企業へのサイバー攻撃は常に巧妙化し続けており、人の手だけで対応するのは困難になりつつあります。そこで利用したいのが、AIや機械学習を利用したサイバーセキュリティです。
Azure Sentinelは、サイバーセキュリティを自動化・統一化することで企業のサイバー攻撃被害を未然に防ぐことが可能です。
Azure Sentinelとは?
Azure Sentinelは、クラウドネイティブのセキュリティ情報およびイベント管理(SIEM)ソリューションです。組織が使用しているすべてのシステムから脅威の検出・調査を行い、セキュリティチームの迅速な対応を支援します。
大きな特徴は、継続的な監視や高度な分析と、それらをAIや機械学習などによってインテリジェントに行う機能です。手動プロセスでは見逃してしまうような疑わしいアクティビティも、リアルタイムに特定してデータを保護できます。また、オープンアーキテクチャにより、Office 365やAzure Active DirectoryなどのMicrosoft製品を含む複数のソースからのデータを簡単に統合可能です。そのため、包括的なセキュリティシステムの構築ができます。
Azure Sentinelの導入メリット
Azure Sentinelを導入することで企業にどのようなメリットがあるのか解説します。
セキュリティ業務の負担を軽減
セキュリティ運用チームの作業負荷軽減に役立つ機能のひとつがAIです。AI機能は、「エンドポイント」「ネットワーク」「ログ」「クラウドリソース」など、複数のソースからデータを自動で分析します。
これにより多くの人手や時間が必要だった工程も、迅速かつ正確に対応可能です。調査対応が自動化されれば、セキュリティチームはより重要なタスクに集中する時間を確保できます。
さらに、取得したさまざまなデータは、ダッシュボードによって一元化されて表示されるため、組織全体のセキュリティの可視化にも役立ちます。全体の把握により作業負荷も大きく軽減するため、効率を向上させたいセキュリティチームにとって強力なツールです。
また、他のセキュリティ製品との統合により、インシデントへの対応や脅威の調査も容易になります。Azure Sentinelの機械学習アルゴリズムは、脅威のコンテキストを理解し、実用的なインサイトを生成するように設計されています。これによりセキュリティチームは疑わしい活動を即座に特定して、迅速な調査を可能とします。
セキュリティを強化できる
AIと機械学習による高精度な脅威検出機能は、従来のセキュリティソリューションを超える範囲での不審な活動の特定を支援します。複数のシステムから得たソースに機械学習機能を用いることで、脅威となる箇所をピンポイントで特定可能です。たとえば、企業内システムにサインインがあった時、それまでに収集された健全なログインのパターンに当てはまらない不審なものを検知したら、即座にアラートをセキュリティチームに通知します。
また、こうした高度な分析や機械学習は、継続的に性能を向上させています。そのため、攻撃者が従来のパターンに順応しようとしても、新たな予測データに基づいて脅威に対応できます。高度な分析と機械学習機能を常に進化させることにより、攻撃者の先を行き、安全性を維持し続けます。
Azure Sentinelの機能とできること
Azure Sentinelの主要な機能は、SIEMとSOARの2つによって構成されています。ここではこれらの機能について解説します。
SIEM(セキュリティ情報イベント管理)
SIEMはSecurity Information and Event Managementの略称で、セキュリティ情報とイベント管理を指します。具体的な機能は、「ネットワーク上のすべてのデバイスとサービスからのログデータ監視と収集」、「分析による潜在的なセキュリティ問題の検出」の2つです。
セキュリティログデータの収集
SIEMでは、「クラウドアプリケーション」「サーバー」「ファイアウォール」など、さまざまなソースからセキュリティログデータを収集できます。企業内で使用しているシステムのログを集約し、Azure以外のシステムからもソースの取得が可能です。
そして集めたログは相関分析が行われ、サイバー攻撃の痕跡を自動で探してくれます。Azure Sentinelでは不審なデータパターンの構造が網羅されているので、このパターンにかかったログはすぐに特定されます。
ログデータの収集と相関分析による問題の特定は、標的型攻撃への対応に優れています。
標的型攻撃とは、特定の組織や個人を狙ったサイバー攻撃の一種です。たとえば、取引先を装ったメールを通じて送るランサムウェアや、総当たりで認証情報を取得するブルートフォース攻撃など、多様な手法があります。
攻撃者は、高度な技術を持つハッカーや国家に支援されたグループによって行われることも多く、最新のセキュリティに対応する巧妙な攻撃手法を編み出し続けています。近年は日本企業でも頻繁に被害が報告されており、「個人情報・企業データの流出」「システムの改ざん・破壊」などさまざまな問題が起こっています。こうした常に変化する攻撃は、手作業での対応が難しいため、自動化・統合化されたシステムの運用が重要です。
脅威アラートの検出
脅威アラートの検出では、複数のソースから集約したデータの中から、指定したルールに引っかかった場合にアラート通知を送信します。これにより人の手を介さずに問題や攻撃の検知を自動で行うことができます。
検知のルールは、テンプレートを使用するか、カスタマイズして使用するかのどちらかです。細かいカスタマイズをせずとも、初期段階からセキュリティの専門家が構成したルールが適用されています。
また、このテンプレートを使用してカスタマイズもできます。分析ルールには、以下のようないくつかの規則の種類があり、これらを細かく設定することで各組織の要件に沿った検出が可能です。
- Microsoftセキュリティ:Azure Sentinel以外のMicrosoftセキュリティソリューションによるアラートから自動でインシデントを作成します。テンプレートとして利用可能。
- Fusion:ランサムウェアなどのマルチステージ攻撃を検出する規則です。
- 機械学習による行動分析:Microsoftによる機械学習アルゴリズムを使用した規則です。内部は非公開であるため、カスタマイズは不可能です。テンプレートとしてはひとつの規則が使用できます。
- 脅威インテリジェンス:Microsoft脅威インテリジェンスルールに基づいた指標と取得したデータを比較して、脅威を分析します。
- 異常:機械学習により特定の異常な行動を検知します。
- スケジュール付き:ログテーブルにある怪しい動きのあるログをKQL(Kustoクエリ言語)で定義することによって抽出します。
- NRTプレビュー:1分ごとに実行されるルールセットです。
脅威の調査
脅威が検出されると、インシデントとしてAzure Sentinelのシステム内に登録されます。登録されたデータは、「オーナー」「ステータス」「重要度」の3つの要素で管理できます。
さらに、相関分析を使用することで、インシデントと関わりのあるエンティティを可視化します。たとえば、ある脅威について、エンティティに紐づくすべてのアラート情報が簡単に確認できるため、攻撃の重要度や範囲をすぐに特定できます。攻撃の状態も即座に判別できるため、サイバーキルチェーンの指標判断も可能です。
また、より詳細な調査を行いたい場合は、クエリ言語によるログ検索や「Python」「Jupyter Notebook」による開発が利用できます。
Pythonは、インタプリタ型のプログラミング言語で、AIや機械学習の開発にも使用されています。この言語を用いた統合開発環境(IDE)として提供されているのがJupyter Notebookで、データ分析に特化しているという特徴があります。
なおNotebookのサンプルも無償提供されているため、適用して使用できます。
SOAR(セキュリティオーケストレーション自動応答)
SOAR(Security Orchestration Automation and Response)は、「脅威ハンティング」「インシデントレスポンス」「侵害検知」などのセキュリティ運用タスクを自動化するためのプラットフォームです。面倒で時間のかかる作業を自動化することで、セキュリティ運用の効率化を支援します。
さらにさまざまなシステムで対応アクションをオーケストレーションする機能を提供しているため、脅威やインシデントへの対応を容易にします。これによりセキュリティチームは、より戦略的なタスクや調査といった業務に集中できます。
また、このプラットフォームは、セキュリティ状況の統一ビューを提供しており、組織全体のセキュリティイベントを簡単に監視できます。人的リソースを割く必要もなく、無人で24時間365日監視が行われます。セキュリティチームが行うことは、問題が起きた時の対処のみです。従来はどこで何が起こっているのか、どのような規模で問題が発生しているかといった調査に時間がかかることも多く、その間に問題が広がることも多々ありました。しかし、SOARによる自動化によって迅速な処理が可能となり、被害を最小限に食い止めることが可能です。
インシデントへの自動対応
SOARでは、Logic Appsを使用して「インシデントの重要度の判定」「自動対応フローの決定」「被害端末の切り分けや通信の確保」ができます。これにより攻撃によって影響を受ける端末の隔離、感染したウイルスの拡散の最小化、悪意のあるトラフィックのブロックなどを自動で行うこと可能です。さらに電子メール、SMS、ソーシャルメディアなどの特定のインシデントも、最適な通信チャネルを分離して、通知を適切なタイミングで送信できます。
このようにインシデントへの対応に必要な時間と労力を削減することで、組織の時間、コスト、フラストレーションを軽減するのに役立ちます。また、インシデントに対して全員が同じ見解を持つことで、組織の迅速な決定を促し、関係者と迅速かつ効果的にコミュニケーションをとることを可能にします。
Azure Sentinelの活用例
Azure Sentinelは、AIや機械学習により脅威の検知・調査を自動で行えます。さらに新しいシステムの構築から既存システムへの組み込みまで幅広くサポートしており、利用を開始しやすいのがポイントです。たとえば、既存システムを利用している場合でも、オンプレミスのセキュリティツールや他のセキュリティ製品など、ログやデータをSentinel上で一元的に管理できます。
パブリッククラウド環境のログも取得・管理でき、ログ管理ツールとしても有効です。ログは最長で2年間保存されるため、あとから問題に気づいた場合でも対応できます。
Azure Sentinelの価格
Azure Sentinelは、以下の2つの利用によって費用が決定されます。
- データインジェスト:Azure sentinelとLog Analytics Workspaceへのログ取り込みにかかる費用
- データリテンション:Log Analytics Workspaceへのログの保管にかかる費用
このうちデータインジェストは、従量課金制と固定料金制のふたつから価格設定を選択できます。
たとえば、従量課金制の場合、データ量に応じて以下のような料金が設定されています(2022年12月現在)。
- Microsoft Sentinelに取り込んだ1GBあたりの料金:402.51円
- Log Analyticsに取り込んだ1GBあたりの料金:463.576円
- 100GB取り込んだ場合の料金:86,609円
一方、固定料金の場合は、事前に1日あたりに取り込めるデータ量を決め、以下の価格で利用できます。
- Microsoft Sentinelを1日あたり100GB利用する料金:20,125.28円
- Log Analyticsの1日あたり100GB利用する料金:39,445.54円
- 合計額:59,570.82円
この場合、従量課金制で100GB使用する場合と比較して約31%のコストカットとなります。利用予定量を多くするに従って、割引額のパーセンテージも上がります。なお、予定のデータ量を超えた場合には、従量課金の料金が加算されます。
データリテンションについては、保持するデータ容量に応じて以下のように料金が発生します。
- 1GBあたりの月の料金:20.820円
その他、以下のサービスの利用に料金が発生します。
- ジョブの検索:スキャンされたデータ1GBあたり1.0063円
- ログデータ復元:20.126/GB/日
- SAPの保護:SID時間あたり277.59円
Azure Sentinelを試しに導入してみるには?
Azure Sentinelは1か月の間、無料で試すことができます。まずはAzureの無料アカウントを作成して、Azure Sentinelを含む対象のサービスを利用できるようにしましょう。
リンク:「Azureの無料アカウントを使ってクラウドで構築」
この無料アカウントでは、Azureに関連したさまざまなサービスを利用可能です。
Azure Portalにサインイン後、検索BoxからAzure Sentinelを検索して、サービスを追加します。サービスを追加したら、使用するワークスペースの作成・選択をしてください。
これでAzure Sentinelが利用できるようになります。あとはデータコネクタを設定して、ログを取得したいサービスやアプリから取り込み設定を行います。取得方法は以下のクイックスタートオンボードを参考にしてください。
リンク:「クイックスタート:Microsoft Sentinelをオンボードにする」
なお、無料期間での利用には、以下のような制限があります。
- ログデータの取り込みは1日あたり10GBまで
- Azureテナントごとに20ワークスペースまで
- 既存のLog Analyticsがある場合は、Microsoft Sentinelの料金のみが免除
- 制限を超えた利用は、Azure Sentinelの価格に沿って課金される
- 自動化、機械学習など追加機能の使用には料金が適用される
無料期間の確認は、Azure Sentinelのニュース&ガイドにある無料トライアルタブから行えます。ここではリソースの確認もできるので、使用中は状態を細かくチェックしましょう。
また、Azure Sentinelの導入・運用を支援するサービスもあります。本格的な導入を考えているのであれば、専門家に相談するのがおすすめです。
まとめ
Azure Sentinelの利用により、組織内のシステムから不審な兆候を自動で探知してセキュリティチームに知らせることが可能です。これまで人力で行っていた作業を自動化できるだけでなく、ヒューマンエラーの発生も防ぎます。
AIなどの最新の技術により、常に変化するサイバー攻撃にも即座に対応できます。
