2020年9月15日にWebセミナー「マイナビニュース スペシャルセミナー 事件・事項発生の対策 スムーズな初動に必要な環境と考え方」が開催され、数々のセッションとパネルディスカッションで、インシデントレスポンスの基本的な考え方や、普段の準備の内容、有効な製品・サービスなどについて解説された。

デジタルテクノロジーの進化はビジネスや生活に大きなメリットを与えた反面、サイバー攻撃の増加や情報セキュリティ事故の増加といった問題となっている。マクニカネットワークスのセッションでは「マクニカ独自調査に基づくセキュリティ運用のベストプラクティス」と題して、マクニカネットワークス株式会社 第2営業統括部第4営業部第3課の阪田 陽樹氏が登壇した。

増大する一方にあるセキュリティ担当者の負荷

マクニカネットワークス株式会社 第2営業統括部第4営業部第3課 阪田 陽樹氏

マクニカネットワークス株式会社
第2営業統括部第4営業部第3課
阪田 陽樹氏

ますますサイバー攻撃が高度化・多様化するなか、そうした脅威の高まりに対応しなければならないセキュリティ運用現場の負担は増加する傾向が続いており、日々自社に最適な運用手法を模索している状況にある。そうした背景を受けて阪田氏のセッションでは、マクニカネットワークスの独自調査より得られたセキュリティ運用における課題をもとに、SIEM(Security Information and Event Management)とSOAR(Security Orchestration, Automation and Response)を活用した検知から対処までの一連の運用フローについて解説がなされた。

開口一番、阪田氏は「皆さん、自社のセキュリティ運用に何かしらの課題を感じていたり、課題に対して何かしらの対策を、と考えているのではないでしょうか。今回は当社の独自調査に基づくセキュリティ運用のベストプラクティスを紹介したいです」と語った。

最近、同社の顧客からよく寄せられる声からも、そして今回の調査結果からも、多くの企業の間でセキュリティ人材の不足が深刻化していることが伺える。しかし今後IT人材が不足していくその一方で、逆にセキュリティ業務は増えていくと予想されており、何らかの対策が急がれる状況となっている。

また、攻撃の高度化に伴い、導入・運用するセキュリティ製品が多様化していることを課題とするスコアも高かった。セキュリティ製品が増えることが運用管理者の負荷となるうえ、セキュリティ製品の特性の変化もまた運用負荷につながっていると予想される。

  • 攻撃の高度化とセキュリティ製品の多様化

「次世代ファイアウォールやサンドボックス、WAFなどのような従来のシステム型のセキュリティ製品から、SIEM、EDR、脅威インテリジェンスなどの検知結果を元にどうやって対策を考えていくか、継続的なプロセスが必要となるシステム型のセキュリティ製品へという流れが強まっています。そしてプロセス型のセキュリティ製品を採用することでも、運用負荷の増加につながっていると見られます」(阪田氏)

さらに、コロナ禍のリモートワークの急速な普及によりクラウド移行が加速していることも、セキュリティ担当者にとっては守るべき範囲の拡大につながり、負荷増大を招いているのである。

  • 多様化する働き方とセキュリティ担当者の葛藤

セキュリティ運用の変革が急務に

では、企業・組織のセキュリティ体制に関するこれらの課題に対して、どのような方法で解消していけばいいのだろうか。

阪田氏は「ここで重要になるのが、セキュリティ運用の在り方の変革です。まず、セキュリティ人材の不足という課題に対しては、『自動化』のアプローチが有効になりますし。高度化する攻撃への対処には『脅威インテリジェンスの活用』、セキュリティ製品の増加に対しては『システム横断的な運用監視』、そして多様化する働き方に伴うクラウド活用の増加については『クラウド環境の運用監視』といったように、これまでのセキュリティ運用にはなかった新たな4つの対策を施すことで、セキュリティ運用の効率化とセキュリティの向上を同時に実現できます」と話した。

  • セキュリティ運用の在り方の変革

4つの対策のうちシステム横断的な運用監視では、初期侵入、横展開、目的実行と網羅的にシステムを常時監視し、不正な通信や怪しい挙動を見つけてくれるようになる。また、クラウド環境の運用監視は、IaaSもSaaSも常時監視し、不正なログインや利用状況を見つけてくれるというものだ。脅威インテリジェンスを活用すれば、アラートに関連する攻撃者情報を使って効率的にインシデントレスポンスを行うことができるようになり、そして運用の自動化によって、アラートをトリガーにして、予め決められたルールの通りに迅速に初動調査・対応を実施してくれるのである。

阪田氏は「セキュリティ運用が自動化されることによって、IT担当者は人にしかできないより生産性の高い業務に注力できるようになるでしょう」とコメントした。

セキュリティ運用の自動化を実現するソリューションとしてSOARに注目が集まっているが、阪田氏は「効果的な運用の自動化を実現するために、やらなければならないことが3つある」と強調して、以下の3つの行うべきことを示した。

  1. セキュリティ運用設計
  2. 自動化ポリシー・判断基準の設計、プレイブックの設計
  3. 技術的な環境準備:連携する製品などの決定と仕様確認

これらを踏まえた上で、前述した4つの対策を実施しセキュリティ運用の自動化を支援するソリューションとして阪田氏は、マクニカネットワークスが提供する「FireEye Helix」を紹介した。

4つの対策を実現する「FireEye Helix」

ここでもう1度、セキュリティ運用の変革のための新たな4つの対策を振り返ってみよう。

  1. システム横断的な運用監視
  2. クラウド環境の運用監視
  3. 脅威インテリジェンスの活用
  4. 運用の自動化

そしてFireEye Helixは「SIEM」、「Security Orchestrator」、「Cloud Security」という3つの機能によって、これら4つの対策を実現するのである。

  • 実施していきたいセキュリティ運用

まず、SIEM機能により、システム横断的な運用監視と脅威インテリジェンスの活用を可能となる。次にCloud Security機能がクラウド環境の運用監視を、そしてSecurity Orchestratorが運用の自動化を実現するのである。

  • FireEye Helixの提供する3つの機能

クラウド環境の運用監視について阪田氏はこう話す。「FireEye Helixは、クラウド型SIEM製品であるため、非常にシンプルにクラウドのログの取り込みが可能となっており、AWSやOffice365の運用監視にも効果を発揮する。クラウド環境ならではの攻撃に対応したデフォルトルールを標準装備しているので、容易かつ迅速に適用することが可能となっています」

ここで阪田氏は、FireEye Helixによって実現するセキュリティ運用の全体像を、対策ごとのシナリオや、FireEye Helixの運用管理画面などを交えて解説した後に、次のように語りかけセッションを締めくくった。

「これら4つの対策を単一のプラットフォームで実現できるのがFireEye Helixです。自動化等によってセキュリティ運用を効率化するのみならず、セキュリティ強化も同時に実現できる点に着目していただきたいです。セキュリティ運用を自社で手掛けることに不安を感じているのであれば、パートナーと協力してHelix運用監視サービスも用意しています。自社で運用するにせよ外部に委託するにせよ、自社にとって最適なセキュリティ運用体制度つくっていくことが重要なのではないでしょうか」

  • 全体像

最新のトレンドを網羅したFireEye Helix

マクニカマクニカネットワークス 第1技術統括部第1技術部 部長 根塚 昭憲氏

マクニカネットワークス株式会社
マクニカマクニカネットワークス
第1技術統括部第1技術部
部長 根塚 昭憲氏

また、本セッション後の質疑応答には、マクニカマクニカネットワークス 第1技術統括部第1技術部の部長、根塚 昭憲氏も登壇し、情報セキュリティ事故対応アワード審査員からの質問への回答を行った。

審査員の1人であるNTTコム ソリューションズ株式会社 マネジメントソリューション本部 セキュリティソリューション部の北河 拓士 氏は「既にSIEMを導入済の場合は、FireEye Helixを導入することでその既存のSIEMを置き換えられるのでしょうか」と質問すると、根塚氏は「置き換えることも、全体的なSIEMの機能とも連携することができるため、既存のSIEMを使ってFireEye Helixを活用する、といったことも可能です」と回答した。

NTTコム ソリューションズ株式会社 マネジメントソリューション本部 セキュリティソリューション部 北河 拓士 氏

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部
北河 拓士氏

SBテクノロジー株式会社 プリンシパルセキュリティリサーチャーの辻 伸弘氏は次のような質問をした。「自分自身もさまざまなセキュリティベンダーなどのレポートやドキュメントなど、脅威インテリジェンスの情報に日々触れていますが、どうしても偏りが目立つ印象があります。特に日本独自の情報に弱い印象を受けており、日本独自の事情が脅威インテリジェンスにどれぐらい加味されているのかを知りたいです」

SBテクノロジー株式会社  プリンシパルセキュリティリサーチャー  辻 伸弘氏

SBテクノロジー株式会社
プリンシパルセキュリティ
リサーチャー
辻 伸弘氏

この質問に対し根塚氏は「そこは課題として認識しています。日本やアジア圏を狙った攻撃であっても、そこを加味しなければ全体の中で”one of them”になってしまうためです。そして日本にも専門家がいるのもFireEyeの強みであるので、今後は日本に特化した攻撃にも対応していけると考えております」

脅威インテリジェンスと結びついたセキュリティ運用の自動化という最新のトレンドを網羅したFireEye Helixは、まさにセキュリティ運用に変革をもたらすかもしれない。

■セキュリティ運用の自動化について、他にも動画やホワイトペーパーなどお役立ちコンテンツを掲載しております!
⇒詳しくはこちら:https://www.macnica.net/fireeye/solution_03.html/

■セキュリティ運用個別相談開催中!
⇒お申し込みはこちら:https://www.macnica.net/fireeye/seminar_28.html/

[PR]提供:マクニカネットワークス