神
話「バベルの塔」は皆様もご存じかと思います。人間が協力して天にも届く塔を建設しようとしたが、神が邪魔をして、人間の言葉を混乱させ、互いに意思疎通できないようにした、というあの話です。結局、人間は異なる言語を話すようになったことで塔を完成できませんでした。ここで、なぜサイバーセキュリティに関するブログで神話が登場するのか不思議に思ったかもしれません。それはこの神話が、セキュリティ運用における長年の課題をよく表しているためです。その課題とは、異なるセキュリティツール間のデータの正規化です。
データがSOC (セキュリティオペレーションセンター)の生命線であることは広く認識されていますが、各チームが標準とする形式やSOCが使用する各種ツールの形式が異なり、データをやり取りする際に加工と正規化が必要になることがよくあります。ツール、形式、基盤インフラの数が増えるほど、その作業に必要な人員、予算、リソースも増えます。
そこで、データの正規化を簡単にするためのさまざまな取り組みが業界レベルで進んでいます。実際、ESG社とISSAは2022年7月、この取り組みを取り上げたレポート「Technology Perspectives from Cybersecurity Professionals (サイバーセキュリティのプロフェッショナルによるテクノロジー展望)」を公開しました。このレポートの中で、ESG社のシニアプリンシパルアナリスト兼フェローのJon Oltsik氏は2つの調査結果に注目しています。
- 回答者の77%が、オープンスタンダードのサポートという形で業界やテクノロジーの連携を期待している
- 回答者の85%が、製品の統合機能が重要だと強く感じている
サイバーセキュリティは、分断の時代から、相互運用性や連携によるオープンな統合の時代へと舵を切り始めているのです。
ここでご報告したいのが、Open Cybersecurity Schema Framework (OCSF)プロジェクトへのSplunkの参加です。私自身も20年以上、ときにはデータ生産者、ときにはデータ消費者、ときにはアナリストの立場でデータの正規化の問題に関わってきたため、今回の発表は「バベルの塔」のジレンマを解決するための過去最高の成果だと感じています。
OCSFは、スキーマ開発のための拡張可能なフレームワークとベンダーに依存しないコアセキュリティスキーマを提供するオープンソースプロジェクトです。 ベンダーやその他のデータ生産者は、それぞれ独自のドメインに合わせてスキーマを導入、拡張できます。また、データエンジニアは、既存のスキーマをマッピングして、セキュリティチームがデータの取り込みと正規化を効率的に行えるよう支援し、データサイエンティストやアナリストが共通の言語を使って脅威の検出や調査に取り組める環境を整備できます。
フレームワーク自体はサイバーセキュリティドメインに特化したものではありませんが、コアスキーマと辞書はセキュリティイベントに重点を置いています。 その目標は、あらゆる環境、アプリケーション、ソリューションに適応すると同時に既存のセキュリティ標準やプロセスを補完するオープンスタンダードを提供することです。
OCSFプロジェクトはアマゾン ウェブ サービス(AWS)社とSplunkによって考案、開始され、Broadcom社のSymantec事業部によるICDスキーマの成果を基盤にしています。その後、各社共通のお客様の協力と、セキュリティ運用市場のニーズ分析を通じて、メンバーは基盤技術やセキュリティ関連の企業を含む計18社に拡大し、そのすべての企業が最初の公開リリースに貢献しています。
設立メンバーには、AWS社、Broadcom社、Cloudflare社、CrowdStrike社、DTEX社、IBM Security社、IronNet社、JupiterOne社、Okta社、Palo Alto Networks社、Rapid7社、Salesforce社、Securonix社、Splunk、Sumo Logic社、Tanium社、Trend Micro社、Zscaler社が名を連ねています。
セキュリティ関連データの生産者と消費者の双方がセキュリティデータスキーマのオープンスタンダードを確立、導入することで、世界中のセキュリティチームが長年直面してきた障害を取り除くことができます。今日、セキュリティチームは、セキュリティ脅威の検出と調査にデータを活用するための準備として、異なるツールやベンダーのデータ統合に大量の時間とリソースを費やしています。
Open Cybersecurity Schema Frameworkを通じて業界全体でこの問題に取り組むことで、セキュリティチームはデータの収集と正規化の負担が軽減され、データの分析に集中できます。脅威インテリジェンスのSTIX/TAXIIや、戦術分類のMITRE ATT&CKフレームワークと同様に、OCSFを導入することで、セキュリティチームの脅威の検出と調査作業を効率化できます。 今こそ、すべてのサイバーセキュリティチームと組織全体のメリットのために、OCSFを原動力としてセキュリティイベントデータの統合を推進する好機です。
OCSFの公開リリースについて詳しくは、Black Hat 2022でのプレスリリース発表をご覧ください。OCSFプロジェクトへの参加方法については、こちらをご覧ください。
このブログはこちらの英語ブログの翻訳、藤盛 秀憲によるレビューです。
