多くのセキュリティスタックは、一見すると完璧に見えます。あらゆる情報を一元管理するSIEMがあり、対応を自動化するSOARレイヤーがあります。さらに、エンドポイント、ID、クラウド、ネットワークの各ツールが、これら両方にデータを送り込んでいます。アーキテクチャの観点から見れば、必要な要件はすべて満たしていると言えるでしょう。
しかし、すべてが接続されているからといって、それがうまく機能しているとは限らない。
SOCが実際にどのように機能しているかを詳しく見ていくと、その欠陥が見えてきます。それはツールが不足しているからではなく、それらが一体となったシステムとして機能するよう設計されていなかったからです。それぞれのツールが独自の信号、独自の構造、そして独自の解釈方法を生み出しているのです。
したがって、たとえ体制が整った環境であっても、データを分析し、何が重要かを判断し、どう行動すべきかを決定するという負担は、結局のところSOCに降りかかってくる。そこで問題が生じるのだ。
スタックに新たな層を追加するのではなく、あらゆるシステムが依存している「システム間でやり取りされる信号の品質と使いやすさ」という一点の強化に注力したいと考えています。
Vectra AIの役割:すべてをつなぐシグナル
Vectra AIは、単に使いこなすのに手間がかかるようなツールの一つとして作られたわけではありません。私たちは、お客様の既存のシステム環境全体のパフォーマンスを向上させる基盤となる存在です。
Vectra AIの中核をなすのは、当社のネットワーク検知・対応(NDR)を支える、ネットワークから得られる知見です。無効化や改ざん、あるいは単に記録漏れが生じうるログやエンドポイントのテレメトリとは異なり、ネットワークは、システム、ID、クラウドサービス、ワークロードがどのように通信しているかを、受動的かつ継続的に把握できる手段を提供します。これは、攻撃者がどこで活動していようとも、依然として通過せざるを得ない「真実の源」なのです。
この可視性により、Vectra AIはID、ネットワーク、クラウド、SaaSにわたる攻撃者の行動を包括的に把握することができます。実際の攻撃者の行動に基づいたAI駆動型の脅威検知を活用することで、Vectra AIは、ドメイン間で相関付けられ、実際のリスクに基づいて優先順位付けされ、攻撃の展開状況とリアルタイムで連動したシグナルを提供します。
しかし、シグナルは活用できて初めて意味を持ちます。コンソール内に閉じ込められたままだったり、実用化するために変換が必要だったりすれば、その価値はすぐに失われてしまいます。だからこそ、Vectra AIは「SOCの活動現場に合わせる」というシンプルな原則に基づいて構築されています。その逆ではありません。
統合は当然の要件だ。しかし、それを機能させることは容易ではない。
どのベンダーもSIEMとSOARの統合を謳っています。しかし、もはやそれは差別化要因ではありません。重要なのは、提供されるデータが実際の行動につながるかどうか、そしてそのシグナルを支える検知精度が信頼に足るほど高いかどうかです。
Vectra AIは、自社のシグナルがこれらのシステムにどのように配信されるかに重点を置いています。アラートは、アナリストが調査に必要なコンテキスト情報がすでに付加された状態で届きます。攻撃の断片が優先順位付けされても、リスクが静かに薄れていくことはありません。データは、欠落や重複なく確実に流れ続けます。また、その構造は十分に一貫しているため、検知の形式が変わったとしても、自動化が毎回機能しなくなることはありません。
その結果は、目立たないものの重要なものです。SIEMは単にVectra AIのデータを収集しているだけではありません。SOARは単にプレイブックを起動しているだけではありません。それらは、信頼に足るほど完全なシグナルに基づいて動作しているのです。
当社のSIEMとSOARの連携について、こちらのブログ記事で詳しくご覧ください。
しかし、シグナルには依然として証拠が必要だ
検知精度が向上したとしても、どの捜査も必ず同じ局面に直面します。捜査に値する手がかりが得られたのです。そして、実際に何が起きたのかを解明しなければなりません。
たいてい、ここで作業が滞りがちになります。分析自体が難しいからではなく、分析に必要なセキュリティテレメトリが散在しているからです。ログを確認したり、別のシステムからデータを抽出したり、タイムラインを再構築したりして、すべての情報を整合させようと試みるのです。
ほとんどの時間は、考えることに費やされているわけではない。情報を集めることに費やされているのだ。
Investigate API:ワークフローへの証拠の取り込み
Vectra AIの調査APIは、ネットワークアクティビティ、DNSの動作、ID関連イベント、クラウド制御プレーンのログなど、Vectra AIがすでに利用している基盤となるテレメトリデータを、プログラムからアクセス可能なクエリインターフェースを通じて公開することで、この状況を変化させます。
具体的には、ネットワーク、Entra ID、M365、AWS、Azureの各環境にわたる5つのデータソースにまたがる28のテーブルにアクセスできることを意味します。しかし、重要なのはテーブルの数ではありません。重要なのは、そのデータをどこで活用できるかということです。ワークフローを中断して証拠を探しに行く必要はなく、現在実行中のワークフローに直接データを読み込むことができます。
SOARプレイブックを使用すれば、検知結果をエスカレーションする前にその妥当性を確認できます。SIEMワークフローを利用すれば、アナリストが別のツールに切り替えることなく、関連するアクティビティを取得できます。通常であればシステムをまたいで複数のクエリを実行する必要がある調査も、一貫性のあるデータセットに対して単一のクエリを実行するだけで済みます。
その違いは、速度というよりもむしろ摩擦の少なさにある。コンテキストを手作業で再構築しなければならないという工程が省けるのだ。
このブログ記事で、当社の調査用APIについて詳しくご覧ください。
ネットワークメタデータが状況を一変させる理由
これらすべてが機能するのは、Vectra AIがネットワークおよびクラウドネットワークのメタデータを通じて提供するドメイン横断的な可視性のおかげです。システムとIDが実際にどのように通信しているかを把握できれば、多くの疑問に対する答えが見つけやすくなります。
エンドポイントのアラートが発生した場合、何かが拡散しているかどうかを推測する必要はありません。その後発生したすべての接続を確認できるからです。IDの挙動を把握しようとする場合、単にログイン情報を確認するだけでなく、そのIDがネットワーク上でどのような行動をとったかを確認します。新たな脆弱性が公表された場合、単に資産インベントリを確認するだけでなく、脆弱なシステムがどのように動作しているか、またどのシステムと通信しているかを確認します。
これらは決して例外的なケースではありません。SOCでは毎日このような疑問が持ち上がるものです。そして、その根底にあるシグナルが十分に強ければ、そうした疑問は単なる調査の段階から、意味のある照会へと変わるのです。
共同弁護人、単なる道具ではない
セキュリティプラットフォームの活用方法に変化が生じています。Vectra AIは、お客様のSIEMやSOARに取って代わろうとしているわけではありません。私たちは、お客様のチームがこれらのシステムを運用していることを前提としており、当社のプラットフォーム、セキュリティ分析、およびテクノロジーを、その環境にシームレスに統合できるよう設計しています。
目標は明快です。それは、既存のワークフローの中で、Vectra AIが提供する検知、優先順位付け、可視化といった機能を最大限に活用していただくことです。同時に、その価値が損なわれることのないよう徹底します。重要な情報はそのまま維持され、コンテキストへのアクセスも確保されます。そして、意思決定が行われるあらゆる場面で、そのデータを活用することができるようになります。
その結果、SOCの対応速度が向上し、より確信を持って運用できるようになります。 アナリストは、サイロ化されたツール間で手作業で証拠をつなぎ合わせる時間を減らし、完全なコンテキストを備えた、より豊富な行動ベースのシグナルに基づいて対応する時間を増やすことができます。これにより、調査の迅速化、信頼性の高い自動化、インシデント対応の効率化、アラート疲労の軽減、そしてSOC全体の効率向上につながります。同時に、チームは現代のネットワーク全体におけるリスクの可視性を高め、攻撃者の潜伏時間の短縮、可視性のギャップの解消、そしてセキュリティの有効性を確信を持って検証できるようになります。
私たちに必要なのは、ただ眺めるだけのダッシュボードではありません。摩擦を減らし、自信を持って行動できるよう支援するシステムが必要です。Vectra AIの役割は、そのプロセスにおいて「共同防衛者」として機能することです。私たちは、ノイズを排除する明確なシグナル、重要な事象を裏付ける証拠、そしてこれらをSOCの日常業務にシームレスに組み込むための統合機能を提供します。
SOCが皆様の働き方を変えるよう求めることは決してありません。私たちは、その働き方をより良いものにするためにここにいます。