セキュリティマネジメント Summit
Summer 2021 - Review -
サイバーリーズン・ジャパン

緊急時に焦らず対応するための
サイバーセキュリティ運用とは

慢性的なセキュリティ人材不足などに悩む企業にとって、万一のセキュリティインシデントに備えた対策および体制作りは大きな課題だ。平時から、こうした備えを万全にしておくことこそが有事の際の落ち着いた対応につながり、被害を最小化するカギとなる。とはいえ、何をどこから手を付けるべきか悩む企業も少なくない。サイバーリーズン・ジャパンの講演では、最新の攻撃事例から浮かび上がる課題をベースに、日ごろから行うべきサイバー脅威対策と運用の勘所について示された。

平時から備えておくべき4つのポイント

サイバーリーズン・ジャパン株式会社 マーケティング本部・プロダクトマーケティングマネージャー 菊川 悠一氏
サイバーリーズン・ジャパン株式会社
マーケティング本部・プロダクトマーケティングマネージャー
菊川 悠一
 現在は、多くの企業が何らかのセキュリティ対策を講じている。だが実際にインシデントが起きたとき、どこが感染経路なのか、どの端末を隔離すべきなのか、素早く把握することができているだろうか。あるいは有事の際、誰に対して報告し、どのような手順を踏んでいくべきなのか、明確に定められているだろうか。こうした問いかけに自信を持って答えられる企業は、それほど多くはないはずだ。

 世界各国の企業や団体を対象に行った調査を見ても、多くの企業がインシデント対応時に想定以上の時間をかけてしまっていることが見て取れる。その調査によれば、マルウエア感染の発覚から、感染端末を特定・隔離し、脅威を無効化するまでには約1週間、感染原因や経路、正確な影響範囲や安全性の調査には36日程度かかるという結果が出ている。これはあくまでも平均の数値であり、体制を整えていない企業の場合、それ以上かかっているという。

 「緊急時の体制を整えていないと、事が起きてから慌てて対応し、リスクの優先順位が確定できず、場当たり的な対策になってしまいます。情報資産の所在が不明であること、セキュリティ人材が不足し、インシデント対応の体制が成熟していないことなど、様々な原因が考えられますが、インシデント対応が遅れると企業ブランドのイメージ低下や顧客喪失による減収・減益など、多くの損害や影響が出てしまいます。重要なのは、普段から有事を見据えた対策や体制を整えておくことです」と、サイバーリーズン・ジャパンの菊川 悠一氏は指摘する。

 それでは、有事の際にも落ち着いてインシデントに対応するためには、平時からどのような備えを行っておくべきなのか。菊川氏は4つのポイントを挙げる。

 1つ目は「リスクアセスメントの実施」だ。守るべき情報資産を洗い出し、盗難・盗聴や通信への侵入経路がないか、不適切なパスワード、パッチ未適用などの脆弱性が潜んでいないかを確認する。また、情報資産を失った場合の被害額も算定しておく必要がある。

 2つ目は「インシデント対応の策定」である。NIST(米国標準技術研究所)が策定したサイバーセキュリティフレームワーク(CSF)に沿った「準備」「検知/分析」「封じ込め・根絶・復旧」「事後対応」のフローをあらかじめ策定し、必要なツールの導入、意思決定やエスカレーション先を含めた運用体制を整備することが重要だ。

 3つ目は「脅威から守るセキュリティの見直しと強化」である。具体的には、定期的なOS/パッチのアップデートといった脆弱性対策、テレワークやクラウド環境も含めた端末・機器・ネットワークの監視体制、標的型攻撃やランサムウエアといった最新の攻撃への対応ができるかどうかの確認などが挙げられる。

 「テレワークが常態化した今は、インシデント発生時に社外で使っている端末やクラウド上のサーバーの所在を素早く把握できる体制が必須になります。また、既存のセキュリティ対策であるファイアウオールやIPS/IDSなどのソリューションは初期侵入や初期感染には有効ですが、一度侵入されてしまうと対処できません。感染した後の足場確立、水平横展開、情報窃取といった攻撃を検知できるシステムが導入されているかどうかをしっかりと見直していただく必要があります」(菊川氏)

 4つ目は「脅威の見える化」だ。インシデントレスポンスは時間が勝負の世界。攻撃された場合、素早くその状況を判断して対処する必要がある。「そのためには『複数端末の相関解析』、最先端の攻撃を検知する『振る舞い分析』、脅威を瞬時に高速解析する『リアルタイム検知』などによって、いつ・どこで・何が起こったかの全体像を可視化することが重要です。これにより被害を最小化しながらセキュリティ運用の負荷を低減することができます」と菊川氏は説明する。

あらゆるエンドポイントをリアルタイムに監視

 サイバーリーズンでは、こうした4つのポイントを網羅的にカバーし、緊急時にも焦らず対応するための多様なセキュリティソリューションを提供している。

 ソリューションのベースとなるのが、組織内のあらゆるエンドポイントをリアルタイム監視するエージェント「Cybereason Sensor」である。Windows、macOS、Linuxなどのほか、iOSやAndroidにも対応。数千・数万台規模の端末を一元管理でき、テレワークや海外拠点の遠隔端末も含め、組織に潜む脅威をリアルタイムに解析できる特長を持つ。

 組織内の安全性や運用体制の見直しに最適なサービスが「セキュリティ・ヘルスチェック」だ。このサービスでは、顧客がエンドポイントへCybereason Sensorをインストールすると、約2週間で組織のセキュリティ侵害状況をチェックし、対策の盲点と改善策などを報告してくれる。

 セキュリティ体制がまだ整っていない企業では、担当者が少数ということ、SOCなどのセキュリティチームが万全でないことが想定される。そういった場合に役立つのが脅威検知と対応のマネージドサービス「Cybereason MDR」である(図1)。これはサイバーリーズンの専門アナリストが、顧客企業に代わってエンドポイントの監視や脅威の解析、危険度の判定などを行い、一連のインシデント対応を支援するサービス。脅威ランクは「緊急・警戒・注意・誤検知」の4段階に分けられ、脅威度ごとに対処方法を事前に設定することが可能だ。  「例えば、危険度の高い『緊急』や『警戒』が出たら、即時に端末を隔離する対応をあらかじめ決めておくことで、当社のアナリストからお客様に通知を差し上げた段階で、すぐに対応し、被害を最小限に抑えることができます。月次レポートも提出しており、最近1カ月でどのような脅威があったのかも詳細に把握できます」(菊川氏)

 また、インシデント対応サービス「Cybereason IR」では事前契約を行うことで、万一の際にはサイバーリーズンのグローバルIRチームがワンストップでインシデント発生時の初動から終息までに必要な対応を支援するという。

エンドポイントの強化と脅威の見える化

 こうした運用面でのサービスに加え、サイバー攻撃の脅威をソリューションで防ぐ観点でも、同社は様々なソリューションを提供している。その1つが次世代アンチウイルス「Cybereason Endpoint Prevention」だ。これはシグネチャや機械学習によって既知・未知の攻撃を防ぐだけでなく、ファイルレス攻撃やランサムウエア専用の防御層、振る舞いベースのドキュメント保護、脆弱性を悪用した攻撃から守るエクスプロイト保護など6層を備えた多層防御で、あらゆる脅威を極限まで減らす効果が期待できる。

 それでもすり抜ける脅威には、侵入を前提とした対策となる次世代エンドポイントセキュリティ「Cybereason EDR」を用意。同製品は、不審者が顧客のネットワーク環境内で悪意ある活動をしていないかを常に監視し、クラウド上のAIエンジンで情報を分析。リアルタイムにサイバー攻撃を検知する(図2)。  「Cybereason EDRは機械学習と相関解析によって、組織を横断するような攻撃の全体像を、初期侵入から足場の確立、ランサムウエアを実行するまでといった流れで直感的に可視化できます。いつ・何が・どこで・どのように起こったかが一目で把握できるため、適切で迅速な対処を行っていただくことが可能です」と菊川氏は説明する。

 このような点が評価され、サイバーリーズンのソリューションは、既に国内外の多くの企業で導入されている。同社はイスラエル軍のサイバー部隊出身者を創業メンバーとして、2012年に設立された企業。防御・検知・対応・復旧までをワンストップでカバーするソリューションの品ぞろえ、攻撃の全体像をリアルタイムに可視化し、複数台の端末が攻撃された場合も遠隔から一度に対処できるテクノロジーなどが、顧客から選ばれる大きな理由だ。日本企業にとっては、製品画面や自動生成レポートが日本語対応している点も重要なポイントになる。

 いつ攻撃されるかは分からない現状では、平時からの備えで、緊急時に焦らず対応するためのサイバーセキュリティ運用戦略が必要だ。今後も同社では、多様なソリューションの提供を通じ、実践的なサイバーセキュリティ対策の実現を支援していくという。
資料ダウンロードはこちら
資料ダウンロードは
こちら
セキュリティマネジメント Summit
Summer 2021 - Review -
TOPへTOPへ
資料ダウンロードはこちら
資料ダウンロードはこちら
お問い合わせ
サイバーリーズン・ジャパン 株式会社 URL:https://www.cybereason.co.jp/contact/