Corelightは、ネイティブなネットワークパフォーマンス監視機能とパッシブ資産分類機能をOpen NDRプラットフォームに追加しました。今回のリリースにより、既存の異常検知基盤に資産の可視化機能が加わり、パッチ適用プログラムの対応速度を超えて脆弱性を発見・悪用するAI駆動の脅威から、セキュリティチームが組織を守れるようになります。
AIが主体となる新たな脅威の時代において、エンドポイント制御とパッチ適用だけに頼るセキュリティ戦略はもはや不十分です。今回のリリースでは、Corelightの検知を支えてきたZeekベースの分析エンジンが、通信中のすべての資産とAIサービスをリアルタイムで継続的に分類します。これは既に収集済みのトラフィックから行われるため、アクティブなポーリングエージェントや専用インフラは一切必要ありません。
脆弱性スコアだけでは即時リスクを正確に把握できない現代において、Corelightは重要な新たなシグナルを提供します。どのホストが外部から到達可能であり、現在攻撃を受けているかをリアルタイムに示す証拠を提示することで、セキュリティチームの優先度判断を強化し、経営層が重要な環境で実際に何が起きているかをより確信をもって把握できるようにします。
「Mythosクラスのモデルで動作するAI搭載ツールは、マシンスピードでゼロデイ脆弱性を発見・武器化できるようになっており、いかなる組織もパッチ適用だけで安全を確保できない”恒常的な脆弱性”の状態が生まれています。こうした環境において、見えないものは守れません」と、Corelightのプロダクト担当バイスプレジデントであるVijit Nair氏は述べています。
「エージェントベースのツールでは検出できない未管理デバイス、シャドーITエンドポイント、シャドーAIプラットフォーム・サービス、OT資産のすべてが、攻撃者にとって潜在的な侵入口となります。Corelightはそのギャップを埋め、ネットワーク自体を通信するあらゆるものの最新インベントリへと変えます。エージェント不要、スキャンサイクル不要、ブラインドスポットなし。資産を分類する同じセンサーが、いずれかが侵害された場合の悪用行為も検出します」とNair氏は付け加えました。
継続的な可視化、異常検知、AI対応のエビデンス
この実現には、資産レイヤーから始まり攻撃のあらゆる段階をカバーする可視化が不可欠です。Corelightはデバイスが通信した瞬間にパッシブで分類します。対象にはICS/OT、IoT、未管理エンドポイント、不正なAIツール、従来型スキャナーが検出しにくいLLMエンドポイントも含まれるため、組織は自分たちが何を守っているかを常に正確に把握できます。
このインベントリ情報は、教師なし機械学習によるベースライン作成と教師あり機械学習を組み合わせた異常検知に活用されます。行動ベースおよびシグネチャベースの確認と組み合わせることで、CVEが存在しない侵害後の活動も捉えます。また、EDR、ID管理、ファイアウォールプロバイダーとの直接統合を通じて、問題への対処を迅速化します。
これらの検知を支える高精度な構造化Zeekメタデータは、AI駆動のSOCにとってもクリーンな情報源となります。リアルタイムの資産・ID・パフォーマンスのコンテキストをAIツールやLLMエージェントに提供することで、複雑なワークフローの自動化が可能となり、すべてのステップで監査可能な根拠を持ちながらトリアージ速度を10倍に高めます。
「インシデントレスポンスにおいて、状況把握までの平均時間(Mean Time to Understanding)は非常に重要です」と、あるFortune 100製造企業のネットワークインシデント・レスポンス責任者は述べています。「Corelightのパッシブ資産分類により、セキュリティオペレーションチームはすでにトラフィックを分析している場所で、ITおよびOTデバイスの正確な可視化を即座に得られます。これによってネットワーク防衛担当者はトリアージを大幅に加速し、自信を持ってアラートを調査できます。」
1つのセンサーから2つの新機能を実現
Corelightのセンサーはネットワークトラフィックをパッシブに分析し、詳細なプロトコルログに変換します。今回のアップデートでは、Corelightのデータを補完する2つの新機能が提供されます。
パッシブ資産分類は、ネットワーク上で通信するすべてのデバイスを自動的に識別・分類します。対象はワークステーション、サーバー、IoTデバイス、プリンター、未管理エンドポイント、180種類以上のAIサービス、AIプラットフォーム、BYODデバイスなどで、観測されたトラフィックのプロトコルフィンガープリントを解析することで分類します。各資産はデバイスタイプ、OS、ハードウェアメーカー、モデル、ネットワーク上の役割(クライアント、サーバー、ゲートウェイ、DNSリゾルバー)によって分類され、専用ログに記録されます。分類はスケジュールされたポーリングやエージェント展開ではなくライブトラフィックから行われるため、インベントリは常に最新の状態が保たれ、エンドポイントセキュリティやCMDBツールが見逃しがちなデバイスクラスも網羅します。
ネットワークパフォーマンス監視は、パフォーマンスシグナルをパッシブに抽出します。抽出対象には、クライアント側とサーバー側に分解されたTCPのラウンドトリップタイム、DNS解決時間、TLS/QUICハンドシェイクのメトリクスが含まれます。継続的なテレメトリーでSIEMを溢れさせることなく、ネットワークパフォーマンスパッケージは異常優先アーキテクチャで動作し、設定された閾値を超えた場合にのみアラートを生成します。
パフォーマンスアラートはドメインを認識しており、一時的なIPアドレスではなくDNSクエリ名、TLS SNI、HTTPホストヘッダー、QUICなどの実際のサービス名に紐付けられています。すべてのアラートには閾値を最初にトリガーした接続の一意の接続識別子(uid)が含まれており、アナリストはパフォーマンス異常から対応する正確な接続ログへ直接ピボットできます。
「Mythosクラスのアシスタント機能は、組織がパッチ管理の規律だけでサイバーリスクを管理できる時代を事実上終わらせました」と、IDC Security & TrustのリサーチバイスプレジデントであるChris Kissel氏(LinkedIn)は述べています。
「未管理エンドポイント、OTデバイス、不正なAIツール、CMDBに一度も登録されていない資産で構成される未知の攻撃対象領域は、AI駆動の攻撃者が最初に目を向ける場所です。なぜなら、そこが防御側の備えが最も薄い場所だからです。継続的かつパッシブに動作するネットワークレベルの資産分類こそ、この現実に対応できる唯一のスケーラブルな仕組みです」とKissel氏は続けました。
セキュリティオペレーションチームにとっては、今回の強化によってすべてのセキュリティアラートに関連資産の正確な識別情報とリアルタイムのパフォーマンスコンテキストが付加されるため、トリアージが加速し誤検知が減少します。ネットワークオペレーションチームにとっては、このプラットフォームが独立したオブザーバーとして機能し、アプリケーションの動作が遅い場合にネットワークが正常であることを確実に証明する「平均無罪証明時間(Mean Time to Innocence)」を実現します。これにより、別個の監視スタックを管理する必要がなくなります。
翻訳元: https://www.helpnetsecurity.com/2026/06/17/corelight-open-ndr-platform-expansion/
