新型コロナウイルスに便乗したサイバー攻撃が急増
1年間のインシデントを振り返り、対応が素晴らしかった企業を表彰するイベント「情報セキュリティ事故対応アワード」。今年5回目を迎えた同アワードだが、今回その延長として「インシデントレスポンス(事故対応)」にフォーカスを当てたセミナー「マイナビニュース スペシャルセミナー 事件・事故発生時の対策 スムーズな初動に必要な環境と考え方」が6月25日にWeb開催された。
そのなかでキヤノンマーケティングジャパン株式会社 セキュリティソリューション企画本部 サイバーセキュリティ技術開発センターの西村 亮氏は「多様化時代のインシデントレスポンス」と題して登壇。EDRなどの「対処策」を軸に、いまセキュリティ担当者が考えるべき多様化時代のセキュリティについて解説が行われた。
まず西村氏は、最近のセキュリティ関連の注目事項として、新型コロナウイルス感染拡大を受けて大多数の企業がリモートワークを実施するなか、この状況に便乗したサイバー攻撃が急増している事実をあげた。
「テレワークの増加に伴い、リモートから簡単にアクセスできるサーバーやPCが一気に増えることとなりました。攻撃者もそれを見逃さず、リモート デスクトップ プロトコル(RDP)のパスワードを破ろうとする大規模なブルートフォース攻撃を数多く観察しています。どのような状況下にあってもサイバー攻撃はなくならないので、防御側もあらゆる対策が必要になってきます」と、西村氏は強調した。
そうしたなか、セキュリティ対策にまず求められるのが、侵入されることを前提とした対策である。そもそもサイバー空間では攻撃側が圧倒的に有利であるため、防御策だけですべての攻撃を防ぐことは厳しい。そのため、ビルの防犯にたとえると「建物内」にも監視カメラを張り巡らせておき、怪しい動きがあればあとからでも追跡できるようにしておくことが重要になってくる。
また、守るべき“境界”もワークスタイルの変化を受けて、かつてとは変わってきている。クラウド利用やテレワークの普及により、現在では情報資産が社外にも存在する状態であることから、セキュリティのポイントは境界型からエンドポイントへと変化しているのだ。
「アンチウイルスなどのEPP(Endpoint Protection Platform)による防御策と、EDR(Endpoint Detection and Response)による対処策をシームレスに統合して、より高度なセキュリティ対策をデザインすべき時代となりました。こうした攻撃をより早く特定できるようになれば、被害もより小さくすることができます。つまり、実被害が生じる前に、いかに素早く攻撃を検知して、素早く対応するのか、スムーズなインシデント対応が非常に重要になってきます」(西村氏)
インシデント対応をスムーズに行うための3つのポイント
インシデント対応をスムーズに行うためにできることとして、西村氏は以下の3点をあげた。
1. 初動は可能な限り“反応”で行う
2. 現状の認識・識別能力を確認する
3. トリアージのための“判断基準“を用意する
まず[1]について、状況を判断し考えをまとめたうえで行動する「対応」に対し、事象に対して考える前に行動するのが「反応」となる。
西村氏はこう説明する。「インシデント対応はその名のとおり『対応』ですが、初動では『反応』も必要になってきます。初動では可能な限り反応で行うことが大切で、それには平時の備えが重要です。そのため、ある程度の行動は機械的に実施できるよう平時から備えておき、有事の際の人への負荷を最小限にするようにしたいところです」
続いて[2]の「現状の認識・識別能力を確認する」では、どんな情報があればどういった挙動に気づくことができるのか、セキュリティチームが認識しておくことが鍵となってくる。
「マイクロソフト社が提唱する脅威の分類手法STRIDEを使うのも有効でしょう。情報の“解像度”を上げて攻撃の姿を捉えることが重要であり、正確度の高い情報が増えればインシデントレスポンスは格段にやりやすくなります」と西村氏はコメントした。
[3]の「トリアージのための“判断基準“を用意する」だが、インシデントレスポンスにおけるトリアージとは、客観的な事実を収集したうえで、判断基準にもとづいて行動を決めることを意味する。
「このトリアージのための判断基準の用意は、意外と忘れがちです。EDRさえ導入すればすべてうまくいくというわけには残念ながらいかないのが現状で、どうしても人が介在するポイントが発生してきます。ひとたび問題が起きれば“アラート地獄”となり、どこから対応していくのか判断に迫られることとなるでしょう。そのためインシデント対応計画には、何を基準にして優先的に対応すべき領域を切りわけて、どういった対応をするのか、トリアージのための判断基準を盛り込む必要があります。これがあるとないでは大きく変わってくるので、平時のときこそ判断基準について話し合うようにすべきです。そのうえで、ここであげたインシデント対応をスムーズに行うための3ポイントを実践するにあたり、EDRの導入効果は大きいといえます」(西村氏)
スムーズなインシデント対応を支援するEDR製品のかたち
スムーズかつ適確なインシデント対応に役立つサービス・ツールとして西村氏は、自社で取り扱っているEDR製品であるESET Enterprise Inspector(以下、EEI)を紹介した。EEIは、ESET社の30年以上にわたるエンドポイントセキュリティ対策の知見をもとに開発されたEDR製品であり、エンドポイント内にひそむ脅威の検出、封じ込め、侵害範囲の可視化を行い、迅速なインシデント対応を支援する。
西村氏はこう話した。「EEIの強みのひとつとして、EPPとEDRの統合があります。同一ベンダーだからこそできる未然対策と事後対策のシームレスな統合であり、シンプルな管理で、競合リスクやリソース消費量を抑えて多層防御をさらに強化できます」
またEEIは、サイバー攻撃とその対策のためのフレームワークであるMITRE ATT&CKと連携しており、EEIのアラートから、攻撃に使用されたテクニックの詳細を参照することが可能となっている。
さらにEEIは、ESETのクラウドベースシステムと連携することで、ESET Augur(機械学習エンジン)、ESET LiveGrid(レピュテーション&フィードバック)、それにESET社の研究者の高い知見という、ESET独自の複合技術を活用することができる。
これらESETの3つの柱のうちESET LiveGridは、最新の分析結果をリアルタイムで提供するレピュテーションシステムと、疑わしいサンプルをESET社に送信し詳細な分析にかけるフィードバックシステムの組み合わせであり、世界1億1千万台以上のセンサーから集積されたデータを分析することで、常に最新のデータをもとにしたトリアージを実現する。
「企業ネットワークとESET LiveGridの流行度を軸に、社内とグローバルのギャップを可視化し、ESET LiveGrid上の評判や流行度を確認してトリアージの判断材料として活用できます。セキュリティチームの判断のミスを防ぐだけでなくトリアージ時間の節約にも貢献します」(西村氏)
また、EDRというのは導入すれば終わりではなく、日々の運用監視が重要となってくるが、セキュリティ専任チームを用意するのは困難という企業も多い。そこでキヤノンマーケティングジャパンでは「EDR運用監視サービス」も提供しており、専門のセキュリティエンジニアが24時間365日体制でEEIのアラートを監視・分析を行う。SOCでは、多角的な分析を行い、危険度に応じて通知するとともに、侵害端末の隔離など初動対応も実施し、検出・対応結果を月次レポートして可視化する。
「お客さまのセキュリティ運用負荷を軽減し、専門家による高度なインシデントレスポンス支援を実現することができるサービスとなっています」と、西村氏は話した。
中小企業でもEDRは使えるのか?
西村氏のセッション後には、情報セキュリティ事故対応アワード審査員のなかからpiyokango氏とEGセキュアソリューションズの代表、徳丸 浩氏が質問を行った。
まずpiyokango氏が「EDRを検討している担当者が自組織でスムーズに導入するには、どういったアプローチがいいのか」と質問すると、西村氏は「脅威の把握方法や脅威への対応方針などを決めていくフェーズから入り、そのあとに環境構築からルールの作成、検証、と移って導入というように、標準的なシナリオに沿っていくのがスムーズです」と答えた。
続いてpiyokango氏は「中小規模の企業でもEDRは使えるか」と問いかける。これに対し西村氏は次のように回答した。「EDRはセキュリティに関する知見が必要となる製品なので、ある程度予算を割ける比較的大規模な企業での導入が多いですが、価格もリーズナブルになっているため中小規模の企業でもコストに見合った運用ができます。EDR運用監視サービスの活用が有効ではないでしょうか」
徳丸氏も「セキュリティ人材の乏しい企業も多いが、最低限どの程度の体制が必要となるか」と質問を投げかけた。西村氏は「必ずしもセキュリティチームが必要というわけではなく、専門家によるサービスの活用でもいいのではないでしょうか。ただし、サービスを通じて提供される情報に関して、ビジネス面からの判断ができる人材が重要になっています」とコメントした。
新型コロナウイルスの感染拡大によって働く環境が多様化したいま、大企業はもちろん、中小企業においても気をつけるべきセキュリティのポイントは変化している。今後さらに重要となる事後対策において、インシデント対応をスムーズに行うために、ぜひEEIやEDR運用監視サービスを検討してみてはいかがだろうか。
[PR]提供:キヤノンマーケティングジャパン