注:本記事は(2021年8月11日)に公開された(Delivering Threat Detection and Response Without the Limitations)を翻訳して公開したものです。

サイバーセキュリティ業界の劇的な変化により、業界の両雄が新たにエキサイティングなパートナーシップを結ぶことになりました。

セキュリティ組織では、従来のSIEMソリューションでは大量のデータを十分に処理できず、クラウドやハイブリッド環境では信頼性の高い脅威検知が実行されないというケースが増えています。一方、データアナリティクスチームでは、オンプレミスのデータウェアハウスをクラウドデータプラットフォームに移行することで大きな成果を上げています。経済的なストレージと高速クエリが特長のこれらの新たなプラットフォームにより、セキュリティの自動化と可視化の制約が解消されるでしょうか。

セキュリティデータレイクを構築しようという各社の初期の試みは、プロジェクトに長い期間と高額な資金を要した割には、ほとんど満足な結果を得られませんでした。セキュリティログをデータレイクにダンプして汎用アナリティクスを適用しても、求める結果が得られないことが分かりました。さらに、自らの使用事例に沿うようにデータを取得し、エンリッチ化し、フォーマット化することの難しさも痛感しました。結局、脅威検出の要件を適切なクエリ、機械学習モデル、ビジュアライゼーションへ変換する試みのほとんどが失敗に終わりました。 

これらの課題の多くは、すでにSIEMベンダーによって解決されています。セキュリティデータの取り扱い方法や、セキュリティ使用事例をデータアナリティクスに変換する方法についての知識は非常に有益であり、SIEMソリューションには長年をかけてそれらの知識が組み込まれてきました。しかし、それが、これらのソリューションに付随する制約が多くコストも高いアーキテクチャを受け入れなければならない理由になるでしょうか?セキュリティチームは、制限が非常に多い従来のやり方を踏襲するか、スケーラブルなデータプラットフォームを初めから構築するか、二者択一を迫られることになるのでしょうか?

では、両方の長所をピックアップして、既存のクラウドデータプラットフォームを活用できるセキュリティアナリティクスソリューションが存在するとしたらどうでしょうか。

Securonix社が提供する「Bring Your Own Snowflake」ソリューションが、まさにそういうソリューションです。Securonixのプラットフォームは、オフザシェルフのデータ収集機能や脅威検出機能といったセキュリティアナリティクス要件のほか、データのエンリッチ化や直感的検索に対応しています。また、脅威検出アナリティクスを、Securonix SOARの組込型インシデント対応オートメーションなどの一貫したセキュリティオペレーションワークフローにもつなげます。

Snowflakeデータクラウドの既存のインスタンスに加えてこれらの機能を提供することで、Securonixはサイズや複雑さにかかわらず、コスト効率に優れた方法ですべてのセキュリティデータを収集できます。Snowflake独自のアーキテクチャではストレージをコンピュートから分離しているため、大量のEDRテレメトリや仮想プライベートクラウド(VPC)フローログの取り込みも可能です。Snowflakeでは、事実上無制限のコンピュートリソースによって瞬時にスケールアップすることにより、単一層の何ペタバイトものセキュリティデータを適時に調査することができます。世界最先端のセキュリティオペレーション(SecOps)チームがSnowflakeをベースにセキュリティプログラムを構築することで、完全な可視性、制度の高い検知、優れた自動化が実現しました。

このモデルによって、これまで不可能と見られていた数多くの問題が解決します。今では、セキュリティデータセットとビジネスデータセットとの間を簡単に相関させることができるようになりました。また、マルチクラウド環境のセキュリティ保護をめぐる課題の克服も可能になりました。しかも従来のSIEMソリューションと比較して大幅なコスト削減も実現しています。データ収集、ストレージ、またはアナリティクスに関する制限がなければ、お使いのセキュリティプログラムがどのような成果を上げられるかを考えると、SecuronixのBring Your Own Snowflakeソリューションの素晴らしさがお分かりいただけるでしょう。