躍進を遂げるOpen Cybersecurity Schema Framework (OCSF)

Paul Agbabian

非常に実りの多い8カ月でした。2022年8月、Splunk、アマゾンウェブサービス(AWS)社、その他16社のサイバーセキュリティ企業が、セキュリティデータの取り込みや分析の効率化と迅速化を目的として、ベンダーに依存しない共通の分類法を提供するオープンソースプロジェクト、Open Cybersecurity Schema Framework (OCSF)を設立しました。それ以来、参加組織は4倍超の75社に増え、OCSFに協力する個人も、フリーの立場での参加者を含めて、この記事の執筆時点(2023年4月時点)で369人にのぼります。

これまでの重要な成果の1つが、AWS社による、データスキーマ基盤としてOCSFを利用した初のサービス、Amazon Security Lakeです。ブログ「SplunkとAmazon Security Lakeの統合で実現するOpen Cybersecurity Schema Frameworkを利用した分析」では、Amazon Security LakeとSplunkの統合のメリットについて詳しく説明しています。

また、IBM社がステアリングコミッティに加わり、業界標準団体やオープンソースプロジェクトでの同社の豊富な経験がOCSFコンソーシアムの運営に活かされています。

さらにもう1つ重要な成果として、OCSFコミュニティへの継続的な関心と貢献により、最初のリリース候補(RC)の機能が強化され、RC3として実を結びつつあります。現在、各メンバーが精力的にベンダー拡張を作成したり、すべてのユーザーに役立つ新しいコアクラスを提案したりしています。RC3の新機能には、スキーマとフレームワークの開発成果に基づいた新しいオブジェクト、イベントクラス、カテゴリが含まれます。

ここで、OCSFメンバーが今年に入って行った機能強化のごく一部をご紹介します。

82のOCSFオブジェクトのうち20がMITRE D3FENDアーティファクトに合致しました。
2つの新しいカテゴリ「Discovery」と「Applications」が開発拡張から昇格しました。「Discovery」カテゴリには、デバイスや設定の状態を問い合わせまたはスキャンするクラスが含まれます。既存の「Device Inventory Info」クラスと「Device Config State」クラスが「Discovery」カテゴリに移動され、GAリリース後にはさらにクラスが追加される予定です。「Application」カテゴリには、「API Activity」クラスと、新しいクラス「Application Activity」および「Application Lifecycle」が含まれます。
「Audit」カテゴリが「Access Control」カテゴリに名称変更されました。また、このカテゴリの「Authorization」クラスと「Entity Management」クラスがリファクタリングされ、さまざまな認証方式やロールベースアクセス方式を使用する幅広いユースケースに対応しました。

RC3イノベーションの別の例として、「Security Finding」クラスについて少し詳しくご説明しましょう。

「Security Finding」クラスは、Splunkの「Detection Report」拡張が強化されて補強されました。
NIST、ロッキード・マーチン社のキルチェーン、CIS20フレームワークのサポートが追加されました(MITRE ATT&CKフレームワークはサポート済み)。
信頼度と間隔に加えて、インパクトとリスクレベルのスコアリングが追加されました。
新しい「Analytics」オブジェクトが作成されました。このオブジェクトは「Rule」オブジェクトを包含し、機械学習、ディープラーニング、統計分析向けのより高度な分析技法をサポートします。また、個別の構成要素を使った複雑な複合分析も可能です。

この包括的なクラスについては、IBM社のOCSF協力者であるIrakle Dzneladze氏とJason Keirstead氏による最新の記事「OCSF Security Finding and how it can change threat detection (OCSF Security Findingと脅威検出にもたらすその影響)」で詳しく説明されています。ぜひご覧ください。

RC3はまもなく公開され、公開レビュー期間後の1.0 GAリリースで安定版候補になる予定です。OCSFメンバーの多くはすでに、社内製品とベンダー製品の両方で、作業バージョンのスキーマに基づいて積極的に導入を進めており、大変楽しみです。最新のスキーマについては、schema.ocsf.ioをご覧ください。GitHub.com/ocsfで、独自のスキーマブラウザや検証サーバーのDockerイメージをダウンロードすることもできます。RC3の公開レビューの発表を楽しみにお待ちください。

RC3とOCSF全体についての詳細情報が必要な場合やご質問がございましたら、Slackコミュニティへ参加頂くか、info@ocsf.ioまたは、pagbabian@splunk.comまで遠慮なくご連絡ください。

このブログはこちらの英語ブログの翻訳、前園曙宏によるレビューです。

Paul Agbabian

Paul is responsible for technology strategy and architecture for the Security business unit at Splunk. Prior to joining Splunk, Paul was a Broadcom Fellow and the Global CTO and Chief Architect of the Symantec Enterprise Security Business Unit.

セキュリティ 5 分程度

PEAK脅威ハンティングフレームワークのご紹介

脅威ハンティングに新たな視点をもたらし、3種類のハンティングアプローチを組み込んだ、PEAK脅威ハンティングフレームワークをご紹介します。

セキュリティ 3 分程度

DevSecOpsの時代：開発者とSREがSOCチームに合流

組織がビジネスのサイバーレジリエンス強化に取り組む中で、SOCチームの業務範囲は組織のIT運用を超えて広がっています。このブログ記事では、その点について詳しくご説明します。

セキュリティ 16 分程度

脅威の連鎖を断ち切ろう：証明書サービスの悪用を防ぐ

世界中で確認されている、証明書を悪用する最新の攻撃の概要、証明書を入手するために使われるいくつかの手口、関連ログの収集方法、証明書を窃取する攻撃の緩和方法について説明します。

Splunkについて

Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。

Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。

Splunkの詳細はこちら

躍進を遂げるOpen Cybersecurity Schema Framework (OCSF)

関連記事

PEAK脅威ハンティングフレームワークのご紹介

DevSecOpsの時代：開発者とSREがSOCチームに合流

脅威の連鎖を断ち切ろう：証明書サービスの悪用を防ぐ

Splunkについて

ブログのメール配信

XでSplunkとつながる

FacebookでSplunkとつながる