「SOCは人的依存からの脱却を」パロアルトネットワークス シェイリッシュ・ラオ氏

高度化・短時間化する一方のサイバー攻撃。従来の人に依存したSOCでは対応に限界がある。パロアルトネットワークスのラオ氏は「AI活用や自動化によるSOCの変革が急務」と語る。

――最近のサイバー攻撃をどのように見ていますか。

ラオ 世界的な傾向として、攻撃の規模とスピードがかつてないほど高まっています。

スピードについて具体的な数字を挙げましょう。当社の脅威インテリジェンスチームUnit 42の分析によると、攻撃者の平均滞在時間は、2021年の44日から2023年は5日と大幅に短縮しています。なかには、わずか数日間で2.5TB相当の重要データを持ち出した事例もあります。攻撃者はAIなど最新のテクノロジーを駆使するとともに、他のグループと連携しており、それが攻撃の高度化や滞在時間の短縮化につながっているのです。

また、ランサムウェア攻撃は高額な身代金が期待できる企業が狙われ、実際に支払われる金額も増え続けています。2023年は世界全体で8兆ドルにのぼり、2025年には10兆ドルに達するとの予測もあります。

このようにサイバー攻撃がエスカレートする中で、企業は対応に苦慮しているのが現状です。

パロアルトネットワークスでCortex製品グローバル事業担当プレジデントを務めるシェイリッシュ・ラオ氏

パロアルトネットワークスでCortex製品グローバル事業担当プレジデントを務めるシェイリッシュ・ラオ氏

――大企業などでは、自社でSOC(セキュリティオペレーションセンター)を運用したり、セキュリティ会社にアウトソーシングしていますが、それでも難しいのですか。

ラオ そもそもSOC自体に課題があります。

SOCでは、アラートやログを集約・分析し、セキュリティを段階的に改善する手段としてSIEM(Security Information and EventManagement)が活用されています。しかし、多くのSIEMがテクノロジーの進化によるサイバー攻撃の高度化を想定して設計されていないため、数年前からは最新の脅威を発見できず、ログだけが溜まり続けるという状況に陥っています。

また日本の場合、エンドポイントごとに異なるセキュリティベンダーの製品を入れているケースが多いのですが、製品ごとにバラバラなデータがSOCに集められるため、インシデントを検知するとすべてのエンドポイントを確認しなければならず、対応に時間がかかっています。

人手に依存する部分が大きいことも課題です。現状はアナリストが24時間365日ログを監視していますが、アラートが上がるたびに緊急対応に追われて疲労し、転職するケースが後を絶ちません。

SOCの抜本的な変革が必要となっています。

続きのページは、会員の方のみ閲覧していただけます。

RELATED ARTICLE関連記事

SPECIAL TOPICスペシャルトピック

スペシャルトピック一覧

NEW ARTICLES新着記事

記事一覧

FEATURE特集

WHITE PAPERホワイトペーパー

ホワイトペーパー一覧
×
無料会員登録

無料会員登録をすると、本サイトのすべての記事を閲覧いただけます。
また、最新記事やイベント・セミナーの情報など、ビジネスに役立つ情報を掲載したメールマガジンをお届けいたします。