セキュリティマネジメント Summit
Summer 2021 - Review -
ラピッドセブン・ジャパン

セキュリティ現場の運用負荷を軽減しつつ
インシデント対応力を強化するアプローチとは

セキュリティの現場では高度化する脅威へ対抗するため、侵入を前提としたソリューションの導入が一般化している。だが一方で、既知の脆弱性への対応が遅れたことに起因するインシデントも後を絶たない。このようなセキュリティ運用では担当者の負荷と事業継続リスクが増大するばかりだ。そこでラピッドセブン・ジャパンでは、運用負荷を軽減しつつ、インシデント対応を一気通貫で行うための具体的アプローチを提案する。

細部だけでなく全体を俯瞰する
セキュリティ対策が必要

ラピッドセブン・ジャパン株式会社 シニアセキュリティコンサルタント 本田 俊夫氏
ラピッドセブン・ジャパン株式会社
シニアセキュリティコンサルタント
本田 俊夫
 サイバー攻撃の脅威がますます激化している。攻撃者がシステムに侵入する手法としてはフィッシングや認証情報の窃取などが知られているが、並んで多いのが「既知の脆弱性」の悪用だ。その理由をラピッドセブン・ジャパンの本田 俊夫氏は、「攻撃者が常に実践しているのは、費用対効果が高い標的から狙っていくということ。玄関や窓の施錠忘れ、鍵が故障しているような家が侵入されやすいのと同様に、悪用可能な脆弱性が放置されていれば、攻撃者はそれを利用します」と説明する。

 最近では、VPN機器の脆弱性を悪用して認証情報を窃取し、内部侵攻するCringランサムウエアや、Exchange Serverへのゼロデイ攻撃などによるインシデントが起こっている。このうち前者は数年前から注意喚起が出されていた既知の脆弱性を狙われたもの。たとえパッチを適用したとしても、それ以前に認証情報を窃取されていたら、適用後も不正アクセスが続く恐れがある。

 「今、日本企業はセキュリティ強化策として、アクセス管理やエンドポイントセキュリティのEDR導入などに力を入れています。これらの対策は非常に重要ですが、脆弱性攻撃の傾向から考えると、高度な攻撃も元をたどれば些細なきっかけ・抜け穴が起点となっていることが多い。“木を見て森を見ず”の言葉にあるように、全体を俯瞰するのをおろそかにしていないかを考えることが重要です。継続的に全体を可視化し、組織におけるサイバーセキュリティの基礎体力を向上させることで、細部の監視がより効果的になるのです」(本田氏)

インシデント対応力を向上させるアプローチとは

 それでは組織全体のインシデント対応力を向上させるにはどうすればよいだろうか。本田氏は「MTTR(remediate):平均修正・改善時間」と「MTTR(respond):平均復旧・対応時間」の短縮が重要なカギだと指摘する。

 「インシデントの起点となり得る脆弱性の早急な特定と改善までの時間、また検知したアラートやインシデントへの調査対応、封じ込め・根絶・復旧までの時間を、いかに短縮していくかが重要です。特に平均復旧・対応時間の短縮に関しては、専門技術やスキルを持った人材やリソースの確保が大きな課題になるでしょう」

 こうした課題の改善・解決に向けて、本田氏は「可視化の強化」「対応・進捗管理の効率化」「アウトソースと自動化」という3つのアプローチを提示。各アプローチで、それぞれ2つの方法論があるという。

 「可視化の強化」とは、特定と検知の改善に向けたアプローチ。その方法論の1つ目は「攻撃対象領域管理(Attack Surface Management)」である。これは外部公開環境を中心とした継続的なインベントリ・構成・脆弱性管理を行うことで、サイバーハイジーン(衛生管理)による基礎体力向上を図る取り組みを指す。もう1つの方法論が「SOC Visibility Triad」だ。これは、ログとユーザー行動の分析、端末上の脅威検知と対応(EDR)、ネットワーク上の脅威検知と対応(NDR)という3つの柱を軸とした包括的なセキュリティ監視で、脅威の検知・対応を強化していく取り組みとなる。

 「対応・進捗管理の効率化」は運用プロセスの改善に向けたアプローチで、「Excel管理からの脱却」と「運用ポリシー・対応フローの整備」という2つの方法論がある。

 「Excelを使った手作業での管理には限界があります。今後は担当部門・担当者間のやり取りを専用のチケット管理ツールなどに置き換え、状況把握やコラボレーションをよりスムーズに進めていくことが重要です。また、運用ポリシーや対応フローを『とりあえずやってみよう』『走りながら考えよう』と進めてきた組織が多いと思いますが、一歩先へ進むには道標の策定が必要です。脆弱性対応基準やインシデント対応フローといったものをしっかりと決めることで、より運用の洗練性が上がっていきます」(本田氏)

最後の「アウトソースと自動化」は、専門知識やリソース不足の改善に貢献するアプローチ。方法論としては、まず専門知識・技術・リソースを持つ「マネージドサービス」の活用が挙げられる。もう1つが、インシデントの分析から対応までを自動化・効率化する「SOAR」の活用だ。

 「複雑化するセキュリティ製品やサービスを連携させたり、ルーチンワーク化しているセキュリティの運用手順を機械化したりすることで、より運用効率を向上させることができます」(本田氏)

一気通貫で支援するRapid7のソリューション

 こうしたセキュリティ運用の課題解決に向け、幅広い製品・サービスと卓越したノウハウで企業を支援しているのが、米国に本社を置くサイバーセキュリティ企業Rapid7の日本法人、ラピッドセブン・ジャパンである。侵入テストで有名な「Metasploit」の開発元として知られる同社は、クラウドやAI、脅威インテリジェンスなどを活用しながら、多彩なセキュリティサービスを展開。今回のテーマとなるインシデント対応力の強化に向けても、米国立標準技術研究所(NIST)が発行した汎用的かつ体系的なフレームワークであるCSF(Cyber Security Framework)の5つの構成要素、「特定」から「防御」「検知」「対応」「復旧」までを一気通貫で支援するソリューションを提供しているという。

 その中でも「特定」に対応するサービスとなるのが、マネージド脆弱性管理「Rapid7 MVM」だ。同サービスは、攻撃対象領域の可視化から脆弱性管理までを担い、リスク評価や脆弱性対応に関する運用を支援。サイバー衛生管理の強化と侵入の発生可能性を低減させることで、平均修正・改善時間の短縮に貢献する。

 そして「検知・対応」を担うのが「Rapid7 MDR」だ。このMDRとは“Managed Detection and Response”の略で、「検知と対応のマネージドサービス」という意味になる。

 「Rapid7 MDRは、先ほどご紹介したSOC Visibility Triadのコンセプトを体現する、包括的かつ多層的な環境監視と早期の侵入検知を行うサービスです。詳細調査を経てからのアラート通知で、担当者の負荷軽減と対応速度向上を図り、月次脅威ハンティングやリモートIRも合わせて、平均復旧・対応時間の短縮に寄与します」(本田氏)

 このほかにも、Rapid7 MVMとRapid7 MDRの間で共通利用される、構成・脆弱性管理からEDRまでの機能を提供する「Insight Agent」、Rapid7 MDRを使わない場合でもインシデント対応をスポットで支援するサービス「IR Retainer」を提供。さらに、これらを支える自動化基盤として、クラウド型のSOAR「Rapid7 InsightConnect」も用意されている。

 「Rapid7 InsightConnectは、CSFにおける様々なフェーズの運用手順やオペレーションに適用できるもので、まだ手動でやっていて自動化可能なオペレーションというものがあれば、それをシステムの力で自動化・効率化していく基盤となるものです。さらに当社では、ツールだけでは解決しづらい、運用上のリアルな課題の改善・解決もトータルに支援しています」(本田氏)

 年々高度化するサイバー攻撃は、既に検知・対応できているケースは氷山の一角であり、実際にはまだ顕在化していないケースがほとんどだ。そのため、侵入されることを前提に、どう脅威を早期に検知して対応するかというインシデントレスポンスが、ますます重要となっている。迅速な検知・対応でサイバー攻撃の被害を最小限にとどめるには、インシデント対応を一気通貫で行うためのアプローチが有効な手段となるだろう。
資料ダウンロードはこちら
資料ダウンロードは
こちら
セキュリティマネジメント Summit
Summer 2021 - Review -
TOPへTOPへ
資料ダウンロードはこちら
資料ダウンロードはこちら
お問い合わせ
ラピッドセブン・ジャパン株式会社 URL:https://www.rapid7.com/ja/
TEL:03-6838-9720
E-mail:japansales@rapid7.com