テレワークやクラウドサービスの普及によりネットワーク環境が多様化するなか、ゼロトラストが注目されている。ゼロトラストはメリットも多い一方、セキュリティ対策コストが膨らんでしまうのも事実だ。限られたセキュリティ予算のなかで高いセキュリティレベルを維持するためには、従来型の境界防御に対するコストの低減や運用の効率化についても考えていく必要がある。株式会社ラックが9月13日に開催したオンラインセミナー「ゼロトラスト時代における境界防御の費用対効果~ セキュリティ対策コストが増大する中でのコスト低減・効率化 ~」では、費用対効果を高める施策について、有識者が解説した。

実際のインシデントからみる、最新の脅威動向

ラックのセキュリティ監視・運用サービスの拠点であるJSOC(Japan Security Operation Center)では、セキュリティインシデントの可能性があり、何らかの対処が必要と考えられる場合、顧客に対して連絡を行っている。この件数について詳細に見てみると、2022年3月にはEmotetの影響で急激に増えていることがわかる。また、2021年11月にはCMSの脆弱性、同年12月にはログ管理基盤であるApache Log4jの脆弱性をついた攻撃によるインシデントが多く発生していた。

  • 西部氏

    株式会社ラック
    JSOC分析部 MSSアナリシスグループ
    西部 修明

株式会社ラック JSOC分析部 MSSアナリシスグループ 西部 修明 氏は、「Emotetに関しては、2022年6月以降大規模な被害は観測されていないが、テイクダウンの報道はされていない。注意すべきマルウェアは他にもあるため、引き続き警戒していただきたい」と呼びかける。

西部氏によると、インシデント全体としては内部からの不正通信が多いが、内部でマルウェアが感染拡大している、Webサイトが改ざんされた、バックドアを設置されたといった、緊急度の高いインシデント連絡の大半は、外部からの通信に起因しているものだという。

特に近年では、わかりやすいUIや侵害を簡単に行えるようにする機能などを搭載した侵害用のツールが普及しており、攻撃者と一口でいっても、侵害ツールを活用して攻撃をする者、侵害ツール自体の開発者、乗っ取ったWebサイトを販売する者など多くの役割があり、分業制で攻撃が行われる傾向にある。

「日々新たな攻撃が観測されているなか、明日には自社が攻撃対象になっていてもおかしくない状況にある。継続的な監視運用で、外部からの攻撃の発見に対処していただきたい」(西部氏)

多様な環境、高度化する脅威に対応する統合セキュリティプラットフォーム

  • 根塚氏

    フォーティネットジャパン合同会社
    エンタープライズビジネス本部 第一技術部
    根塚 千裕

テレワークの普及、ハイブリット構成の導入など、IT環境が大きく変化するなか、フォーティネットジャパン合同会社 エンタープライズビジネス本部 第一技術部 根塚 千裕 氏は、「1つのベンダーが提供する統合されたプラットフォームを利用することで、より効果的に運用管理を行うことが可能となる」と説明する。

フォーティネットでは、幅広い製品の連携によりネットワークとセキュリティを統合する「セキュリティファブリック」という概念を提唱している。次世代ファイアウォール(NGFW)「FortiGate」は、ファイアウォール機能のほか、VPN、アプリケーションコントロール、IPS、Webフィルタリング、アンチウイルスなどの機能を有しており、一台で多層防御を実現することができる。これにより、単一のUIで統合的な運用が可能になるだけでなく、構成エラーの低減や人的リソースの削減にもつながる。

フォーティネットのFortiGuard Labsでは、日々の分析から蓄積した脅威インテリジェンスを、IPSやアンチウイルス、Webフィルター、アプリケーションコントロールなどのシグネチャやデータベースなどとして、FortiGateへ配信している。同ラボについて、根塚氏は「ゼロデイ脆弱性の専門チームやストラテジストを多数抱えているので、アプリケーションベンダーに先駆けて迅速に脆弱性を検知できる」と説明する。

さらにFortiGateではSD-WAN機能も実装しており、セキュアSD-WANとして従来のNGFW機能も含めたワンボックスで実現している。セキュアSD-WANの構成例として、根塚氏は次のようなケースを紹介する。

「データセンターなどには専用線、IPSecを利用、クラウドサービスへの通信は、データセンターを経由せずに直接インターネットへローカルブレイクアウトすることができる。拠点側でローカルブレイクアウトすることで、本社やデータセンター側のトラフィックの処理負荷を大幅に低減可能。拠点側のFortiGateでNGFW機能を利用することでセキュアSD-WANを実施できるため、より安全・快適に拠点からのインターネット接続を実現できる」(根塚氏)

運用の効率化をはかるソリューションとして、すべての拠点のFortiGateの設定ログ管理・可視化が可能となる「FortiManager」「FortiAnalyzer」もある。根塚氏は「フォーティネットでは、さまざまな環境に合わせたソリューションを提供している。各ソリューションについては、ウェビナーなどで詳しく解説しているのでご覧いただきたい」と呼びかけた。

効果的なセキュリティ相関分析を行うには

収集したログ・アラートの正規化を行ったうえで、相関関係を活用した分析を行い、異常や脅威を発見するセキュリティ相関分析。単体のセキュリティ製品だけでは検知・対応しづらい脅威が増えているなか、組織的な対抗策として普及してきた。

  • 小笠原氏

    株式会社ラック
    サイバー・グリッド・ジャパン
    次世代セキュリティ技術研究所 所長
    小笠原 恒雄

株式会社ラック サイバー・グリッド・ジャパン 次世代セキュリティ技術研究所 所長 小笠原 恒雄 氏は、費用対効果を高めるセキュリティ相関分析のポイントを2つあげる。まず、環境面においては、内容、項目、期間、種類などの取り込むデータ量を削減すること。脅威対応、リスク評価の観点から必要かどうかも考える必要がある。また、運用面では、ログの統合分析環境としてSIEM、インシデントレスポンス自動化や連携のためのSOAR、脅威判定の自動化を行うXDRと、技術が進化して高機能になっていくなか、いかに低コストで実現するかが今後の鍵となる。

そして、効果的なセキュリティ相関分析を実現するためには、「自動化」と「サイバー脅威インテリジェンス」がキーワードとなる。「脅威を見つける・見つけたあとの仕組みを考える際に、自動化が必要。脅威情報は、管理だけでなく、情報共有や連携が円滑に図れる環境まで考えることも大事」と小笠原氏。そのための方法として、MISP(Malware Information Sharing Platform)の活用を提案する。

MISPは、無料の脅威情報共有プラットフォームであり、小笠原氏は「脅威情報を管理するデータベースと考えると良い。データの分析機能、外部の脅威情報の取得機能などもある。データ管理+αの環境が整備できるもの」と説明する。

分析環境がすでにある組織の場合は、重要なインシデントや情報はMISPで管理、既存の分析環境はログを取り込んで詳細分析や複雑な分析を行うといった形で役割分担をすること、分析環境を持っていない組織は、Syslog形式のFortiGateログをMISPに蓄積するプログラムを活用することで、MISPを利用したデータの管理活用が行いやすくなるという。

ラックの次世代セキュリティ技術研究所では、FortiGate製品で検知したアラートログをMISPに簡単に取り込めるようなプログラムを開発しており、後日GitHubなどに公開される予定となっている。また、同研究所では、MISPを活用した「SecureGRIDアライアンス」の取り組みを進めている。これは、蓄積したMISPを連携することで脅威情報の共有を実現し、参加組織全体のセキュリティレベルを高めようとするもので、小笠原氏は「こうした取り組みも活用し、自組織のセキュリティ対策向上につとめていただきたい」と呼びかけた。

限られたリソースにおける効果的なセキュリティ監視ソリューション

  • 賀川氏

    株式会社ラック
    セキュリティオペレーション統括部
    JSOC 企画部 部長
    賀川 亮

JSOCの顧客アンケートによると、セキュリティソリューション運用における課題として、社内の専門家・技術者不足や、各システムのログ対応が大量となることによる管理・運用負担の大きさなどが浮き彫りになっている。株式会社ラック セキュリティオペレーション統括部 JSOC 企画部 部長 賀川 亮氏は、「ログを判別し、対応すべきものは何かを判断することも大変であることに加え、そもそも専門家を雇用・育成する余裕がなく、不正通信を検知しても対応方法がわからないという状況が伺える」と考察する。

こうした課題を解決するのが、JSOCのマネージド・セキュリティ・サービス(MSS)である。JSOC MSSでは、総勢100名以上のアナリスト・エンジニアが、24時間365日Q&A対応サポートを提供しており、インシデントや流行の脅威情報について、いつでも問い合わせすることができる。また、ログの分析結果からアナリストが攻撃の影響度を判定し、本当に問題があるイベントのみが顧客に対して通知されるようになっている。

具体的には、JSOCの監視システム「LAC Falcon」にあがってきた多数のアラートに対し、機械学習などをもとにフィルターをかける形で、インシデントへと集約。人の目で確認しなければならないものに対しては、アナリストが診断・分析を行う。この結果を、顧客への影響の大きさに応じて4段階に分ける。重要度が、Emergency(緊急事態)、Critical(攻撃成功の可能性が高いと判断されるもの)については、重要インシデントと判断し、電話による緊急連絡が実施される。Warning(経過観察が必要)、Informational(攻撃ではないと判断されるもの)に関しては、直接の実害がないインシデントとしてポータルへ情報が掲載される。

「IDS/IPS監視は、人の目で見なければ対応できない部分もある。JSOCのアナリストが技術やスキルを活かして対応するため、被害を最小限に抑えつつ、お客様には本当に重要なインシデントのみをピンポイントで通知する形となる」(賀川氏)

JSOC MSSは、FortiGateシリーズのファイアウォール監視サービスにも対応している。同サービスでは、FortiGateから提供される検知防御のルールに加え、ラック独自で収集した脅威情報をもとに開発されたJSIGを用いることで、製品標準の機能では発見できない脅威にも対応することが可能となっている。さらに、日本国内特有の脅威情報を収集したJLISTを製品にオプションとして追加することで、日本企業をターゲットとした標的型攻撃などへの対応策としても効果的に活用することができる。JLISTは遮断用のIPアドレス/ドメイン/ハッシュ情報として提供される。

なお、JSOC MSSは、SD-WANを含めたFortiGate製品を複数台利用している場合、ボリュームディスカウントを適用することができる。「1台あたりの監視料金×台数」の価格が10%-30%程度安くなるため、費用対効果を考えるうえでもメリットが大きいサービスであるといえる。



【関連情報】 ■本記事のセミナーアーカイブ動画
https://www.youtube.com/watch?v=cxsRqCgP1kM

■株式会社ラック
(サービスに関するご質問・お問合せは、各ページ内「お問合せ」よりお願い致します。)
FortiGate 運用・監視サービス:https://www.lac.co.jp/solution_product/fortigate.html
脅威情報提供サービス「JLIST」:https://www.lac.co.jp/solution_product/jlist.html


■フォーティネットジャパン合同会社
イベント・セミナー: https://www.fortinet.com/jp/corporate/about-us/events
オンデマンドウェビナー:https://www.fortinet.com/jp/corporate/about-us/events/webinars


[PR]提供:株式会社ラック / フォーティネットジャパン合同会社