SecureWorks Japanは6月21日、「標的型攻撃ハンティング・サービス」(以下、ハンティング・サービス)を国内で提供開始すると発表した。
このサービスは、サイバー攻撃が行われている企業に対して提供するインシデント対応サービスで、攻撃の実体を明らかにし、攻撃を根絶するまでの支援を行う。海外では、2012年から提供され、米国、ヨーロッパ、中東で利用されている。
最近ではセキュリティ攻撃が日々高度化、進化しているため、攻撃の実体を捉えることが難しくなっており、こういったサービスが必要なのだという。
|
「標的型攻撃ハンティング・サービス」の概要 |
日本での提供が遅れた理由について、米SecureWorks Vice President Counter Threat Unit (CTU) and Cyber Threat Analysis Center (CTAC) バリー・ヘンズリー氏は、「日本市場と特性として、お客様の信頼を裏切ってはいけない点があり、完璧を追求し提供が遅れた」と説明。
|
米SecureWorks Vice President Counter Threat Unit (CTU) and Cyber Threat Analysis Center (CTAC) バリー・ヘンズリー氏 |
SecureWorks Japan 代表取締役 ジェフ・モルツ氏は、「日本を取り巻く環境が変わってきており、緊張感につつまれている。それに応じたサービス提供が必要だという点を切実に感じてはいたが、日本語で提供するしっかりとした体制を整えるために少し時間を要した」と述べた。
|
SecureWorks Japan 代表取締役 ジェフ・モルツ氏 |
米SecureWorks Director Security & Risk Consulting Incident Response ジェフリー・カーペンター氏は、ハンティング・サービス提供の背景を、「かつては、アンチウィルス、ファイアウォールで攻撃を防ぐことはできたが、最近では攻撃を遅らせる手段としては有効だが、これだけでは防ぎきれない。もはや、侵入は防げないことが前提であり、企業の関心は侵入をいかに検知するかに移っている。現在は、セキュリティの多層防御が必要で、エンドポイント含めてトータルで見ていく時代になった」と説明する。
|
米SecureWorks Director Security & Risk Consulting Incident Response ジェフリー・カーペンター氏 |
ただ、防御のためのシステムが必要ないかといえば、そうではないという。
「防御があれば、攻撃者はそこで躊躇するかもしれない。そういう意味で防御は必要だ。ただ、それだけではだめだ。たとえ、高価なサンドボックスを購入したとしても、常にセキュリティの見直しを行い、システムを刷新していかなければならない」(ヘンズリー氏)
カーペンター氏によれば、感染ルートとして一番多いのが、フィッシングメールで、メールを受け取った人のうち、23%がクリックし、11%は添付ファイルを開いてしまっているという。
|
|
感染ルート |
フィッシングメールのクリック率 |
そのため、企業は社員がメールを開く前に安全かどうかを確認する必要があるが、これらの驚異を検知した割合をみると、社内スタッフが検知した割合はわすか12%で、28%が警察などの法的執行機関、60%がSecureWorksなどの第三者機関だという。
|
脅威は巧妙化し検出が困難に |
最近はマルウェアを使わない攻撃も増えており、従来の防御手法をかいくぐってしまうため、発見できないケースがあるのだという。ハンティング・サービスは、こういった課題に対応するサービスだ。
米SecureWorks Director Counter Threat Unit Special Operations ジャスティン・ターナ-氏によれば、ハンティング・サービスは、ネットワークの通信分析、エンドポイント分析、ログ分析の3つで攻撃を明らかにしていくと説明した。
|
米SecureWorks Director Counter Threat Unit Special Operations ジャスティン・ターナ-氏 |
ネットワークはLastLine Sensorによって、エンドポイントはRed Cloak Agentがレジストリ、プロセス、メモリなどのユーザーの詳細情報を監視。これらと各機器のログなど、インシデント対応に必要な情報を収集し、Counter Threat Unit(CTU)と呼ばれる高度な専門知識を持った分析官が情報を分析する。CTUはワールドワイドで80数名いるという。
|
ハンティング手法、アプローチ |
同社は、攻撃をハンティングするのは、テクノロジーではなく、プロセスや人だと主張する。
「プロセスの部分は、正規のシステム管理者であれば行わないような動きを検知して、攻撃者だと判断する。これが他社と違う点だ。そして、プロセスから怪しいというフラグがたったものに関しては、人の目で確認する。たとえば、社員の名前で行っていても、大量のファイルを海外に転送しているような動きであれば、それは攻撃者だと判断する」(ターナー氏)
|
ハンティングプロセス |
カーペンター氏も、「Red Cloakはツールにすぎない、Red Cloakから上がってくる情報を人の目を介して正確な判断をしていく。最終的に人、コンサルタントやアナリストが見極める。また、われわれには、攻撃手法について高度な研究を行っているリサーチャー部隊もおり、そのチームと連携して、最新の攻撃手法を把握しながら分析を行っている。こういった専門家を企業自身が抱えることは不可能であり、SecureWorksのようなサービスを利用するのが現実的だ」と語った。
日本でサービスを提供するにあたっては、グローバルチームと連携し、サービス提供を行っているという。
具体的には、この6カ月間はグローバルチームが日本チームに対して重点的にトレーニングを行い準備してきたほか、日本の顧客の窓口となるのは日本のチームだが、データを解析を行うのはグローバルチームが行っているという。
そして、モルツ氏はハンティング・サービスの国内でのターゲットについて、「日本でわれわれのビジネスが成長している要素として、オリンピック、マイナンバー、PCI(クレジットカード向けのセキュリティ規格PCI DSS)の3つがある。ハンティング・サービスのターゲットは第一が製造業だ。これは日本市場特有のものだ。2番目が業種を問わず重要な知的財産をもっている企業。そして3つ目がヘルスケアと公共機関だ。また、金融でも注目されている」と説明した。
なお、ハンティング・サービスの価格は400万円程度からだという。
