サイバーセキュリティソリューションを提供する米Rapid7の日本法人であるラピッドセブン・ジャパンは6月8日、オンラインで記者説明化を開き、脅威の検知から対応までをアウトソーシングできる「Rapid7 MDR」を日本市場向けに提供開始すると発表した。

  • 「「Rapid7 MDR」の概要

    「Rapid7 MDR」の概要

Rapdi7 MDRは、UBA(ユーザ行動分析)、ABA(攻撃者行動分析)、NTA(ネットワーク通信分析)、EDRを中心にログソースを総合的に用いて、ユーザー環境内のセキュリティインシデントを迅速かつ多面的に検知し、対応につながる具体的な支援を提供する運用サービス。統合型SIEMのInsightIDRを基盤に使用しており、日本語での提供を開始した。

  • 「「Rapid7 MDR」の特徴

    「Rapid7 MDR」の特徴

冒頭、ラピッドセブン・ジャパン 代表執行役社長の森下恭介氏は「われわれのプラットフォーム『Rapid7 Insight Cloud』を通じて『可視化』『分析』『自動化』の3つの観点から企業・組織のセキュリティ運用を支援している」と強調した。

現在、日本国内では主に脆弱性管理ソリューション「InsightVM」、動的アプリケーションテストソリューション「InsightAppSec」、侵入テストソリューション「Metasploit Pro」、サイバーセキュリティのSOC/CSIRT業務のアウトソーシングサービス「Rapdi7 MDR」、UBA/ABA/NTA搭載の統合型SIEM(Security Information and Event Management)ソリューション「InsightIDR」、SOAR(Security Orchestration, Automation and Response)ソリューション「InsightConnect」を提供している。

昨今におけるインシデントとセキュリティ侵害状況・手口に関して森下氏は「IBMの調査によると、攻撃者の主要な初期侵入方法はフィッシングが31%、脆弱性の悪用スキャンが30%、認証情報の悪用が29%となっており、システムまたは人の脆弱性を突く脅威が圧倒的に多い」と指摘。

人やシステムの脆弱性を踏まえ、サーバや資産のアクセス権制御の徹底や、PC端末内の挙動をEDRで制御するなど正しい施策ではあるものの、それぞれ単体の対策では論理的な限界が存在することから、脅威を前提とした対策の必要性を同氏は説いている。

森下氏は「これまで日本企業の投資は『防御』に対して重点的に行っていたが、これからは『検知』『対応』『復旧』が強化すべき対策のフェーズだ」と力を込める。同氏によると、検知は特定のプロセスに則てセキュリティの継続的なモニタリングを行うが、「定点的なログ」「実行される行為で発するアラート」「通信内容を面で見るログ」の3分類をモニタリングするべきだという。

特に、通信内容を面で見るログについては、使用機器にかかわらずユーザーの動きや機器間通信を追い、ユーザーの認証状況、アクセス先の確認、通信内容を分析して異常の有無を確認するUBA、ABA、NTAなど、認証情報が漏えいしている可能性がある現代では「面」でみることが重要になるとしている。

そのため、新サービスはSOCアナリストが24時間365日リアルタイムに検知されたインシデントを分析・対応するほか、専属のカスタマーアドバイザー(CA)をアサインすることで月次で報告会を開催し、サービス・ハンティングレポートを行う。

また、検知内容を精査し、危険な攻撃のみを通知することに加え、侵入拡大が疑われる脅威の封じ込め、侵害の拡大がある場合はリモートによる支援を提供し、サービス開始時と契約期間中の脅威ハンティングによりプロアクティブに脅威を検出するという。今後、同社では2021年12月までに20社程度への導入を目指す考えだ。価格は3000アセットで年間4500万円(初期導入作業、トレーニング費用は別)。

  • 「Rapid7 MDR」のサービス内容

    「Rapid7 MDR」のサービス内容