巧妙化・複雑化したサイバー攻撃は、業種や規模を問わずあらゆる企業・組織をターゲットとしている。ニュースで報じられている事例は氷山の一角に過ぎず、実際にはより多くの企業がランサムウェアに感染し、関連企業も含め、業務停止や機密情報の流出など企業の存続に関わる被害に遭っていると考えられている。
前後編で、サイバーインシデントに関する最新動向と「感染を未然に防ぐ」+「万が一感染した際の被害を最小化する」ために必要なセキュリティ対策を紐解いていく本企画。後編となる今回は、巧妙化したサイバー攻撃の防御策として注目されているSOC(Security Operation Center)サービスの概要と種類、選定する際にチェックすべきポイントを解説。年間5万件以上、累積で58万件以上のサイバーインシデント対応実績を有するデジタルデータソリューションの専門家に話を聞いた。
-
左から デジタルデータソリューション株式会社 フォレンジクス事業部 法人セールスグループ長 馬渡 邦明氏
同社 サイバーセキュリティソリューション事業部長 下里 和可奈氏
巧妙化したサイバー攻撃への対応策は「多層防御+有人監視」
ランサムウェアをはじめ、企業を狙う金銭目的のサイバー攻撃は増加の一途を辿っており、その対抗手段となるセキュリティ対策製品も多様化を続けている。侵入・感染を防ぐ入口対策、社内のPC・サーバでの不審な挙動を検知・対応する内部対策、情報漏えいを防ぐ出口対策など、多種多様な製品が市場に投入されている。
これらの製品を組み合わせた多層防御が、現代のセキュリティ対策における基本となるが、単に複数の製品を導入するだけでは、巧妙化した攻撃への対策として十分とはいえない。どれだけ高度なセキュリティ製品であっても、すべての脅威を防ぐことは不可能で、侵入・感染をすばやく検知し、迅速かつ適切に対処するための仕組みが必要となる。そこで注目されているのが、多層防御を前提に、人による監視でセキュリティ製品の穴を突いた攻撃まで検知できるSOCサービスだ。
ランサムウェアの感染を防ぐ、もしくは感染してしまった際の被害を最小化するための手段として、SOCサービスは極めて有効な一手となるのは前編で解説したとおり。ただし、一口にSOCといっても、大きく分けて「SIEM SOC」「UTM SOC」「EDR SOC」と様々な種類があり、それぞれ監視対象や機能が異なる。
「EDR SOC」はPCやサーバなどのエンドポイント監視に特化し、「UTM SOC」はネットワークの境界監視に特化している。一方、「SIEM SOC」は、エンドポイント、サーバ、ネットワーク、クラウドなど、企業のあらゆる領域のログを収集・監視し、IP、地理情報、ユーザー情報などを組み合わせた相関分析により、高度な攻撃を検知できる。デジタルデータソリューション サイバーセキュリティソリューション事業部長の下里 和可奈氏は、SOCサービスの導入を検討するにあたっては、自社の環境を俯瞰し、どこが一番のリスクになっているのかを把握することが重要と話す。
-
デジタルデータソリューション株式会社 サイバーセキュリティソリューション事業部長 下里 和可奈氏
「企業によって、どのようなシステム・セキュリティ製品を利用しているか、業務プロセスのなかでどのようなリスクを懸念しているかといった状況はまったく異なります。たとえば製造業では生産ラインや受発注システムが止まってしまうことが経営リスクとなりますし、保険・ヘルスケア領域ならば、個人情報の漏えいがビジネス上の信頼問題に関わるリスクになり得ます。このため、「なぜ監視するのか」「どこを監視するのか」を整理したうえで、SOCサービスの選定を進めていく必要があります。自社の事業とセキュリティ対策がしっかりと結び付いていることで、セキュリティ投資の最適化が図れると考えています」(下里氏)
多様なセキュリティ製品を統合監視できるSOCサービスの選定基準とは
企業の置かれた状況によって異なるものの、あらゆる手段で企業内のシステムへの侵入を図ってくるサイバー攻撃に対処するためには、多様なセキュリティ製品を統合監視できるSIEM SOCが有効な選択肢となる。デジタルデータソリューションでは、SOCサービス、及びサービスベンダーの選定基準として、次の6つを挙げる。
「昨今のサイバー攻撃は、VPNの脆弱性を突いたり、マルウェアを添付したメールで情報を搾取したりと、企業内のシステムに対してあらゆる手段で侵入を試みてきます。 端末・ネットワーク・クラウドなど幅広い監視対象に対応するSIEM SOCを導入することで、VPNやPC・サーバ、クラウドといった狙われやすいポイントもしっかりと守れます」と下里氏は語り、侵入しようとしている攻撃を検知して未然に防ぐのはもちろん、社内ネットワークに侵入された場合も内部での不正な動きを検知して被害を最小化できると、SIEM SOCの優位性を説明。さらに有人監視体制の重要性について言及する。
「SOCという名前がついていても、実際は他のセキュリティ製品のオプションとして提供されるマネージドサービスという場合もあります。安価に導入できるメリットはあるものの、こうした付帯サービスでは、製品が検知した一定レベル以上のアラートを抜粋して、そのまま顧客担当者にメールで通知するだけというケースも少なくありません。導入企業側が通知内容を読み解けなければ対応が遅れ、検知はしているのに感染してしまうという状況に陥ります。
一度サイバー攻撃被害が発生すると、操業停止による損失に加え、被害範囲や情報漏えいの調査などに、数百万円から数千万円単位の費用がかかります。ですから、セキュリティ対策の選定は費用だけで決めるのではなく、自社にとって有効な対策を選ぶ必要があります。少しコストをかけてでも、高い技術力と豊富な経験を持つエンジニアによる有人監視を行うSIEM SOCを選ぶことが、リスク軽減につながります」(下里氏)
同社 フォレンジクス事業部 法人セールスグループ長として、数多くのインシデント対応に携わってきた馬渡 邦明氏も、迅速な検知だけでなく通知対応も考慮してSOCサービスを選ぶことが重要と、実際に起きた事例をもとに説明する。
-
デジタルデータソリューション株式会社 フォレンジクス事業部 法人セールスグループ長 馬渡 邦明氏
「つい先日も、ランサムウェアの被害に遭ったお客様から、至急対応してほしいというフォレンジック調査の相談がありました。このお客様もセキュリティベンダーのUTMマネージドサービスに加入されていました。ベンダーからのアラート通知は30日前に届いていたものの、それが具体的に何を意味していて、どのようなアクションを取るべきかが書かれておらず、その結果対応が遅れ感染を防ぐことができませんでした。これはベンダーの品質や通知対応を過信してしまったために被害に遭った事例といえます」(馬渡氏)
馬渡氏は、どこまでがサービス内容に含まれているのかといった契約形態を確認しておくことがSOCサービス選定のポイントとし、さらに感染後のインシデント対応までをカバーできるサービスであれば被害を最小化できると話を展開。これらの要件を兼ね備えたサービスとして、同社のSOCサービス「D-SOC」を挙げた。
世界トップクラスのSIEMシステムと経験豊富なアナリストの相乗効果で高品質な監視を実現する「D-SOC」
デジタルデータソリューションが提供する「D-SOC」は、前述した6つの選定基準を満たしたSIEM SOCサービスだ。世界トップクラスのSIEMシステムとしてグローバルな評価を得ているIBM社の「IBM Security® QRadar® SIEM」を採用しており、端末・社内ネットワーク・クラウド・SaaSなど、サイバー攻撃のターゲットとなるすべての領域のログを収集・分析。さらに豊富な実績と経験を持つ同社のエンジニアが24時間365日の体制で監視し、システム×人(アナリスト)の相乗効果で、高い監視品質と迅速な検知・通知対応を実現する。
-
SOCラボの様子
「SIEM SOCサービスの立ち上げにあたって複数のSIEMシステムを検証し、もっとも信頼性が高いと判断した『IBM Security® QRadar® SIEM』を採用しました。グローバルで活用されているシステムのため、PC・サーバーといった端末からクラウドやSaaSまで、あらゆるセキュリティ製品のログを収集して統合管理できます。数百種類以上の検知ルールと、IBM社が持つ最新の脅威情報をAIが分析することで、サイバー攻撃の兆候を素早く見つけ出します。さらにD-SOCでは、システムで検知した挙動を経験豊富なアナリストが分析してお客様に通知します。脅威度を判断して、緊急性の高いものは電話で直接通知させていただくこともあります。システムと有人監視を組み合わせることで、迅速な検知と、お客様が理解しやすい通知対応を実現しています」(下里氏)
D-SOCでは、検知から通知まで30分以内に対応することで感染リスクの軽減に寄与するが、スピードだけでなく、通知のわかりやすさを重視していることが大きな特徴と下里氏。「単にアラートを羅列するのではなく、怪しい挙動が『どこで』『どのように』出ているかを、そこから導き出せるリスクや、推奨する対処方法と合わせて説明するように心がけています」と同サービスの優位性に言及する。
また、脅威の検知のみならず、万が一感染した際のインシデント対応、及びデータ復旧までシームレスに対応できることも、サイバーセキュリティ事業・フォレンジクス事業・データリカバリー事業を展開し、年間5万件以上のデータインシデント対応を行っている同社が手がけるサービスならではの特徴といえる。
同社ではSOCアナリストとフォレンジックエンジニア、リカバリーエンジニアが同じ環境で業務に従事しており、フォレンジック経験を持つアナリストも多数在籍。3つのチームを合わせた100人前後の体制で、監視・初動対応・インシデント対応を一気通貫でサポートする。
「他のSOCサービスでは、初動対応やインシデント対応は別会社に依頼するケースが多く、感染時の対応に遅れが生じることも少なくありません。さらに、多くのSOCはマルウェアの検知で終わり、その後の解析やログ分析、フォレンジック調査は対応範囲外というケースがほとんどです。
弊社の場合は一社ですべて対応できるため、マルウェアの検知だけでなく、必要に応じて解析やログ分析、さらにはフォレンジック調査まで実施し、被害の全容把握と適切な対処を迅速に行えます。これにより、対応完了までの時間を短縮できるだけでなく、お客様側の担当者にかかる負担も軽減できます。
実際にD-SOCを導入いただいたお客様の事例では、マルウェアを検知後、すぐに解析を行った結果、情報窃取を目的とした『インフォスティーラー』という攻撃手法であることがわかりました。PCに保管されているパスワードやメールアドレス、ブラウザの自動入力情報などが窃取された可能性があったため、直ちに認証情報の変更を推奨しました。このように、検知から解析、必要に応じてフォレンジック調査まで一気通貫で対応できることが、D-SOCの強みです」(下里氏)
さらにD-SOCでは、定期的な監視報告書の提出に加え、定期報告会も実施しており、アナリストと直接コミュニケーションできる場を用意している。
「監視対象や通知先の明確化はもちろん、お客様の社内体制をしっかり把握した上で、迅速かつ正確な報告と密なコミュニケーションが取れる環境を整えています。企業のIT環境や組織体制は常に変化しますので、定期的にキャッチアップして適切な監視体制を維持するよう心がけています。さらに、セキュリティ製品の脆弱性情報やサイバー攻撃の最新トレンドも定期的に共有し、企業様をサイバー攻撃から守るパートナーとして、最前線で一緒に闘っています」と下里氏は思いを語る。
デジタルデータソリューションは、企業に寄り添い、共にセキュリティを高めていくパートナー
世界基準のISO認証やプライバシーマーク制度の認定を得ている同社が提供するD-SOCは、信頼性の高いSIEM SOCサービスであり、インシデント対応やデータリカバリーといった事後対応に一気通貫で対応できることも、他のSOCサービスにはない強みといえる。コスト面でも、エンタープライズ企業向けのSIEM SOCサービスと比べると導入しやすく、自社内にSOCチームを設置するほどの予算は確保できないが、マネージドサービスだけでは不安があるといった企業にとって有力な選定候補となるはずだ。馬渡氏と下里氏は、SOCサービスの導入を検討している企業に向けて、次のようなメッセージを送る。
「サイバー攻撃に備えるには、SOCのようなセキュリティ監視サービスを導入するだけでなく、万が一インシデントが発生した際、いざという時に頼れるフォレンジック調査会社との関係を事前に築いておく必要があります。弊社は2万件以上のランサムウェアや不正アクセスなどのサイバーインシデントに対応してきた実績があり、その意味でD-SOCは有力な選択肢になると自負しています。
実際、前述したランサムウェアの被害に遭ったお客様の事例では、日曜日の午前中に問い合わせがあったのですが、そこから17分でウェブミーティングを開催し状況確認を行いました。お客様には、そのスピード感と適切なフォレンジック対応を高く評価いただき、インシデント対応後にD-SOCを導入いただいています」(馬渡氏)
「昨今は、大手企業のランサムウェア感染が報じられることも多くなり、同じ業界で被害に遭われた企業の話を聞いて、セキュリティ対策の見直しや強化を検討するお客様も増えています。弊社では、お客様が何を一番に守るべきかを理解したうえで、適切な提案と支援を展開していきたいと考えています。単に製品・サービスを提供するベンダーではなく、お客様と一緒にセキュリティを高めていくパートナーになるべく、今後もD-SOCをはじめ、さまざまなサービスを提供していきますので、ぜひお気軽にご相談ください」(下里氏)
[PR]提供:デジタルデータソリューション
シャドーAIは企業の盲点、従業員の無断AI利用が新たなリスクに