名のある企業ばかりではなく、学校や病院までサイバー攻撃を受けるようになってしまった昨今。自社に効果的なセキュリティ対策を施すには、担当者や経営層の理解が不可欠である。もし、セキュリティ人材が社内で確保できないのであれば、外部の力を借りるのも選択肢の1つだ。「セキュリティマネージドサービス」はビジネスの現場をどのように保護してくれるのだろうか。2023年6月に開催されたセミナー「TECH+ セキュリティ - 専門家とベンダーの対話 第12回 運用現場の選択肢」より、ソフォスの講演「地に足の付いたセキュリティマネージドサービスのご紹介」をレポートする。
脅威に対抗する「地に足のついた」セキュリティ対策とは
講師の杉浦氏はまず、セッションタイトルを「地に足の付いた」とした意図を、次のように明かす。
「サイバーセキュリティにおける脅威は急速に進化しており、防衛側は次々と生じる課題に対応しなければなりません。結果として、セキュリティの仕組みが『複雑すぎる』ことになってしまいました。お客様とお話しする中でも、多くの混乱が見られます。そこで今回は、まずはいったん落ち着いていただき、その上で、地に足の付いたシンプルな強化策をご説明して参ります」(杉浦氏)
.jpg)
複雑化するサイバーセキュリティ環境には、多くの課題が生じている。「ツールが多すぎる」こともその一つだ。いくつものポイントソリューション、ソフトウェアスイート、プラットフォームが混在し、運用負担が増大している。「価値判断」も同様だ。いったいセキュリティにはどの程度投資すべきなのか? ビジネス上の価値とリスク管理のバランスを確保することは困難である。
さらに杉浦氏は、セキュリティ対策の検討には一つの「見過ごし」があると続ける。
「昨今の脅威に対して、EDR(Endpoint Detection and Response)の導入を検討されているお客様が増えています。しかし、いったい誰が検知(Detection)し、誰が対応(Response)するのでしょうか? その観点が抜け落ちているように思えます。EDRは言わば『センサー』ですから、EPP(Endpoint Protection Platform)のように導入すれば終わりではなく、人が警告を確認し、対応しなければなりません」(杉浦氏)
アンチウイルスソフトのように、侵入防止に特化した製品をEPPと呼ぶ。一方、自社環境に攻撃が始まらないうちに、被害をどう食い止めるか、異常検知や対応策の提供、侵入経路特定などに役立つ製品がEDRである。EDRが検知した内容について、本当に脅威かどうか判断し、対応するのは人の役目である。EDRを導入したとしても、大量のアラートの中から真の脅威を選別し、対応できる専門的な人材を採用、育成、定着させていく必要がある。
防犯・感染対策から学ぶ、シンプルなセキュリティ強化ステップ
こうした状況において、ソフォスは効果的なセキュリティの強化ステップを、シンプルな3段階で提案する。すなわち、「予防→検知→対応」だ。
.jpg)
「たとえば物理的なオフィスの防犯対策を例に挙げましょう。誰しもが考える手段は『鍵をかける』ことですよね。これがセキュリティの予防段階にあたります。泥棒の侵入を食い止めるのです。そして次は、『監視カメラやセンサーを設置』します。扉をかいくぐってくるような相手を気づくようにするのです。そして、泥棒が入ってしまったら、『セキュリティサービスと契約』して、対処してもらいます。サイバーセキュリティも、これらの概念と同じです」(杉浦氏)
エンドポイント対策により脅威を止めて、EDR機能によりかいくぐる行動に気づき、そしてマネージドサービスにより、対応を委託する。防犯対策と考え方は変わらない。
さらに杉浦氏は、感染対策にもなぞらえて説明を続ける。
.jpg)
「たとえばインフルエンザは、普段からマスク・手洗い・うがいで『予防』していれば、罹ってしまうよりずっと対応が楽ですよね。ちょっと面倒かもしれませんが、40度の熱を出して苦しむよりは良いでしょう。そしてもし、高熱にもかかわらず出社する社員がいたら、すぐに『検知』して、家に帰らせたり、隔離したりといった『対応』が必要です。もし対応が遅れてしまったら、組織に感染者が広がってしまうかもしれません。こうした日常的な概念からサイバーセキュリティを見れば、理解が進むはずです」(杉浦氏)
16,000社が選ぶ、柔軟で網羅的なマネージドセキュリティサービス"Sophos MDR"
Sophosはイギリスに本社を置く、世界的なITセキュリティ会社だ。その製品群は、エンドポイントやネットワーク、モバイルセキュリティと多岐に渡る。さらに最新の脅威や攻撃に対するリサーチも実施しており、レポートを公開している。
そんな同社が提供しているマネージドサービスが、"Sophos MDR"だ。リリースから4年が経ち、既に全世界で16,000社が利用している。Sophos MDRの大きな特徴は柔軟性であると杉浦氏は言う。顧客のIT環境、ニーズ、ビジネスに応じて、さまざまな形態で導入可能なのだ。
「このサービスを契約するに当たって、たとえばEPPやファイアウォールをソフォス製品にしてください、といった縛りはありません。他社ツールを使っている中でも導入することができます。ユーザー数のしばりもなく、1ライセンスからご購入可能です。そして、『セキュリティ人材がいないので対応までしてほしい』『運用体制は整っているので、分析情報だけ欲しい』といった、各社のステージに合わせたサービスをご提供しています」(杉浦氏)
同サービスには企業のステージに応じていくつかのプランが用意されている。被害が生じてしまった場合の全体的な影響範囲の確認と完全除去、根絶、修復までのすべてを任せ、さらに、インシデント対応費用を最大100万ドルまで補償するのがSophos MDR Completeだ。
一方、端末やサーバーで起こった脅威の封じ込めと除去といった、監視対応までをおこなうのがSophos MDRである。また、自社のセキュリティ体制が既に整っている場合には、真の脅威に関する情報提供のみを実施するように対処モードを選択することもできる。
こうしたSophos MDRの柔軟性は、”網羅性”をもたらす。他社のファイアウォールやネットワーク監視ソリューションとも連携し、アラート情報を集約可能なので、オフィス系の端末だけでなく、基幹系のサーバーや、工場のPLC、IoT機器までをカバーし、全体を守ることができるのだ。マネージドサービスとして、対象範囲が限定されていない。
さらにSophos MDRは各種端末、サーバー、メール、ファイアウォールなどの情報を集約し、アラートを”コンテキスト化”していく。生データを反射的に判別するのではなく、関連付けをして、意味ある情報に解釈した上で、脅威判定のデータとして蓄積していく。
.jpg)
「ソフォスの考えは『最前線で脅威を防ぐ』ことにあります。入り口で止めてしまえば、ぐっと安全になりますし、残りが少なくなればなるほど、集中して対応できるようになります。ほとんどの脅威を防いだ上で、残った脅威の平均検出時間は1分です。その脅威に関する平均調査時間は25分、平均対応時間は12分と、AIと人が迅速に動くことによって、ごく短い時間で最終的な除去ができています」(杉浦氏)
エキスパートとの対話で見えてきた、企業とセキュリティの未来像
セミナーの終了後には、専門家との質疑応答がおこなわれた。
piyokango氏:セキュリティソリューションを開発・提供されている会社さんが、『他社製品を使っていてもOK』というかたちでマネージドサービスを提供されているのは実に興味深いです。実際にソフォスが提供されているEPPを使う場合との違いや、差別化ポイントなどはありますか?
辻伸弘氏:サービスの柔軟性に感心しました。具体的なインシデント対応の流れはどのようになっていますか?
Sophos MDRのように手厚い「セキュリティマネージドサービス」は、セキュリティ人材悩む現場にとって、脅威から身を守るための大きな選択肢となっていくことだろう。
[PR]提供:ソフォス
