New Technologies

2024.07.12(Fri)

AIと自動化を活用したSOC変革！
プロアクティブなセキュリティアプローチが不可欠な理由とは

#セキュリティ #事例 #AI

OPEN HUB
ISSUE

New Technologies

答えはここに。
今使いたい
最新テクノロジー

近年、サイバー攻撃が巧妙化・ゼロデイ化する中、既存のセキュリティ対策では対応が間に合わないリスクを抱える企業にとって、東洋紡株式会社の事例が参考になるかもしれません。同社はインシデント対応を高速化するため、パロアルトネットワークスのAI駆動型セキュリティプラットフォーム「Cortex XSIAM」を日本で初めて導入し、XDR・SOAR・SIEMなどのSOC（Security Operation Center）機能を単一プラットフォームで実現しています。

今回は、NTTコミュニケーションズ（以下、NTT Com）のソリューションサービス部でチーフコンサルタントを務める北川公士によるファシリテートのもと、東洋紡執行役員CDOの矢吹哲朗氏、パロアルトネットワークスCortex営業本部の梅根庸一氏、Cortex XSIAM導入をサポートしたNTT Comソリューションサービス部の城征司の3名によるトークセッションを実施。

導入プロジェクトに携わった3者がその経緯や裏側を語り、プロアクティブなセキュリティ対策の重要性をお伝えするとともに、Cortex XSIAMの効果的な導入ソリューションについても、NTT Comの野良真史によるプレゼンテーションをダイジェストでお届けします。

※加えて、梅根氏によるCortex XSIAMの詳細な機能解説と合わせた2人のプレゼンの全編は、記事最後にご紹介するアーカイブ動画へのリンクからご視聴可能です。

この記事の要約

東洋紡のCortex XSIAM導入事例を紹介。
セキュリティツールの増加により「素早い対処」が難しくなっていたため、AIと自動化を活用したプラットフォーム型ソリューションを採用。グローバル全拠点での導入により、サプライチェーンセキュリティを強化。

導入の背景には、攻撃者の技術進歩への危機感やアーキテクチャ刷新の必要性があった。経営層の理解を得るため、機能説明ではなく会社への価値を説明することが重要。

今後のIT・セキュリティ戦略では、ツールの集約化と運用スキル向上が鍵。セキュリティ担当者の役割も、インシデント対応から戦略立案へと変化している。

NTT Comは豊富な導入実績と技術力を活かし、Cortex XSIAMの導入から運用まで幅広く支援可能。

※この要約は、生成AIで作成しました。

いつの間にか“素早い対処”が後回しに？最新のサイバー攻撃に後れをとる理由

北川公士（以下、北川）：AIと自動化を推進する先進的なソリューションである「Cortex XSIAM」を、東洋紡さまはいち早く導入されました。どのような背景があったのでしょうか。

矢吹哲朗氏（以下、矢吹氏）：企業を取り巻くセキュリティの脅威は年々増しており、東洋紡でもコンサルや第三者機関の協力を得ながらチェックと対策を繰り返してきました。シグネチャー型のセキュリティ対策ツールから始まり、新しいセキュリティ対策ツールを次々に追加し、それらをつなぎ合わせてセキュリティ運用をしてきたわけですが、一番重要な「早く検知し、早くアクションを起こす」ことがかえって難しくなっている実感がありました。そこで原点に戻すために、ベストオブブリードのツール組み合わせによる運用ではなく、プラットフォーム化して運用を単純化したいと考え、セキュリティ担当メンバーも同じ思いだったので本格的に検討することにしたのが出発点です。

矢吹哲朗｜東洋紡株式会社　執行役員CDO デジタル戦略総括部長
1988年鐘淵化学工業株式会社（現株式会社カネカ）入社、12年間のR＆D部門勤務を経た後、情報システム部門に転籍、主にITインフラ整備、情報セキュリティ対策等に従事。2022年東洋紡株式会社入社、2023年4月より執行役員CDOとして東洋紡グループのデジタル化推進、セキュリティ対策を担当

北川：そして今回のCortex XSIAMの導入に至ったのですね。どのようなソリューションなのでしょうか。

梅根庸一氏（以下、梅根氏）：矢吹さんがおっしゃったように、セキュリティの運用にはさまざまな機能が必要になってきますが、Cortex XSIAMは必要な機能群をひとつのプラットフォームに搭載したものです。さらにAIや自動化の機能を駆使してセキュリティイベント検出の精度と速度を高め、インシデント検出後の対応を迅速化できるといった特徴も持っています。

梅根庸一｜パロアルトネットワークス株式会社　Cortex営業本部
20年以上のIT業界経験の中で、通信事業者向けSIer、ネットワーク運用管理製品のプリセールスとして活動後、NDR/NTAによるOTセキュリティ製品を扱うスタートアップへ転職。その後、現在のパロアルトネットワークスでは、XDR、SOARやアタックサーフェス管理などを扱うサイバーセキュリティ部門のプリセールスエンジニアとして従事

企業においては現在、セキュリティリスクによる自組織とステークホルダーへのビジネスインパクトの排除、そして説明責任を果たすため、インシデントの検出と対応に要する時間を最大限に短縮できる枠組みの構築が不可欠となっています。さらに日本企業の場合は、セキュリティ人材が社内に少ない傾向もあるため、セキュリティ対策の実効性を高めるためにAIや自動化を中心とした運用にシフトすることが必要だと考えられます。

一方で、さまざまな単一機能のセキュリティツールを組み合わせて運用していると、すべてのインシデントに対応しきれなくなりますし、複数のコンソールを管理しなければなりません。先ほど矢吹さんの述べられた「セキュリティインシデントの迅速な検出と対応」が、極めて重要であるにもかかわらず、結果として難しくなってしまうのです。

こうした要求や課題に対応するのが、データとSOC機能（XDR、SOAR、ASM、SIEM）をひとつのAI駆動プラットフォームに統合したCortex XSIAMです。もともとパロアルトネットワークスの社内SOCが抱えていた課題を解決するために開発されたもので、自社のベストプラクティスをプラットフォーム化して提供したソリューションになります。

城征司（以下、城）：東洋紡さまのセキュリティ課題に、まさにうってつけのソリューションですね。今回、ベストオブブリード型からスイート型ソリューションへの移行の決断をされたわけですが、アーキテクチャが一新されることに対して、セキュリティを担当する現場から不安の声は上がりませんでしたか。

矢吹氏：まず私自身、セキュリティ領域を長い間担当してセキュリティインシデントなどを見ているうちに、プロの攻撃者たちの技術の進歩はすさまじく、私たちが知らない手法を多く隠し持っているのではないだろうか、と思うようになりました。そうだとすれば、これまでの既知の手法の上で積み上げてきたアーキテクチャのシステムには、実は顕在化していないセキュリティホールがたくさんあいている可能性もあるかもしれない、と感じ始めました。そうだとすると、アーキテクチャを変えること自体が有効なセキュリティ対策になるのではないか、と考えたのです。

この考えに疑問を持つメンバーもいましたが、私の所掌であるデジタル戦略統括部のメンバーたちは、反対するよりも試してみたい気持ちが強かったようです。

従来は実装したいアプリケーションがあり、そのためのインフラやセキュリティという考え方だったと思うのですが、クラウドネイティブ時代においては、先行してセキュリティ戦略を考えた上でアーキテクチャを設計しておくべきで、そうしないとアプリケーションを最適化できない、という考えを私は持っています。これまで影で一生懸命に頑張ってきたセキュリティチームには、今度はあなたたちが主役として戦略を立てて引っ張っていく立場に変わるのだよ、という話をしています。いつもこの話をしているので、特に若いメンバーたちは、自分たちは運用部隊ではなく戦略部隊なのだとマインドセットも変わり、上昇志向になってきてくれているのではないかなと思います。

海外拠点も含めた全社導入でサプライチェーンセキュリティを強化

北川：今回、東洋紡さまはCortex XSIAMを海外拠点も含めた全社導入という決断をされました。攻撃者は脆弱なところを突いてくるという観点でもグローバルでガバナンスを効かせることの必要性については周知のところです。その一方で新しいソリューションを全社的に導入するのは障壁が高く、所掌部署メンバーへのアプローチとはまた異なる課題も多かったのではないでしょうか。何か導入にあたって新たに働きかけたり、工夫したりしたことなどはありますか。

北川公士｜NTT Com　ソリューションサービス部
e-Japan推進部にて、ICカードを中心としたセキュリティシステム構築SE、PMとして従事。その後、製造業NW（LAN/WAN）の構築PMを経て、インターネットGWをはじめとしたクラウド/セキュリティシステムの構築プロジェクトに多数参画。2020年からはクラウド事業推進に従事し、ゼロトラスト事業など新規ビジネス創出に貢献。2022年7月より「SASEソリューション」のコンサルタントとして、当社ビジネス拡大に貢献している

矢吹氏：経営層と論じるうちに、サプライチェーンリスクがクローズアップされる中で、セキュリティ対策はグローバルの「面」で捉えることが大切だと考えていることがわかりました。そこで私たちは、まず半年間かけてセキュリティチームのメンバーが足を運び、国内外全拠点の実態調査を行いました。さらに東洋紡本体のセキュリティポリシーを十数カ国語に翻訳し、全拠点を「面」で捉えて対応できるように周知を図りました。

しかしそのセキュリティポリシーを順守し、運用できる人材がいない拠点もあります。そこで、日本からこのソリューションを一極集中で運用するので、どうぞ同じ道具を使ってください、という説明をして回り、導入を進めました。北川さんのおっしゃるように、人材やシステムの脆弱なところから攻撃されるので、リスクとなりそうな拠点を含む全体を底上げしたセキュリティ対策を講じる必要があります。そのためには、ルールをつくった後は現地任せにしてしまうのではなく、一元的に運用状況をウオッチすることでリスクポイントを潰すことが大切です。そしてこれは、クラウドネイティブ時代になったからこそ取りうる方法だと思います。

城：先ほどのアーキテクチャの話もそうですが、グローバルガバナンスを効かせるためには、現場と認識をすり合わせて取り組みを進めていくことが重要なのだと強く感じました。トップの意思やメッセージはもちろん大事ですが、現場の問題意識をくみ取る両面の動きが必要なのですね。

矢吹氏：2年前に私が東洋紡に入社し、私の考えを伝えたときには、すでに私と同じような課題感を持っているセキュリティ担当のメンバーも当然いました。ただ、アーキテクチャを変えてしまうようなセキュリティに関する大きな決断や投資を短期間で行うのはなかなか難しいため、5年、6年と時間をかけて段階的に対策を講じていく計画を立てていたようでした。

しかし、それだけの時間が経過すると攻撃手法や技術アーキテクチャも変わっていくはずで、それでは導入効果は薄れてしまいます。そこで私が一気にプラットフォーム化する方針を決断し、最適なソリューションの選定はメンバーに委ねた結果、今回導入したCortex XSIAMにたどり着きました。

城：なるほど。私も、セキュリティ運用のDXを実現するさまざまな機能がひとつのプラットフォームに統合されたCortex XSIAMを初めて触ったときには、「業界にゲームチェンジが起きるな」という衝撃を受けました。

しかし、その標準機能だけで運用レベルが向上したり、コストを削減できたりするものではなく、導入効果を最大化するためにはある程度のカスタマイズも必要だと思います。例えば、運用自動化を行うロジックが書かれた「プレイブック」をお客さまの利用環境に合わせてカスタマイズしたり、検知精度向上のためにサードパーティーのエンジンでも追加スキャンをかけたり、重要な情報はダッシュボードに自動表示してCISOや現場の方が確認できるようにしたり、といった対応も必要ではないかと考えます。

また、グローバルで導入する場合には、グローバルにまたがるログ分析、EUや中国といった地域ごとの制度への対応も重要であると認識しています。そういったカスタマイズや導入運用のコンサルティング部分が、私たちNTT Comがお手伝いできる領域ではないかと考えています。

城征司｜NTT Com　ソリューションサービス部
SOCにてUTM導入やログ分析、セキュリティSMを経験。2008年より大規模認証局システムの構築・運用PMとして8年間従事。2016年からはセキュリティコンサルタントとしてインターネットGW、CASB、EDR、SOC導入など多くのお客さまのセキュリティ強化を支援。2020年には「SASEソリューション」の立ち上げに携わり、現在もそのソリューションオーナーとして当社のビジネス拡大をリードしている

矢吹氏：たしかに入れて終わりではなくて、まさにスタート地点に立っているという認識です。今後どのように使いこなしていくか、セキュリティに関する工数が下がってからどのようにバリューを出していくのかは、セキュリティチームがこれからチャレンジすべき課題でもあると思います。

ポイントは、ツールのスリム化と運用練度の向上。戦略が問われるこれからのセキュリティ対策

北川：今後のIT・セキュリティ戦略に関してはどのような考えを持たれていますか。

矢吹氏：さまざまなデジタルツールが増えていて、同時にその利用も民主化していますが、そうなると本当にコストを生んでいるのは、導入時ではなく、導入後の運用なのです。目的に沿ってどう運用していくかを考えたときに、ツールはできるだけ減らし、集約化やプラットフォーム化を行い、効率的にそれらを使いこなしていけるようにツールの修練度を上げていくことが重要だと考えています。それはセキュリティに限った話ではありません。できるだけ基盤を共通化し、標準ツールを導入するような方向に進めていくことが私の課題だと思っています。

梅根氏：先ほど矢吹さんがおっしゃったように、セキュリティ担当者の役割は、起きたインシデントに対処するスタイルから、戦略を立ててプロアクティブに対応していくものへと変わってきていると感じますね。AIを入れると、アラートが増えたり、自動化によって作業の標準化が促進されたりと、さまざまな影響や副次的な効果が表れます。それとセキュリティ担当者はどう向き合っていくのか。リスクを適切に見定め、負担が軽減されるように運用していくことが大切ですね。Cortex XSIAMもその変化への対応を重視しています。

城：運用に主眼を置いて戦略的にセキュリティ変革に取り組まれている東洋紡さまには、スイート型ソリューションであるCortex XSIAMは本当にフィットしたと思います。

一方で、お客さまの環境によっては、メーカー間のエコシステムを活かしたベストオブブリード型ソリューションが選択肢となるケースもあります。それを見極める知見をためながら、私たちもお客さまと議論をし、最適な提案をしていきたいと思います。

北川：これからCortex XSIAMのようなスイート型ソリューションを導入しようと考えている企業に向けて、アドバイスをいただけますか。

矢吹氏：私自身がセキュリティ領域やインフラ領域で長年プレーヤーとして携わってきました。現在は役員の立場でデジタル化推進やセキュリティ対策を担当していますが、経営層に対しては、導入するソリューションの機能を説明するのではなく、どのような運用を実現して、その結果どのような会社にしていきたいのか、自社に与える価値をきちんと説明することが重要であると思います。

私も若かりし時代は機能の説明に一生懸命で、経営層からよくわからないという反応をされた経験もあります。経営層が知りたいのは、それが会社にどんな価値を与えるのかという点ですので、それをきちんと議論した上で経営層に提案すれば、おのずと答えは出るのではないかと思いますね。

梅根氏：お客さまと話をしていて思うのは、多くのお客さまがさまざまな対策を講じるためにいろいろなツールを導入している一方、ツールの増加にひもづいて運用工数がどんどん増えている状況をまずいと感じられてもいる、ということです。そこをトップダウンで改革するのか、ボトムアップで変えていこうとするのか。

矢吹さんが述べられたように、セキュリティはそのソリューションの導入効果が経営層から見るとわかりづらい、という性質があります。Cortex XSIAMのようなプラットフォームサービスによって経済的、時間的、人的に支援していきたいと思いますね。

矢吹氏：サイバー攻撃が事業に与える損失リスクを考えると、セキュリティへの投資はIT投資というより保険のような側面もあります。IT投資とは分けて、売り上げの何パーセントと決めるなどKPIを立てて取り組むべきものだと思いますし、経済活動上、必要不可欠な投資として位置づけ、事業継続性の観点などでその投資水準を決める領域であるべきでしょう。

もっとも効果的な導入と運用を。NTT ComがサポートするCortex XSIAM導入ソリューション

トークセッションに続いて登壇したのが、NTT Com ソリューションサービス部に在籍し、東洋紡さまへのCortex XSIAM導入支援を実施した野良真史です。

野良真史（以下、野良）：Cortex XSIAMの活用を検討する上では、導入・構築・運用に至るまで幅広いノウハウが必要になります。Cortex XSIAMは先進性が高いセキュリティ分析・運用基盤ですが、導入しただけで効果が得られるわけではありません。現状のお客さまが抱える課題をCortex XSIAMによってどう解決していくのかを最初に決めることが、成功への重要な鍵になります。

そのために経営層、情報セキュリティ部門、SOC運用者、それぞれの視点で課題を洗い出すことが重要ですが、経験上、次のような課題がよくあげられます。

【経営層】
・経営課題としてセキュリティやガバナンスのコントロールが必要
・各国法規や業界別セキュリティ報告義務を意識した自社管理をしたい

【情報セキュリティ部門】
・AIや機械学習（ML）の活用方法やチューニング方法のナレッジがない
・セキュリティ機能を担保しつつ安心安全な移行と高度化を実現したい
・アウトソースと自社運用のすみ分けを見直したい

【SOC運用者】
・大量のアラート対応の改善を図りたい
・運用対処自動化のイメージや自動化を実現するためのナレッジがない

こうした課題を解消した上でCortex XSIAMを導入すれば、お客さまはそのメリットや効果を十分に享受できるようになります。その課題解消に有効な次の3つの強みが、NTT Comにはあると認識しています。

野良真史｜NTT Com　ソリューションサービス部
公共/流通/NTTグループなどのITインフラ（ネットワーク、セキュリティ）を中心としたSE/PM業務に従事。2019年からNDRを中心としたセキュリティソリューションの導入、運用プロジェクトのPM業務に従事。パロアルトネットワークスのCortex製品も検証などを通じて、2019年の日本導入の黎明期から携わる。2023年に東洋紡のCortex XSIAM導入プロジェクトのプロジェクトマネージャーを担当

1つめは、パロアルトネットワークス製品の長期間にわたる多数の取り扱い実績と、国内上位の有資格者数です。2つめは、パロアルトネットワークス以外の多数のマルチベンダー製品の導入実績も併せ持つことから、セキュリティ全般の移行支援が可能であることです。3つめは、社内環境での運用や自社サービス開発において培った、AIや自動化に関する豊富なノウハウに基づいた運用支援ができることです。

こうした強みは、Cortex XSIAM導入のさまざまなフェーズや課題解決の支援において発揮されます。具体的には、「現状把握と今後も含めた要件のヒアリング」、「安心安全な移行の実現」、「AI＆機械学習（ML）の最適な活用」、「運用ノウハウの提供とお客さまの環境に合わせた自動化支援」などです。

特に「自動化支援」については、お客さまに合わせて、長期的な目線で運用パターンをご提案しています。ある事例では、パロアルトネットワークスのSOCで培われた豊富なメーカープレイブックでも要件に当てはまらない部分を、NTT Com独自の運用経験を反映したプレイブックを作成して対応しました。

また、すでにSOC業務を内製化しているお客さまやこれから内製化したいお客さまにおいては、その運用体制で不足していると思われる自動化や、新しい要素であるAIの学習チューニングなどのスポット支援も行っています。数年後に自立した運用ができるようなトレーニングも含め、お客さまに合わせて中長期的な支援が可能です。

ここでは紹介しきれない豊富な導入事例や知見がNTT Comにはあります。ぜひお気軽にお問い合わせください。

Cortex XSIAM導入ソリューション　お問い合わせ