――最近のサイバー攻撃をどのように見ていますか。

ラオ　世界的な傾向として、攻撃の規模とスピードがかつてないほど高まっています。

スピードについて具体的な数字を挙げましょう。当社の脅威インテリジェンスチームUnit 42の分析によると、攻撃者の平均滞在時間は、2021年の44日から2023年は5日と大幅に短縮しています。なかには、わずか数日間で2.5TB相当の重要データを持ち出した事例もあります。攻撃者はAIなど最新のテクノロジーを駆使するとともに、他のグループと連携しており、それが攻撃の高度化や滞在時間の短縮化につながっているのです。

また、ランサムウェア攻撃は高額な身代金が期待できる企業が狙われ、実際に支払われる金額も増え続けています。2023年は世界全体で8兆ドルにのぼり、2025年には10兆ドルに達するとの予測もあります。

このようにサイバー攻撃がエスカレートする中で、企業は対応に苦慮しているのが現状です。

パロアルトネットワークスでCortex製品グローバル事業担当プレジデントを務めるシェイリッシュ・ラオ氏

――大企業などでは、自社でSOC（セキュリティオペレーションセンター）を運用したり、セキュリティ会社にアウトソーシングしていますが、それでも難しいのですか。

ラオ　そもそもSOC自体に課題があります。

SOCでは、アラートやログを集約・分析し、セキュリティを段階的に改善する手段としてSIEM（Security Information and EventManagement）が活用されています。しかし、多くのSIEMがテクノロジーの進化によるサイバー攻撃の高度化を想定して設計されていないため、数年前からは最新の脅威を発見できず、ログだけが溜まり続けるという状況に陥っています。

また日本の場合、エンドポイントごとに異なるセキュリティベンダーの製品を入れているケースが多いのですが、製品ごとにバラバラなデータがSOCに集められるため、インシデントを検知するとすべてのエンドポイントを確認しなければならず、対応に時間がかかっています。

人手に依存する部分が大きいことも課題です。現状はアナリストが24時間365日ログを監視していますが、アラートが上がるたびに緊急対応に追われて疲労し、転職するケースが後を絶ちません。

SOCの抜本的な変革が必要となっています。