OCFS でセキュリティ・アラートを正規化:AWS と Splunk が Black Hat で発表

New Cross-Industry Group Launches Open Cybersecurity Framework

2022/08/12 DarkReading — BLACK HAT USA – LAS VEGAS — Amazon Web Services (AWS) と Splunk は、各種の監視システムにおけるセキュリティ・アラートの標準化を推進するために、18種類のシステムおよびセキュリティ・ベンダーによる、業界としての取り組みを主導していく。その目的は、セキュリティ・チームのためにあり、セキュリティ・データを迅速に取り込み分析するための、ベンダーにとらわれない簡素化された分類法を提供することにある。

ラスベガスで水曜日に開催されたBlack Hat USA カンファレンスにおいて、各社による Open Cybersecurity Schema Framework (OCSF) の発表が行われた。この OCSF に参加する企業は、Broadcom (Symantec)/Cloudflare/Crowdstrike/DTEX/IBM Security/IronNet/JupiterOne/Okta/Palo Alto Networks/Rapid7/Salesforce/Securonix/Sumo Logic/Tanium/Trend Micro/Zscaler である。


今日のサイバー攻撃を検知/阻止するためには、サイバーセキュリティ・ツール間の連携が必要だが、これらのツールには相互運用性が乏しく、データ形式も異なるものが多すぎる。AWS の CISO 室長である Mark Ryland は、「OCSF 仕様は、各種のセキュリティ製品/サービス間でセキュリティ・テレメトリーを正規化するものだ」と、このプロジェクトを発表したブログ記事で述べている。

彼は、「セキュリティ・チームは、各種ベンダーが提供する独自フォーマットのデータを相関させ、統一する必要がある。セキュリティ・チームは、イベントに対する検出/対処に主眼を置く以前に、このデータの正規化に時間を費やしている」と述べている。


OCSFは、もともとBroadcomのSymantec部門が開発したICD Schema仕様を拡張したもので、GitHubで公開されている仕様の概要によると、JSONで書かれたデータ型、属性辞書、タクソノミのコレクションを提供している。貢献者は、このフレームワークを利用・拡張し、さまざまなデータの取り込みと正規化のスキーマを共通の脅威検出言語にマッピングできる。

Endor Labs の PM である Jamie Scott は、「実務家から観た、このテクノロジーにおける最も困難な問題の1つは、複数のベンダーが提供するツール/オペレーティングシステム/バージョンにまたがる発見と、イベント情報の接続だ。標準的なデータフォーマットがあれば、業界全体としてコストを削減し、インシデント・トリアージを加速できる」と述べている。

相互運用性のための拡張可能なフレームワーク

Splunk のエンジニアである Paul Agbabian は、「オープンソース・プロジェクトとしての OCSF は、特定のプロバイダに縛られない、相互運用可能なコアセキュリティ・スキーマを提供するための、拡張可能なフレームワークである」と OCSF ホワイトペーパーに記している。

Apache License 2.0 下でライセンスされる OCSF は、不可知論的な保存形式/データ収集、ETL (Extract/Transform/Load) プロセスを特徴としている。そのスキーマ・ブラウザは、カテゴリ/イベントクラス/ディクショナリ/データタイプ/プロファイル/拡張を表す。

Paul Agbabian は、「ベンダーやデータ制作者は、特定のドメイン用にスキーマを採用/拡張できる。データ・エンジニアは、既存のスキーマをマッピングすることで、セキュリティ・チームがデータの取り込みと正規化を簡略化し、データ・アナリストが脅威を検出/調査する際に、共通の言語で作業できるようにする」と、別のブログ記事で述べている。

Jamie Scott は、「これらのイベントを、ツール間で共有するための、共通のデータ形式を持つことが可能ならば、消費者と作成者の作業が容易になる。作成者は、他のソリューションとの統合を簡素化し、消費者はインシデントを集約し、トリアージできるようになる」と述べている。

このホワイトペーパーによると、OCSF は、広く使われている MITRE ATT&CK フレームワークと類似した分類法を持つが、いくつかの顕著な違いも指摘されている。最も顕著なのは、OCSF ではベンダーや顧客による拡張が可能であるのに対し、MITRE はATT&CK の全てのコンテンツを公開している点だ。

Enterprise Strategy Group と Information Systems Security Association (ISSA) の調査によると、サイバーセキュリティの専門家の 77% が、業界によるオープン・スタンダードのサポートを望んでいることが判明している。また、同調査では、85% が、製品間の統合が不可欠だと考えているとされる。 

Aghabian は、「サイバー・セキュリティは、相互運用性と協力のためのオープンで統合された時代へと向けて、サイロから移行する準備を整えている」と指摘している。

セキュリティ・テレメトリーの標準化

Mark Ryland は、このプロジェクトに参加/貢献したいと考える、他のプロバイダーに対しても門戸を開いていると付け加えている。彼は、「業界全体のセキュリティ・テレメトリーの標準化を支援するために、エンジニアリング面での努力を継続し、プロジェクト/ツール/トレーニング/ガイドラインを、提供していくことに価値を感じている。業界として、脅威アクターたちの行動を直接コントロールすることは不可能だが、セキュリティ・チームの作業を効率化することで、集団的な防御を向上させられる」と述べている。

OCSF の状況や、それぞれのベンダーによるテスト開始時期については、すぐには明らかにならなかった。また、最終的にベンダーが、どの程度まで OCSF に貢献し、実装するかも未知数である。

Jamie Scott は、「OCSF のような初期段階の取り組みにとって、最も難しいのは、運営委員会の構成である。委員会の大部分がベンダーで構成されているため、ベンダー間での採用を促進するためにも、消費者団体の代表が席につく必要がある。OCSF が業界と協働していく中で、そのミッションに投資する意思のある業界の実務家の席を、運営委員会の中に確保すべきだ」と述べている。

サイバー・オペレーション・プラットフォーム・プロバイダー JupiterOne の CEO である Erkang Zheng は、OCSF の拡張を受け入れ、参加することを約束している。彼は、「JupiterOne のオープンソース・データ・モデルを活用し、時系列イベント・データとステートフルで構造的なアセット・データをカバーしていくために、フレームワークを拡張することになる。つまり、時間をかけて OCSF イニシアチブに貢献し続けるだろう。このイニシアチブに参加することで、業界を超えたコラボレーションを。さらに促進させたいと考えている」と述べている。

Jamie Scott は、 「このような問題を解決することは、旅に出るようなものであり、業界全体による学習を必要とする。しかし、目的地があれば、その旅は、価値のあるものになる」と述べている。

セキュリティ・ベンダーたちの利害が絡む領域でもあるので、いろいろと試行錯誤を重ねることになると思いますが、ぜひ、ゴールまでたどり着いてほしいですね。この Black Hat での発表に入っていないベンダーも多いので、長い時間が必要になるでしょうが、頑張って欲しいです。この分野だと、東欧やイスラエルにも、魅力的なベンダーがいますし、Kaspersky や Qihoo も気になるところです。

%d bloggers like this: