Black Hat 2025でエンティティ中心型検知の実演をご覧ください

セキュリティ運用はノイズに満ちています。Black Hatに参加する者にとって、これは周知の事実です。さらに驚くべきは、そのノイズの多くが、本来それを減らすべきシステム自体によって生成されていることなのです。検知には文脈が欠けています。説明もなくアラートが山積みになり、自動化は停滞するのは、誰もそのシグナルを信用しないからにほかなりません。

これらすべてを踏まえても、目標は変わりません。防御担当者が重要なことに素早く集中できるよう支援することなのです。

業界はこの目標達成に向けて真摯な取り組みを進めてきました。ログの拡充、ルールの改善、多層的なデータ強化、機械学習の導入を実施。大規模言語モデル（LLM）にアラートの要約を学習させ、検出ロジックの信頼性向上には検出コード化を採用しました。しかし結局、「このアラートは本物か？」「重要か？」「次に何をすべきか？」という同じ問題に直面します。

現代のセキュリティツールの大半における検知ロジックは、依然としてエンティティではなくイベントを中心に構築されています。つまり、誰が実行したかではなく、いつ何かが発生したかに焦点を当てています。そのアプローチは、アイデンティティが絶えず変化するクラウドファーストの高速環境では機能しなくなります。 

だからこそ、Black Hat 2025ではブース#5812にて、エンティティ中心の検知の必要性を実演します。 

なぜ従来の検知には新たな基盤が必要なのか

従来の検知ロジックは、インフラが静的で、ユーザーが既知の場所から作業し、ほとんどの脅威が認識可能なシグネチャに従っていた、異なる時代に構築されたものです。その世界では、イベント相関は機能していました。狭い時間枠内で十分なログ行を照合するだけで、通常は何が起こっているのかを把握可能でした。

しかし今日、インフラは一時的で、アクセスパターンは予測不可能であり、攻撃者は以前にも増して正当な行動を模倣しようとしてきます。ある状況では疑わしいことが、別の状況では無害であるかもしれません。

イベント中心のモデルはそのニュアンスを捉えられず、前段階で起こった事を記憶できません。結果、意図を推論することもできません。

したがって、アナリストはツールを切り替えながら手動でシグナルを相関させ、断片的なログの痕跡から物語を紡ぎ出そうと試みるしかありません。

現在のセキュリティ状況は、より強固な基盤を求めています。

エンティティ中心検出法：より賢いモデル

実体中心の検知は単純な前提から始まります：リスクは行為者の中に潜む。つまり、ユーザー、ホスト、サービスアカウント、クラウドワークロード、および動作を開始したりアクセス権を保持したりするその他のあらゆる要素を指します。

単発の事象をトリガーとする代わりに、検知システムは各エンティティの記憶を構築・維持し、正常なパターン、危険なパターン、および変化の有無を検知します。 そして何かがその基準から外れた場合、システムは警告を発し、点と点を結びつけて何が起きたのかを適切に説明します。

想像してみてください：開発者がホストで初めてシステム情報を実行します。数分後、彼らはこれまで触れたことのないS3バケットにアクセスします。その後、そのホストは未知のIP範囲へのアウトバウンド通信を開始します。

従来の検知手法では、3つの別々のアラートが生成される可能性があります。これらは単独では「対応可能性」が非常に低くなり、アナリストは問題の核心に迫るために点と点を結びつける必要がありますが、結びつけずにおわることもあるでしょう。

エンティティ中心モデルでは、こうした活動はすべて設計上相互に関連付けられています。システムは同一ユーザーであることを認識し、通常の行動からの逸脱を検知し、タイムラインを理解します。リスクスコアを引き上げ、単一で一貫性のあるシグナルを送信することで、自動化システムが躊躇なく行動を起こすのに十分な文脈を提供します。

エンティティ中心の検出は、他の検出モデルの以下の機能を補完し、強化します。

• シグネチャベースの検知は既知の脅威を特定するのに優れていますが、脆弱なのです。ペイロードのわずかな変更やTTPのわずかな変化で機能しなくなりますが、エンティティに紐づけることで、記憶力と関連性を獲得します。
  
• UEBAは検知に行動コンテキストをもたらしましたが、ブラックボックス実装が多すぎました。アナリストはルールを読み解けず、調整できず、信頼することもできませんでした。ですがエンティティモデルでは説明可能性が回復します。
  
• 従来のSIEMに組み込まれているイベント相関は、現在も検知の基盤となっていますが、長期的な認識能力に欠けています。パターンは認識するが、エスカレーションは見逃す。タイムラインは有用だが、常時関与する主体と結びついた場合にのみ効果を発揮する。

エンティティ中心の検出は、ロジックが存在する場所を変え、実際に重要なエンティティにすべてを結びつけます。

現在の運用環境はより複雑化しています。クラウドサービスは数分で起動し、消えていく。アイデンティティはプロバイダーや地域をまたいで移動します。そして脅威は通常の動作の中に潜んでいます。

この時代遅れの検知ロジックでは、アナリストは関連性のないアラートの選別に過大な時間を費やし、自動化エンジンは遊休状態となり、SOCはツールがコンテキストを理解しないため対応型モードで運用されます。

エンティティ中心の検出はそのギャップを埋めるために構築されています。

リスクを実際に担う人々、ホスト、システム、サービスに論理を結びつけることで、単なるトランザクションベースの検知から、リスクが発生した経緯と理由を記憶し説明できる検知へと移行します。

このモデルは現代の業務運営に不可欠であり、導入しない場合の代償は脅威の検知漏れ、自動化の機能不全、そしてビジネスのスピードに適応できないセキュリティ基盤となります。

Black Hatで目にするもの

当社ブースでは、Sumo Logic Cloud SIEMのエンティティ中心型検知エンジンによるライブシナリオを実行中です。以下をご覧いただけます。

• アイデンティティプロバイダーとテレメトリソースを横断したエンティティ追跡：シグナルの発生源に関わらず、環境全体にわたるユーザー、ホスト、ワークロード、サービスアカウントをマッピングし追跡します。
  
• 14日間の行動ローリングウィンドウ：各エンティティは自身の直近の活動履歴を保持します。典型的な行動、異常な行動、エスカレートする行動をどのように検知するかをご確認ください。
  
• スマートシグナル重複排除：同一の動作に対する重複したアラートではなく、関連する信号を単一の有意義な検知にグループ化します。
  
• 自動化され、説明可能なリスクスコアリング：深刻度、発生頻度、行動コンテキストに基づいて検知結果を優先順位付けするため、重要な事象に集中できます。
  
• アナリストが調整可能な行動検知ルール：当社の検知がブラックボックスAIではなく明確なロジックに基づいて構築されている仕組みをご覧ください。
  
• タイムラインと関係性グラフ：攻撃経路全体がリアルタイムで展開される様子を、タブを切り替えることなく確認できます。
  
• 統合自動化：高信頼性の検知が即座にプレイブックを起動し、エンリッチメント処理は不要です。

実際の製品をぜひご覧ください。現実世界の脅威にリアルタイムで対応します。

未来はエンティティが握っている

どのベンダーも自社のシステムがより賢いと主張し、どのツールもより高速だと謳うでしょう。しかし、いつかは古いモデルの最適化を止め、より優れたモデルを構築し始めなければならないのです。

エンティティ中心の検知は、検知に対するより新しく現代的なアプローチを提供します。ノイズを低減し、点と点を結び、真に重要な脅威を検知するため、アナリストは対応に注力できる時間を増やせます。  

興味が出てきましたか？Black Hatのブース#5812で実際にご覧ください。