を立てられるように手助けします。より詳細な調査や可視化によって洞察を得られるため、スコーピング、検証、文書化、処理プロセスを迅速に進めるなかで、最も関連性の高いデータやわずかな兆候を探ることが可能になります。
米国のリゾート運営企業であるMGM Internationalの最高情報セキュリティ責任者(CISO)チーム担当シニア バイス プレジデントであるスコット・ハウイット(Scott Howitt)は、McAfee Investigatorによって、SOCのアナリストが実際の調査に使える時間を増やすことができると述べています。
「McAfee Investigatorによってセキュリティ対策が自動化され、自社内の問題などを簡単に見つけられるようになるため、組織の成熟度が高まります。当社のチームは、ツールの切り替え時間を削減し、ツールを最大限活用することを重視しているため、これまでよりも実際の調査に集中できるようになりました」
このツールにより、SOCチームがセキュリティにおける目標を達成し、組織のセキュリティ成熟度を高めることができます。SOCにかかる過度の負担を軽減し、人間とテクノロジーを組み合わせた優位性を最大化できる新しいモデルを試してみたいとお考えであれば、是非、この新ツールをご検討ください。詳しくは、mcafee.com/investigatorをご覧いただくか、営業担当までお問い合わせください。
また、Twitterで@McAfeeをフォローすれば、McAfee Investigatorの詳細をご覧いただけます。
※本ページの内容は2017年10月18日更新のMcAfee Blog の抄訳です
原文:Introducing McAfee Investigator: Automated, Expert System-Based Analytics to Transform the SOC
著者:Barbara Kay
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)