エクサフォース・ブログ | 5 reasons why security investigations are broken

セキュリティ調査は、長年にわたってうまく機能していません。問題は今に始まったことではありません。

コンテキストのないアラートのため、アナリストは必要な関連データを集めるためにあちこちを調べ回らなければならない
クラウドに関する知識の不足により、アナリストは十分な専門性がないまま問題をトリアージせざるを得ない
調査に時間がかかり、煩雑で、完了までに何時間も要する
高度なクエリやログ解析など、システム固有の扱いに関する専門知識が不足している
膨大なアラート量が疲弊やミスを招いている

どのSOCチームもこうした痛みを経験してきました。変わったのは、私たちが防御しなければならない環境の規模と複雑さです。クラウドネイティブなアーキテクチャ、拡大し続けるサードパーティSaaS、複雑化するアイデンティティ、そして絶えず進化する脅威に対して、静的なルール、ダッシュボード、事前定義されたプレイブック、SIEMクエリといった従来の手法では、もはや対応しきれません。

エクサフォースは、この状況を変える新しいアプローチを構築しています。

私たちは、AIボット（「エクサボット」）と高度なデータ探索を組み合わせることで、セキュリティ運用をより高速に、よりスマートに、そして大幅にスケーラブルにします。当社のプラットフォームは、ログ、構成、アイデンティティ、アクティビティを統合されたコンテキストグラフに結び付けることで、お客様のクラウド環境およびSaaS環境を行動レベルで把握します。そこから、タスク特化型のエクサボットが、アラートの自律的なトリアージ、調査上の問いへの回答、脅威ハンティングを、正確かつ根拠を示しながら実行します。

その結果、明確な説明、実行可能なインサイト、そしてログを掘り下げたり他チームの対応を待ったりする時間の大幅な削減が実現します。

以下では、調査が今なおうまく機能していない5つの主な理由と、エクサフォースがSOC向けにそれらの課題をどのように解決するのかを見ていきます。

1. コンテキスト不足：「そもそも、このアラートは何を意味しているのか？」

ほとんどのアラートは、最小限の定型的な説明だけが付いた状態でSIEMに届きます。なぜ発生したのか。何を意味するのか。どのような影響が想定されるのか。本来であれば、すべてのアラートに詳細な説明、根拠、調査手順書が付いているのが理想です。ところが現実には、これを作成・維持する時間を確保できるチームはほとんどありません。異常検知アラートであっても不十分なことが多く、期待される通常動作との明確な比較ではなく、生のログが表示されるだけというケースも少なくありません。たとえばAWS GuardDutyのアラートには、「異常」「確立されたベースラインと異なる」といった汎用的な表現しか表示されないことがあります。分析や確認に役立つ詳細情報は含まれておらず、何が異常だったのか、何が通常だったのかを理解するには、追加のデータ収集や調査が不可欠になります。

AWS GuardDuty finding showing IAM entity invoking S3 GetObject API unusually from new ASN, flagged as high-severity anomaly — *GuardDutyの検知結果の一例。疑わしいアクティビティや異常なアクティビティの内容に関する情報は最小限です。*

Exaforce threat finding showing IAM entity S3 API activity from Poland assessed as a high-confidence false positive — *エクサフォースによるエンリッチメント後の同じ検知結果。複数の観点から分析することで、どこに異常があるのかが明確になります。*

エクサフォースのアプローチ：

すべてのアラート（当社製かサードパーティ製かを問わず）に、なぜ発生したのかという説明が付きます。すばやく把握するための平易な説明と、深く確認したい人向けの詳細なデータの両方を提供します。
結論を裏付けるデータが明確に示されるため、具体的な根拠を確認できます。
アラートは複数ソースのデータで自動的にエンリッチされるため、SOARプレイブックは不要です。
すべての検知結果に、調査や対応を開始するための「次のステップ」が含まれます。
類似アラートや重複アラートは標準でグループ化されるため、無駄な重複対応を防げます。

ざっと確認したい場合でも、細かく精査したい場合でも、エクサフォースは自信を持って判断するために必要なコンテキストを提供します。

2. クラウドの知識不足：「私たちはSOCであって、クラウド運用チームではない」

多くのSOCアナリストはネットワークセキュリティのバックグラウンドを持っています。ところが今では、IAMチェーン、設定ミスのあるS3バケット、GitHub権限などに関わるクラウドアラートのトリアージまで求められています。一方で、実際のクラウドチームやDevOpsチームは別組織に属していることが多く、連携は遅く、進めづらいものになりがちです。たとえば、「なぜユーザーAがリスクの高い操作を実行できたのか分からない」「AWSのアイデンティティチェーンの仕組みに詳しくない」といった場合でも問題ありません。私たちは、そのユーザーが持つ実効権限を要約し、必要であれば、それらの権限をどのように取得したのかというアイデンティティチェーン全体まで示します。

Exaforce user account view showing AWS IAM roles, permissions usage, and access policies for user Manjunath across accounts — *エクサフォースによる権限分析の例。ユーザーが持つすべてのロールとその使用状況、さらに実効権限まで表示されます。*

Exaforce identity graph showing Okta user to AWS accounts, roles, and services mapped through permissions and policies — IDプロバイダーから各種AWSサービスへのアクセス経路をたどり、複雑なアイデンティティ管理と権限管理の構造を横断しながら、ユーザー権限を視覚的に示した例です。

エクサフォースのアプローチ:

エクサボットは、組み込みのAIクラウド専門家として、アラートを自然言語で説明します。
AWS、GCP、Okta、GitHub、Google Workspaceなど、クラウドおよびSaaSソース全体に対応します。
さらに詳細を確認したい場合は、調査タブで技術的なコンテキストを包括的に確認できるため、DevOpsやエンジニアリングへの引き継ぎにも適しています。
当社のセマンティックグラフビューでは、ユーザー、ロール、リソースのつながりを可視化できるため、アナリストはアイデンティティの振る舞いをテキストだけでなく視覚的にも理解できます。

私たちはクラウド知識のギャップを埋め、クラウドの複雑さを分かりやすさに変えます。

3. 調査にかかる時間：攻撃は速いが、調査は遅い

1件のアラートを調査するだけでも、複数のコンソールを行き来し、クエリを書き、上位アナリストに確認し、さまざまなシステムからコンテキストを集める必要があり、何時間もかかることがあります。これに日々大量に発生するアラートが重なると、調査は対応パイプライン全体の最大のボトルネックになります。

エクサフォースのアプローチ:

エクサボットは、セマンティックなコンテキストを用いて根拠付きで結論を導き出し、5分未満でトリアージを実行します。
さらに質問があれば、エクサボットに尋ねるだけで済みます。Slackでの問い合わせも、ダッシュボード作成も、待ち時間も不要です。

Exaforce Threat Findings dashboard showing alerts by severity, source, and false positive rates across GuardDuty, GitHub, and Azure — *検知結果のキュー。多くはすでに誤検知としてマークされています。*

Exaforce investigation view showing S3 API anomaly reclassified as false positive, with analyst chat and automated context from Exabot — エクサフォースの検知結果アクティビティ画面。検知結果が作成されるとすぐに分析が行われ、アナリストが質問すると、ボットが即座に根拠ある回答を返します。

私たちは、手を抜くことなく、調査時間を数時間から数分へと短縮します。

4. 専門知識不足：SQLの達人でなくてもよい

従来の調査では、どのログを見るべきか、その構造はどうなっているか、何が「通常」なのか、そして適切なクエリ言語で適切な問いを立てるにはどうすればよいのか、といった深い知識が求められてきました。多くのジュニアアナリストはそのような専門性を持っておらず、また多くのチームにはそれを補うドキュメントもありません。

エクサフォースのアプローチ:

エクサボットは、複雑な質問にも平易な言葉で答えます。構文を覚える必要はありません。
詳細を確認したい場合は、すべてのアラートに専用の調査キャンバスが付属しており、アナリストが確認すべき問いと、それぞれに対応するデータ量の多い回答があらかじめ用意されています。
当社のセマンティックデータモデルは、ログデータを事前にエンリッチし、構造化するため、アナリストは必要なときに必要な情報へすぐに到達できます。エンリッチ済み・結合済み・整理済み・コンテキスト化済みのデータを、そのまま利用できます。
通常は暗黙知として埋もれがちな行動ベースライン、パターン、オーナーシップに関する知見も可視化されます。

このような一般的なAWS GuardDutyアラートであっても、通常は、アナリストがルートとなるアイデンティティを特定し、同じ時間帯の他のログをクエリし、それらを解析してアクセスされたリソースの一覧を抽出し、さらに同じリソースにアクセスした他ユーザーを含めてベースラインを確立し、ユーザー、アクション、場所、リソースごとの「通常」の振る舞いを理解するための統計分析まで組み立てる必要があります。しかし、エクサフォースではそうではありません。

Exaforce threat finding view showing S3 resource analysis, management events, and prior user activity confirming benign bucket access — *推奨内容を裏付ける詳細なエクサフォース調査キャンバス。根拠データを伴うQ&A形式になっている点に注目してください。*

クエリ言語を習得したり、ログパーサーを管理したり、カスタムダッシュボードを構築したりしなくても、チームの誰もがプロのように調査できるようになります。

5. アラートが多すぎる：「燃え尽き」は避けられない

チームには何千件ものアラートが届き、その大半は誤検知（85%以上）です。その結果、アナリストは感覚がまひし、脅威シグナルを見落とし、トリアージは本来のセキュリティ業務ではなく、形式的な確認作業になってしまいます。（アラート疲れの問題については、セキュリティ分野の第一人者 Anton Chuvakin による優れた分析があります：https://medium.com/anton-on-security/antons-alert-fatigue-the-study-0ac0e6f5621c）