SECURITY

躍進を遂げるOpen Cybersecurity Schema Framework (OCSF)

非常に実りの多い8カ月でした。2022年8月、Splunk、アマゾン ウェブ サービス(AWS)社、その他16社のサイバーセキュリティ企業が、セキュリティデータの取り込みや分析の効率化と迅速化を目的として、ベンダーに依存しない共通の分類法を提供するオープンソースプロジェクト、Open Cybersecurity Schema Framework (OCSF)設立しました。それ以来、参加組織は4倍超の75社に増え、OCSFに協力する個人も、フリーの立場での参加者を含めて、この記事の執筆時点(2023年4月時点)で369人にのぼります。

Open Cybersecurity Schema Frameworkこれまでの重要な成果の1つが、AWS社による、データスキーマ基盤としてOCSFを利用した初のサービス、Amazon Security Lakeです。ブログ「SplunkとAmazon Security Lakeの統合で実現するOpen Cybersecurity Schema Frameworkを利用した分析」では、Amazon Security LakeとSplunkの統合のメリットについて詳しく説明しています。

また、IBM社がステアリングコミッティに加わり、業界標準団体やオープンソースプロジェクトでの同社の豊富な経験がOCSFコンソーシアムの運営に活かされています。

さらにもう1つ重要な成果として、OCSFコミュニティへの継続的な関心と貢献により、最初のリリース候補(RC)の機能が強化され、RC3として実を結びつつあります。現在、各メンバーが精力的にベンダー拡張を作成したり、すべてのユーザーに役立つ新しいコアクラスを提案したりしています。RC3の新機能には、スキーマとフレームワークの開発成果に基づいた新しいオブジェクト、イベントクラス、カテゴリが含まれます。

ここで、OCSFメンバーが今年に入って行った機能強化のごく一部をご紹介します。

  • 82のOCSFオブジェクトのうち20がMITRE D3FENDアーティファクトに合致しました。
  • 2つの新しいカテゴリ「Discovery」と「Applications」が開発拡張から昇格しました。「Discovery」カテゴリには、デバイスや設定の状態を問い合わせまたはスキャンするクラスが含まれます。既存の「Device Inventory Info」クラスと「Device Config State」クラスが「Discovery」カテゴリに移動され、GAリリース後にはさらにクラスが追加される予定です。「Application」カテゴリには、「API Activity」クラスと、新しいクラス「Application Activity」および「Application Lifecycle」が含まれます。
  • 「Audit」カテゴリが「Access Control」カテゴリに名称変更されました。また、このカテゴリの「Authorization」クラスと「Entity Management」クラスがリファクタリングされ、さまざまな認証方式やロールベースアクセス方式を使用する幅広いユースケースに対応しました。

RC3イノベーションの別の例として、「Security Finding」クラスについて少し詳しくご説明しましょう。

  • 「Security Finding」クラスは、Splunkの「Detection Report」拡張が強化されて補強されました。
  • NIST、ロッキード・マーチン社のキルチェーン、CIS20フレームワークのサポートが追加されました(MITRE ATT&CKフレームワークはサポート済み)。
  • 信頼度と間隔に加えて、インパクトとリスクレベルのスコアリングが追加されました。
  • 新しい「Analytics」オブジェクトが作成されました。このオブジェクトは「Rule」オブジェクトを包含し、機械学習、ディープラーニング、統計分析向けのより高度な分析技法をサポートします。また、個別の構成要素を使った複雑な複合分析も可能です。

この包括的なクラスについては、IBM社のOCSF協力者であるIrakle Dzneladze氏とJason Keirstead氏による最新の記事「OCSF Security Finding and how it can change threat detection (OCSF Security Findingと脅威検出にもたらすその影響)」で詳しく説明されています。ぜひご覧ください。

RC3はまもなく公開され、公開レビュー期間後の1.0 GAリリースで安定版候補になる予定です。OCSFメンバーの多くはすでに、社内製品とベンダー製品の両方で、作業バージョンのスキーマに基づいて積極的に導入を進めており、大変楽しみです。最新のスキーマについては、schema.ocsf.ioをご覧ください。GitHub.com/ocsfで、独自のスキーマブラウザや検証サーバーのDockerイメージをダウンロードすることもできます。RC3の公開レビューの発表を楽しみにお待ちください。

RC3とOCSF全体についての詳細情報が必要な場合やご質問がございましたら、Slackコミュニティへ参加頂くか、info@ocsf.ioまたは、pagbabian@splunk.comまで遠慮なくご連絡ください。

このブログはこちらの英語ブログの翻訳、前園 曙宏によるレビューです。

June 01, 2023
Paul Agbabian
Posted by

Paul Agbabian

Paul is responsible for technology strategy and architecture for the Security business unit at Splunk. Prior to joining Splunk, Paul was a Broadcom Fellow and the Global CTO and Chief Architect of the Symantec Enterprise Security Business Unit.

TAGS
Cybersecurity
Show All Tags
Show Less Tags