サイバーセキュリティベンダーが自らの野望や競争心を捨て、サイバーセキュリティコミュニティ全体に恩恵をもたらす共通の目標に向けて手を結ぶのはまれなことです。Open Cybersecurity Schema Framework (OCSF)は、世界中の企業、政府、個人が利用するサイバー空間のセキュリティを強化することを目標に、業界レベルの建設的なコラボレーションとして良い前例を築いています。
設立からわずか1年の間に、OCSFへの参加組織は8倍以上に増え、コアセキュリティスキーマの正式バージョンをリリースし、Amazon Security LakeやAWS AppFabricなど、OCSFにネイティブ対応した製品が続々と登場しています。
OCSFは、Splunk、アマゾン ウェブ サービス(AWS)社、IBM社、その他15社のセキュリティ/テクノロジー企業が創設したオープンソースプロジェクトであり、セキュリティデータのサイロ解消と、セキュリティツール間のデータ形式の標準化を通じて、セキュリティチームが行うデータ正規化の負担を軽減し、サイバー脅威をより迅速かつ包括的に検出および除去することに貢献しています。また、こういった目標の達成に向けて、データスキーマ開発のための拡張可能なフレームワークと、ベンダーに依存しないコアセキュリティスキーマを提供しています。
セキュリティベンダーやその他のデータ生産者は、それぞれ独自のドメインに合わせてOCSFスキーマを導入、拡張したり、既存のスキーマをOCSFにマッピングしたりして、多数の異なるセキュリティツールからのデータの取り込みやツール間でのデータ交換を簡素化し、脅威の検出や調査のスピードと精度を向上させることができます。組織のデータレイクプロジェクトにOCSFを活用すれば、独自の分析ユースケースに合わせて十分な根拠に基づく標準化されたデータソースを構築できます。
OCSFは、ベンダーだけでなく一般企業や教育機関、さらには個人も参加する大規模プロジェクトに成長し、より幅広いセキュリティ/ITユースケースに対応できるようスキーマの改善と拡張に継続的に取り組んでいます。OCSFはまさに、「透明性が高い」、「誰でも参加できる」、「コラボレーションが活発」というオープンソースソフトウェアの理念を体現しています。
OCSFのメリット
大企業では、100以上のセキュリティソリューションを導入していることも珍しくありません。セキュリティチームは高度な脅威を正確に検出するために、これらのツールから送られるセキュリティデータを包括的に分析する必要があります。
しかし、セキュリティツールによってデータ形式が異なるため、サイバー攻撃の特定と対応に必要な分析と調査を行うには、まず、セキュリティチームや検出エンジニアリングチームが多くの時間とリソースを費やしてデータを正規化しなければならないのが現状です。データをセキュリティツール間でやり取りできるように自動変換する仕組みを構築、管理する余力が組織にあったとしても、包括的かつ拡張性の高いスキーマがないと、変換時にセキュリティ関連情報の多くが失われたり過って解釈されたりする可能性があります。
OCSFは、セキュリティデータの形式の違いに起因するこれらの問題を解決するために役立ちます。OCSFスキーマを使用するセキュリティソリューションでは、一貫した形式でデータが生成されるだけでなく、セキュリティ情報のセマンティックを完全に保った状態でデータが取り込まれます。そのため、異なる形式のセキュリティデータを正規化する時間、労力、コストを節約し、分析をすばやく開始できます。
OCSFスキーマ
以前のブログでも説明したように、OCSFスキーマはOCSFフレームワークを基盤としています。スキーマは、一連のカテゴリ、イベントクラス、プロファイル、辞書、検証可能なデータ型で構成されます。リリース候補のRC2スキーマ以降、フレームワークにいくつかの改善が行われ、特に、RC3では重要なプラットフォーム拡張が追加されています。最初のプラットフォーム拡張はLinux向けで、その後まもなく、Windows固有のスキーマがWindowsプラットフォーム拡張としてリファクタリングされました。
これらの拡張は、ベンダー拡張や組織拡張など、他のスキーマ拡張と同じ構造をしていますが、プラットフォーム拡張は本質的に、標準化されたOCSF 1.0スキーマの一部と考えられます。
RC2からRC3では、ここでは紹介しきれないほどコアスキーマに多くの追加、変更、改善が行われています。今年の5月に発表されたRC3は、本日発表された1.0 GAの最終候補という位置づけでした。そのため1.0 GAでは、OCSF参加企業の過半数が重要だと同意した変更リクエストのみが検討、反映されています。これらの変更は説明や使用例の手直しが大半で、スキーマを実装するうえで必要な変更はごくわずかです。RC3を導入済みの場合は、1.0でもおそらく問題なく動作するでしょう。
RC2を導入している場合、1.0には多くの改善が加えられているため、OCSFスキーマブラウザでRC2と1.0のスキーマを比べて、変更点を詳しく調査することをお勧めします。
さらなる進化へ
AWS社およびIBM社と並んでOCSFの共同設立者兼ステアリングコミッティの一員であるSplunkは、145以上の組織と435人以上の個人参加者とともに、お客様が抱える重大な問題を解決する業界レベルの取り組みとしてOCSFを推進できることを誇りに思います。セキュリティチームは今日、OCSFスキーマをベースとしたソリューションを使用することで、データから一際高い価値をすばやく引き出して、組織のセキュリティとレジリエンスを一層強化できます。
1.0リリースはもちろん重要なマイルストーンですが、今後も進化し続けます。現在開発中の1.1にご興味があれば、ぜひOCSFにご参加ください。
サイバーセキュリティコミュニティのメンバーなら誰でも、OCSFのメリットを享受するとともに、OCSFの発展に貢献できます。OCSFプロジェクトとその参加方法について詳しくは、OCSF GitHubサイトをご覧ください。
共通の利益達成のために前進し続けましょう!
このブログはこちらの英語ブログの翻訳、前園 曙宏によるレビューです。
