OCSF（Open Cybersecurity Schema Framework）の発表

業界では長年、相互運用性の高いデータを作る方法を開発し、ツールが容易に相互通信できるようにしてほしいと、お客様から求めてられていました。それがようやく実現に至りました。

OCSFの発表

BlackHat 2022において、複数の先進テクノロジー企業が合同で、サイバーセキュリティ情報共有のための新しいオープンデータ標準、Open Cybersecurity Schema Framework（OCSF）を発表しました。基本的にOCSFは、異なるセキュリティツールのデータを共有する共通の方法を提供します。これは大きな進歩です。OCSFプロジェクトはSplunkとAWSの提携から始まりましたが、この提携は、Broadcom Softwareの一部門であるシマンテックが開発したICDスキーマを基盤としています。

OCSFの導入

現在まで企業のSOCは、異なる要素を統合しようと多大な労力を投入しなければなりませんでした。脅威を見つけるために費やしていれば有効に使えた貴重な時間です。平均的なSOCは約45種類のセキュリティツールを使用していることがわかっています。これらのツールがテレメトリを異なる方法で保管するため、管理は非常に複雑になります。 

SOCが評価を受け始めると  大手セキュリティソフトウェアベンダーはどこも、自社のプラットフォームをソリューションとして売り込みました。この「シングルベンダー」ソリューションはうまく機能しませんでした。  企業は複数のベンダーの製品を使用し続け、その結果、セキュリティテレメトリのデータセットは互換できないままになりました。大手企業は、データ照会機能を確保するために、所有しているセキュリティツールをすべて統合することに投資しなければならなくなりました。大部分の大手企業では、SOCチームがエンジニアのチームを丸ごと雇い、雇われたエンジニアは新しいタイプのデータを処理するためにデータの変換とプログラムの更新を行うのみ、ということが起こりました。  

統合に多くの時間を割かなければならないのは、負担なだけではありません。精度も大きな問題になります。製品はデータをさまざまな方法で保管するため、変換時にエラーや漏えいが起こりやすくなります。  

この統合と変換は骨の折れる作業で 特に企業がセキュリティインフラストラクチャの増設やアップグレードを行う場合は手間がかかります。最近はSOCがベンダーに以前より遠慮なく要望を伝え、要求が厳しくなり、単独使用向きではなく統合しやすい製品を希望することを伝えているのは当然のことでしょう。

OCSFの効果

OCSFはテレメトリを保管する共通の方法を促進することで、ツール統合の労力を減らします。1つのツールから次のツールへと情報を受け渡すことができます。スキーマが一貫しており、SOCが使用するデータレイクや分析ツールにデータがシームレスに流れます。

OCSF のルーツは、すべての製品がデータを関連付けることができるようにする Symantec Enterprise のイニシアチブにまでさかのぼることができるため、このプロジェクトは特に私の思いに近く、大切なものです。このイニシアチブは短期間で重要な課題を明らかにしました。簡単に見えるかもしれませんが、複数の製品に同じようにデータを保管させ、同じようにマシン、ファイル、イベントを処理させるのは簡単ではありません。シマンテックによるこの標準化の取り組みが、インテグレーテッドサイバーディフェンス（ICD）プラットフォームへと発展しました。現在では、同じスキーマとアプローチが、オープンソースプロジェクトの基盤となり、OCSFが誕生しました。

OCSFの今後

OCSFはセキュリティエンジニアにより設計されました。そのため、サイバーセキュリティに日常的に携わり、複雑化する状況に直面しているユーザーにとって便利なものになっています。  OCSFを世界共通のものにするために、より多くのベンダーがOCSFフォーマットを採用する必要があります。標準化の提案は、特定の企業のメリットになるものが提示されることはよくあります。OCSFはそれとは異なります。OCSFを採用するどの企業にとっても、独占的な利益はありません。お客様にとって正しいことを行うことは、業界として私たち全員にメリットがあります。共通の標準のもとに結束することは、理にかなっているのです。