「より正確に、より効率的に」を追求する新プラットフォームの全貌 セキュリティ有識者が徹底解説：進化し続けるExabeam

サイバー攻撃が後を絶たない状況で、セキュリティ担当者の負担が増えている。そうした中で強い味方になり得るのが、脅威の検知、調査、対応を自動化できるプラットフォームだ。最新版は一体どのような機能を持つのか、有識者が解説する。

PR／＠IT

印刷

見るPost

Shareシェア

はてなブックマーク

SharePocket Button

PR

　ランサムウェア（身代金要求型マルウェア）攻撃や、機密情報を狙った標的型攻撃など、サイバー攻撃の被害は後を絶たない。情報処理推進機構（IPA）が公表した「情報セキュリティ10大脅威 2025」でも10年連続でランクインした「ランサム攻撃による被害」を筆頭に、おなじみの脅威が並んでいる。

　こうした脅威に対し企業側も、ネットワークやエンドポイントなどさまざまな領域の対策を組み合わせ、多層防御を通してIT環境の保護に努めてきた。近年は「SOC」（Security Operation Center）や「CSIRT」（Computer Security Incident Response Team）といった組織を整備し、「EDR」（Endpoint Detection and Response）などのツールを組み合わせて、防御の網をすり抜けてきた脅威を早期に検知。深刻な被害につながる前に対応する仕組み作りも進んでいる。

　ただし、この結果、セキュリティ担当者には多大な負荷がかかっている。各種セキュリティ製品が発する大量のアラートを精査した上で、誤検知・過検知か、それとも本当の脅威かを分析し、必要に応じてネットワークからの隔離や不審なプロセスの停止といった措置を、24時間365日体制で行うのは並大抵の仕事ではない。

　ただでさえセキュリティ人材は不足している。周囲からは「何もトラブルが起こらなくて当たり前」と見られがちなこともあり、セキュリティ担当者の「燃え尽き症候群」が懸念されている。「組織を脅威から守れるスキルを備えた人材の不足は、日本だけではなく世界中で課題になっています」と、ExabeamでProduct Directorを務めるVaughn Adams（ヴォーン・アダムス）氏は指摘する。

四半期ごとの継続的なアップデートで、進化し続ける脅威に対抗

　Exabeamは連日多数のアラートに追われるセキュリティ担当者を支援するために、長年にわたって「SIEM」（Security Information and Event Management）や「UEBA」（User and Entity Behavior Analytics）のツールを提供し、「TDIR」（Threat Detection Investigation Response）、つまり脅威の検知、調査、対応プロセスを支援してきた。

　同社のソリューションはファイアウォールをはじめとするネットワークセキュリティ製品やプロキシサーバはもちろん、エンドポイントであるPC上のイベントやクラウド環境、さらにはファイルサーバやActive Directoryなど多様なソースからログを収集し、「データ収集プラットフォーム」を構築する。その上で、単純な条件や静的なルールに基づくマッチングではなく、機械学習やAI（人工知能）といった技術を活用した行動分析エンジンによって動的に脅威を検知して、セキュリティアナリストに対処を促す。その対応を「プレイブック」を用いて自動化する仕組みも備えている。

　ランサムウェア攻撃や標的型攻撃といったサイバー攻撃は分かりやすいマルウェアが使われることもある。しかしそれ以上に、認証情報を入手してアカウントを乗っ取って正規ユーザーになりすましたり、PCなどにはじめから搭載されている正規のツールを悪用して防御側の目をくらましたりするケースが多い。これに対しExabeamは、UEBAによって一見正常に見える動きの中から不審な兆候を見つけ出せる。これは、外部の攻撃者による巧妙な攻撃の検知はもちろん、十大脅威でも上位にランクインしている「内部不正」の検知にも有効だという。

Exabeamのヴォーン・アダムス氏

　Exabeamの特徴はバラバラにアラートを見るのではなく、分かりやすいタイムラインを作成することでセキュリティアナリストが一連の出来事を容易につなぎ合わせ、ストーリーを作成できることだ。これによって「内部脅威やアカウントの乗っ取りなどを検知できるようになります」とアダムス氏は述べる。

　Exabeamは2024年、SIEM製品を提供してきたLogRhythmとの合併によってポートフォリオを強化した。市場動向や顧客のニーズを踏まえ、四半期ごとに継続的にアップデートしている。「サイバー脅威は常に進化しています。企業がこうしたサイバー脅威からの保護を考えるためには、Exabeamのように常に進化するパートナーの役割が重要です」（アダムス氏）

より正確に、信頼できる検知を実現する新プラットフォーム

　そうした「進化」の最新版として、Exabeamは2025年1月に「New-Scale Security Operations Platform」を発表した。「この新しいプラットフォームはこれまで提供してきたソリューションをさらに進化させたものです」とアダムス氏は言う。New-Scale Security Operations Platformは、同社の製品としては初めてOpenAPI Standard（OAS）に対応し、他のOAS対応製品との連携が容易になった。このため、導入に要する手間と時間が大幅に短縮でき、運用負荷も削減できるという。

　大きなポイントは、TDIRのD（Detection：検知）、I（Investigation：調査）、R（Response：対応）の各ステップで強化が図られている点だ。

　アダムス氏によると、特に検知の正確性や信頼性がより高まっている。「これまでもプラットフォームを通して真実を見いだすための手段を提供してきましたが、モデリングを改善した『New-Scale Analytics』は、より迅速かつより正確に脅威を検知できるようになっています」（同氏）

　そもそもSIEM製品やセキュリティ運用の歴史は、誤検知や過検知との戦いの歴史とも言える。大量のアラートの中からノイズを省き、見落としてはならない本当の脅威を見つけ出すために、セキュリティ担当者は多大な努力を払ってきた。Exabeamが評価されてきた要因の一つも、独自のモデリングによる機械学習機能によって正常な行動と異常な行動を識別できる点にある。New-Scale Security Operations Platformはそれをより容易にするという。

　Exabeamは「まるで名探偵のように紛らわしいものが混じった多数の証拠の中から『真実』を導き出します」（アダムス氏）。それが可能なのは「その環境で日常的に起こっているイベントではなく、通常ならばまず起こらないようなレアなイベントにフォーカスしているからです」（同氏）

　コンピュータシステムは数え切れないほど多数のイベントが進行する。大半は脅威を見つけるという目的からすればノイズであり、無視しても構わない。Exabeamは機械学習やモデリング技術を駆使することで、わずかな、しかし注目すべきエビデンスを見つけ出してリスクを検出する。

　しかもこの検出モデルは固定ではない。「IT環境は常に変化します。システムの入れ替えやアップグレード、新規技術の導入やユーザーの退職といった事象が毎日のように発生します。変化の中でも適切にチューニングが行える新機能を提供します」（アダムス氏）

　機械学習も強化して、より高精度な脅威スコアリングが可能になっている。例えば、調査する際は複数あるイベントの優先順位付けが必要だ。Exabeamは正確に脅威の危険度をスコアリングすることによって、セキュリティ担当者が「この事象はどのくらいクリティカルなのか」を即座に判断。限られたリソースを適切に割り振り、調査を進められる。具体的にスコアを示すことで、セキュリティ担当者と他のステークホルダーのコミュニケーションもスムーズになる。

自動化を駆使してセキュリティ担当者の負荷を一層削減

　新プラットフォームのもう一つのポイントは調査や対応の効率化だ。以前から提供されてきたプラットフォーム「Exabeam Copilot」の生成AI機能との連携が図られている。自然言語でチャットbotに問いかければ、脅威の調査から対応までの一連の流れについて適切な助言を得られる。日本語でも同じように利用可能だ。

　「人手不足は深刻な問題ですが、生成AIとの共同作業をプラットフォームに組み込むことでスタッフの効率を高めることができます」とアダムス氏は述べる。OASも活用して対応のプレイブックを自動化すれば、効率をさらに高めることができると考えられる。こうした一連の機能を活用することで「脅威に対処するセキュリティ担当者の運用負荷を減らしてより正確な検知を行い、成果を出すことができます」（アダムス氏）

　New-Scale Security Operations Platformは他にも、ログ収集が確実に行われているかを監視して、ログをロストした場合にはアラートを送って脅威検知の可用性を高める「モニタリングツール」に加え、「内部アタックサーフェース」を検出するコンポーネントも追加している。

　昨今、IT資産を把握した上で攻撃者の視点で悪用される恐れのある攻撃対象領域を管理し、優先順位を付けながら対処する「ASM」（Attack Surface Management）が注目を集めているが、新コンポーネントはそれをシステム内部で実現する。「大規模な組織では、コンピュータが何台あり、ユーザーが何人いるのかを正確に把握できていないことがあります。しかしどんなアセットを所有しているかがそもそも分からなければ、それらを守ることも困難です」とアダムス氏。このコンポーネントは環境内のIT資産を動的に特定して脆弱（ぜいじゃく）性を把握し、最終的に「保護」できるよう支援するという。

　このように対応の幅を広げつつ、Exabeamのプラットフォームは顧客のニーズを反映しながら進化するとアダムス氏は述べる。「TDIRにおけるより多くのことを自動化し、もしどうしても自動化ができない場合はツールを提供し、可能な限りセキュリティ担当者がより効率的な方法で対処できるように今後もわれわれは支援していきます」（同氏）