SIEM フォーティネットジャパン

SIEMとSOARを組みあわせ--フォーティネットが語るSOC効率化のカギ

フォーティネットは“SIEM”と“SOAR”を組みあわせることでセキュリティ監視センター(SOC)の効率化を図れると説明する。

 ハードウェアベースの物理アプライアンスやソフトウェアだけの仮想アプライアンス(Amazon Web Services=AWSでも稼働可能)の形態で提供されているFortiSIEMは、中核となるスーパーバイザーに加えて、負荷分散ノードのワーカー、ログ収集専用ノードのコレクターで構成。必要に応じてワーカーやコレクターの数を追加することで、柔軟にスケールアウト可能という。

 エンドポイントにインストールするエージェントは、ログ取得以外にもレジストリー変更やファイル改ざんの検知機能を搭載している。今後は、スーパーバイザーに人工知能(AI)を活用して、ユーザーの振る舞いと聞きなどを分析して不正な振る舞いを検知するUEBA(User and Entity Behavioral Analytics)機能の年内実装を予定している。なお、フォーティネットジャパンは企業や組織内部の脅威を検知し、阻止する「FortiInsight」も提供中だ。

FortiSIEMのインシデントページ FortiSIEMのインシデントページ
※クリックすると拡大画像が見られます

 FortiSOARについて熊村氏は「SOARは自動化に注目が集まるものの、(FortiSOARは)コラボレーションツールとして活用してほしい」と説明する。その理由はマルチテナント機能やタスク管理機能を備えているからだ。

 マルチテナントは、文字通り点在するチームの統合管理を意味し、Playbookによるセキュリティ運用パターンの共有化やVPNや中継用の仮想マシンを用いた遠隔地との連携が可能という。

 タスク管理はFortiSOARのWorkspace(サブウィンドウ)にチャット機能を実装し、SOC担当者間の意思疎通を可能にした。アラート発生時は類似するアラートを選別して、対応するPlaybookを推奨する機能も備えている。

 また、他社システムのAPIにアクセスして制御するコネクターは300種類を超え、「今後も継続的に追加していく」(熊村氏)

 FortiSOARは仮想マシンやソフトウェアとして提供し、買い切りと年単位のサブスクリプションモデルを採用。マルチテナント運用時は専用ライセンスを選択できる。

 フォーティネットジャパンはFortiSIEMとFortiSOARの顧客対象として、データセンター事業者や重要インフラストラクチャー事業者、個人情報を保有している業種を示しているが、実際には政府系組織や製造業、流通業の企業の導入が多いという。

 導入支援サービスとしてSOCアナリスト5人までを対象にフォーティネットジャパンの技術者が支援する「10 Daysインストレーションサービス」、25人までを対象にした「15 Daysインストレーションサービス」をオプションとして用意する。

「SIEM」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ

ホワイトペーパーランキング

  1. 5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは
  2. ノートPCは従来ながらの選び方ではダメ!新しい働き方にも対応する失敗しない選び方を徹底解説
  3. 問題だらけの現場指導を効率化!「人によって教え方が違う」を解消するためのマニュアル整備
  4. 緊急事態宣言解除後の利用率は低下 調査結果に見る「テレワーク」定着を阻む課題とその対応策
  5. たしか、あのデータは、こっちのアプリにあったはず…--業務改善のためのアプリ導入がストレスの原因に?

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]