パロアルト、CNAPPの次世代版「Cortex Cloud」を解説–「Cortex XSIAM」との連携を強化

今回は「パロアルト、CNAPPの次世代版「Cortex Cloud」を解説–「Cortex XSIAM」との連携を強化」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　パロアルトネットワークスは4月9日、クラウドネイティブアプリケーション保護プラットフォーム（CNAPP）「Prisma Cloud」の次世代版として3月25日に発表された「Cortex Cloud」に関するプレス向け説明会を開催した。なお、Cortex Cloudの提供開始は2025年度第3四半期後半の予定で、現在Prisma Cloudを利用中のユーザーはCortex Cloudにシームレスにアップグレードされる。

　まず、同社のプラットフォーム事業本部 シニアディレクターの藤生昌也氏がCortex Cloudの投入背景について説明した。同氏は、社内のサイバーセキュリティ専門家で構成された「インテリジェンス主導でインシデント対応可能な組織」であるUNIT42が発表した最新レポート「Global Incident Response Report 2025」で、攻撃者の攻撃手法が高度化し、対応がこれまで以上に困難になりつつあると指摘されていることを踏まえ、防御側の対策として「オンプレミス、クラウド、エンドポイントのログを統合した可視性と、自動化による脅威の検出と修復により、セキュリティ運用でより多くの情報を把握し、より迅速に対応できるようにすることが重要だ」と指摘した。

　現在セキュリティ市場では「プラットフォーム化（Platformization）」が進行中だ。従来型の、特定の脅威に対応するポイントソリューションを組み合わせて包括的な保護を実現しようとするアプローチでは、運用負荷が高くなりすぎる上に、組み合わせによってはカバー範囲から漏れる領域ができてしまうなどの課題もあることから、ユーザー企業側でもあらかじめ統合され、連携して動作するように設計されたプラットフォーム製品を積極的に選択する動きが目立ち始めている。

　Palo Alto Networksもいち早くセキュリティソリューションのプラットフォーム化に取り組んでおり、この分野で大きな存在感を発揮している。Prisma Cloudの次世代版として発表されたCortex Cloudも同社のプラットフォームへの取り組みの一環で、従来のCortexブランドで提供されてきたセキュリティソリューション群との統合・連携をより一層高いレベルに引き上げ、より広範な領域で運用負荷の軽減と自動化の推進を目指すものとなる。

　続いて、同社のプラットフォーム事業本部 ビジネスプリンシパルの和田一寿氏がCortex Cloudの詳細について解説した。Cortex製品群のこれまでの進化について「XDR（拡張型の脅威検知対応）という用語はPalo Alto Networksが提唱したと言われているが、従来エンドポントだけを対象としていたEDRの対象範囲を拡大してネットワークやクラウドその他いろいろな情報をフルコンテキストで取得できるCortex XDRを2019年にリリース、次いでオペレーションをAIを使って自働化していくためにXDRやSOAR（Security Orchestration, Automation and Response）、ASM（Attack Surface Management）などをまとめてワンパッケージにして1つのプラットフォームで最後の処理まで実行できるように『Cortex XSIAM』を2022年にリリースした」と紹介した。

　エンドポイントからSOCレベルまで、セキュリティ運用者の視点でカバーできるプラットフォームに発展したCortex XSIAMに対し、CSPM（Cloud Security Posture Management）やアプリケーションセキュリティなどのCNAPP機能を提供するPrisma Cloudを次世代版として機能強化し、Cortex XSIAMとの連携をより一層強化したのがCortex Cloudだと位置づけられる。Cortex製品群として連携強化されたことを明確に示す意味合いから、製品ブランドもPrismaからCortexに変更され、統合運用可能な製品群としての位置付けが一目で分かるようになった。

　Prisma CloudからCortex Cloudへの進化で強化されたポイントとして同氏は「リアルタイム性」を挙げた。クラウド環境を提供する事業者側でも日々膨大な量の変更や改善を加えているが、これに対して膨大な数のポイントソリューションの組み合わせでセキュリティ対応を行うユーザー側は追従しきれないため、対応のリアルタイム性が失われるという問題点があった。Cortex Cloudではクラウドセキュリティのためのさまざまな機能を単一プラットフォーム上に統合し、AIや自動化技術を活用して運用効率を高めた結果「CNAPPをリアルタイムセキュリティにできた」という。

　運用管理の省力化も重要なポイントとなる。和田氏はセキュリティ運用の課題としてよく言及される「アラート疲れ」と言った状況を踏まえ「現状データは足りていないのではなく、もうデータはある。ただし、それがひも付けられておらず、多すぎて人間が把握できないのでインシデントを見逃している」と指摘した。Cortexプラットフォームでは、網羅的に情報を集めてコンテクストを把握し、相関分析やAIによる処理などを組み合わせて対処可能な数にまでアラートを減らしていくことを重視している。

　実際のコンソール画面の例では、システムを構成するさまざまなコンポーネントから上がってきたアラートの総数が2456あった場合でも、その多くは共通の根本原因に対してさまざまなコンポーネントが重複してアラートを上げることで数が増えていたり、あるいは単なる情報としてのアラートであって特別な対応が必要ないものなども含まれている。

　それらをシステム側で整理して対応すべきインシデントを抽出したところ95にまで減らすことができたという。さらにこのうち、AI機能や自動化機能によって人手を介さずにシステム側で解決できると判断されたものが78、残る17が人手による対応が必要として分類された。2456ものアラートがあると対応する気にもなれないが、重要なインシデントが17件ある、という状況であれば対応可能だろう。なお、図に示された例では人手が必要と分類されたインシデントのうちの6件は自動化対応で十分だと判明したため、最終的には11件だけが人手による処理を要するインシデントとして処理された形になっている。

　セキュリティソリューションのプラットフォーム化に対する注目が高まりつつあるが、さまざまなセキュリティ機能を統合して多角的な分析が可能になることで、膨大なアラートを高精度に整理して対応できる数にまで減らしてくれる点はユーザーにとっても大きなメリットとなるだろう。どれだけの機能が統合されたかというスペック的な比較にとどまらず、アラートを整理する能力の高さに着目したプラットフォームの選択をできるかどうかが今後のポイントとなりそうだ。