ドコモグループの法人事業ブランド「ドコモビジネス」を展開するNTTコミュニケーションズ株式会社(以下NTT Com)は、「Microsoft Sentinel^※1」を活用したセキュリティ自動化を実現するマネージドセキュリティサービスである「WideAngle プロフェッショナルサービス マネージドSOAR」(以下、本サービス)の新機能を2024年9月3日より提供開始します。

本サービスは、「Microsoft 365 E5 Security^※2」のログを「Microsoft Sentinel」に転送し、ログ蓄積、ログ分析、アラート自動対処の機能を提供してきましたが、このたび、Zscaler, Inc.、Palo Alto Networks、Netskopeなどの提供するネットワークセキュリティ製品のログ^※3に対応します。また、生成AIを活用したわかりやすい日本語アラート通知機能を実装するなど、新機能を提供開始します。

1.背景

サイバー攻撃の件数が増加するとともに攻撃手法が巧妙化する一方、被害の防止・復旧に対応できるセキュリティ技術者が社会的に不足しています。本サービスで採用するSOAR(Security Orchestration, Automation and Response)は、脅威を検知した際に自動的な対処・復旧を可能にする技術であり、サイバー攻撃への迅速な対応とともに、技術者のスキルによらず対応を平準化・高度化でき、セキュリティ対策を組織的に向上することが可能です。

一方SOARの導入には、脅威への自動的な対処方法を定義するPlaybookと呼ばれるワークフローの設計と適用が必要なため、高度なセキュリティ技術が不可欠になります。本サービスは、NTT Comが蓄積した技術と専門知識を反映したPlaybookをマネージドサービスとして継続的に提供し、SOARの円滑な導入と運用を実現します。

2.本サービスの概要

<本サービスの提供イメージ>

本サービスでは、「Microsoft Sentinel」をSIEM^※4SOARの基盤として採用、マイクロソフト製品に加え、ネットワークセキュリティ製品のログを分析することでセキュリティを強化します。さらに、脅威が発見された際は、SOARを活用し、セキュリティインシデントに対してPlaybookに従い自動的に対処・復旧まで行います。^※5

3.本サービスの拡充する機能の特長

(1)サイバー攻撃への自動対処

マイクロソフト社の「Microsoft 365 E5 Security」製品に加え、Zscaler, Inc.、Palo Alto Networks、Netskopeなどの提供するネットワークセキュリティ製品のログにも対応します。これにより、マイクロソフト製品のログからの自動対処だけでなく、ネットワークセキュリティと、エンドポイントセキュリティ(「Defender for Endpoint^※6」)を組み合わせた相関対処が実現可能になります。ネットワークセキュリティ製品で攻撃を検知した際、侵害された端末を自動的に特定し、ネットワークから隔離したうえでウイルススキャンなどを実行し、脅威を自動的に取り除き、復旧までを自動で行うことができます。お客さまは、セキュリティアラートが発生した場合でも、自動対処の結果を確認するのみとなり、稼働削減につながります。

<サイバー攻撃へのネットワークセキュリティを利用した自動対処の提供イメージ>

(2)生成AIによるアラート解説・対処方法のご案内

今回の機能拡充により、アラートの解説・アラート対処方法を、生成AIを活用することで、わかりやすい日本語で生成し、お客さまへメール通知を行います。^※7お客さまは、何が起こったのか日本語で直感的にわかりやすく理解することが可能となり、アラート調査の稼働削減につながります。

<生成AIによるアラート解説・対処方法のご案内の提供イメージ>

(3)サポートの充実

①Playbookの継続的な最適化

Playbookとは、自動化対象とする脅威対処のワークフローをSOAR上で実行できるようにしたプログラムです。従来は、セキュリティアラートの内容や対処方法をお客さま自身で調査し、適切な対処・復旧措置を実施しており、アラートに関する知識や対処に関するノウハウが必要となっておりました。どのアラートが出た時にどのような対処が必要なのか、NTT Comが蓄積した長年のセキュリティ対策運用ノウハウや知見をPlaybookに適用し、自動対処を実現します。また、新しい脅威への対処やマイクロソフト製品の機能向上への対応など更新が必要となるため、最適化したPlaybookをNTT Comがマネージドサービスとして継続的に提供し、SOARの円滑な運用を実現します。

②テクニカルアカウントマネージャー(TAM)によるサポート

NTT Comのセキュリティアドバイザリーセンター(SAC)が、ヘルプデスク窓口としてお客さまの運用をサポートします。さらに、テクニカルアカウントマネージャー(TAM)として、専任の担当者をアサインし、月次報告会でセキュリティアラートの傾向や対策のご案内や、セキュリティ運用上の各種相談ができます。^※8テクニカルアカウントマネージャーを活用することで、お客さまのセキュリティ運用を支えます。

4.セキュリティ監視対象

本サービスでログを監視できる製品は以下の通りです。監視対象は選択でき、当初は小規模に導入し必要に応じて拡張することも可能です。

5.提供開始日

2024年9月3日

6.利用料金

月額　　　　　： 44万円～(税込) ^※9

初期構築費用　：115.5万円～(税込) ^※9

詳細はNTT Com営業担当までお問い合わせください。

7.お申し込み方法

NTT Com営業担当までお問い合わせください。

8.今後の展開

NTT Comは、SOARの積極的な活用を検討するお客さまをはじめ、セキュリティ対策のさらなる運用効率化・自動化を図るお客さま向けに、本サービスを適用できる製品の拡充や、さらなる自動化・効率化を目指し、サービスの拡充を進めていきます。

NTTドコモ、NTT Com、NTTコムウェアは、ドコモグループの法人事業を統合し、法人事業ブランド「ドコモビジネス」を展開しています。「モバイル・クラウドファースト」で社会・産業にイノベーションを起こし、すべての法人のお客さま・パートナーと「あなたと世界を変えていく。」に挑戦します。

https://www.ntt.com/business/lp/docomobusiness/db2024_sol.html

※1：「Microsoft Sentinel」とは、クラウドネイティブのSIEM、SOAR機能を提供し、サイバー攻撃の検出や可視化から脅威への対応までを包括的に対応するサービスです。

※2：「Microsoft 365 E5 Security」とは、マイクロソフト社のゼロトラストセキュリティを実現するクラウド型セキュリティサービスです。

※3：CEF形式またはSyslog形式でログ転送が可能で、所定のログ項目(IPアドレス、ホスト名など)が転送ログに含まれる必要があります。なお、ネットワークセキュリティ製品のログを、「Microsoft Sentinel」へ転送するには、お客さまにてSyslogサーバーの構築が必要です。

※4：SIEMとは、ファイアウォールやIDS／IPS、プロキシーなどから出力されるログやデータを一元的に集約し、それらのデータを組み合わせて相関分析を行うことで、ネットワークの監視やサイバー攻撃やマルウェア感染などのインシデントを検知することを目的とした仕組みです。

※5：完全に脅威を取り除けない場合も存在します。

※6：「Defender for Endpoint」とは、Microsoftのクラウドベースのエンドポイントセキュリティソリューションです。

※7：生成AIにより作成された情報は参考情報となります。内容を保証するものではございません。また対象製品によりアラート解説・対処法が出ないものもあります。

※8：サポートの利用には、チケット制による追加の費用が発生する場合があります。また、テクニカルアカウントマネージャー(TAM)のアサインは有償となります。

※9：「マネージドSOAR」の料金であり、Microsoft 365や、各種セキュリティデバイス、Microsoft Sentinelの費用は別途発生します。

*Microsoft、Microsoft 365、Microsoft Defender、Microsoft Sentinel、Azureは、米国 Microsoft Corporationの米国およびその他の国における登録商標または商標です。

*Microsoft 365は、米国 Microsoft Corporationが提供するサービスの名称です。

*掲載されている企業名、サービス名は、各社の商標または登録商標です。

関連リンク

• WideAngle PS「マネージドSOAR」サービス紹介Webサイト
• Microsoft Sentinelを活用した最新SOAR実装例セキュリティアラートは「通知」から「対処」の時代へ ホワイトペーパー
• Microsoft 365導入企業へのサイバー攻撃に自動対処しセキュリティ技術者を支援、脅威への迅速な対応を可能にする新サービスを開始