サイバーリーズン・ジャパン

徹底した対処優先型のアプローチで
インシデント発生時の被害を最小化

サイバー攻撃のインシデントが発生した場合、備えがあっても大混乱に陥ってしまうケースが多い。様々な製品から次々にアラートが発生し、対処しているうちに切り分けや対策が追い付かなくなるからだ。こうした事態を防ぐため、サイバーリーズンでは、対処優先型のアプローチによるセキュリティ対策ソリューションを提供。侵入後対策の「Cybereason EDR」と脅威検知・対応に向けたマネージドサービス「Cybereason MDR」によって被害の最小化に向けた支援を行っている。

“モグラ叩き”から
“芋づる式”へ対応を転換

サイバーリーズン・ジャパン株式会社 マーケティング本部・プロダクトマーケティングマネージャー 菊川 悠一氏
サイバーリーズン・ジャパン株式会社
マーケティング本部・プロダクトマーケティングマネージャー
菊川 悠一
 世界中で猛威を振るうランサムウエア。その攻撃対象は大企業のみならず中堅・中小企業まで広がっている。「2022年を見据え、ランサムウエアはますます悪質化・巧妙化していくことが予想されます」と警鐘を鳴らすのはサイバーリーズン・ジャパンの菊川 悠一氏だ。

 実際にランサムウエアをはじめとするサイバー攻撃のインシデントが発生した場合、IT部門もセキュリティチームも大混乱に陥ってしまうことが多いという。

 「様々なセキュリティ対策製品から次々にアラートが発生し始めますが、そのうちのどれが重要で、どれを後回しにしてもよいのか、大量のアラートを人手で切り分け、問題と原因を特定しなくてはなりません。その間にも社内のユーザーや経営陣からは『発注や出荷処理ができない』『メールが止まって顧客と連絡がつかない』『影響範囲はどうなっているのか早く報告せよ』といったクレームが矢のように殺到し、収拾がつかなくなっていきます。まさに“モグラ叩き”のような状況です」と菊川氏は語る。

 そしてモグラ叩きを続けているうちに切り分けや対策が追い付かなくなり、重大なアラートを見逃してしまい、被害はさらに拡大してしまうのである。

 こうした混乱を避けるために必要なこととして菊川氏が説くのが「モグラ叩きから“芋づる式”への転換」である。「大量のアラートを線で結んで、一連の攻撃にまとめて対処するのです。サイバー攻撃の全体像を素早く可視化し、把握することによって被害を最小限に抑えるのです」と菊川氏は語る。

EDR+MDRで実現する
最新セキュリティ対策

 サイバーリーズンでは、この実現に向けて、徹底した対処優先型のアプローチによるサイバー脅威対策ソリューションを取りそろえている(図1)。その1つが「Cybereason EDR(Endpoint Detection and Response)」だ。  Cybereason EDRは、EDRで必須とされる「複数端末にわたる相関解析」「AIによる振る舞い分析」「リアルタイム検知」「攻撃の全体像の可視化」といった4つの機能をすべて備えている。これによりシグネチャー型のアンチウイルスでは検知できなかった未知のマルウエアにも対応可能となる。特に大きな特徴となっているのが可視化の機能だ。例えばアタックツリーと呼ばれる画面ではプロセスの前後関係を分かりやすいチャートで示し、サイバー攻撃の振る舞いを詳細に把握できる。

 さらに対処についてもGUI画面から簡単にまとめて行うことができる。「サイバー攻撃の全体像を可視化して把握した後、ボタンをワンクリックするだけで、インシデントに該当する端末のリストが表示されます。その中から対処したい端末を選択するだけで、プロセスの停止やファイルの隔離、レジストリの削除といった対処を遠隔から一気に実行することができます」と菊川氏は説明する。対応スピードが要求されるインシデントにおいて、同じ攻撃を受けた複数の端末を一括して調査および対処することにより、被害を最小限に抑えることができるわけだ。

 このようにCybereason EDRは扱いやすいソリューションだが、その機能を効果的に使いこなすためには相応のスキルやノウハウが求められる。また、サイバー攻撃を検知した際にも、侵入経路の特定や情報流出経路の遮断など素早い対応が必要だ。実際、EDRを活用した運用監視に24時間365日の体制を敷くことができる人的リソースを有している企業は、現実的にはそれほど多くないだろう。

 そこでサイバーリーズンでは、Cybereason EDRを用いたサイバー攻撃の検知および対応作業を、マネージドサービスとして代行してくれるCybereason MDR(Managed Detection and Response)を提供している(図2)。  「Cybereason MDRがお客様に成り代わり、PCやサーバーはもとよりiPhoneやAndroid端末などのモバイルデバイスまで24時間365日で監視を行います。何らかのアラートが上がってきた際には即座に当社の専門アナリストが脅威度判定を行い、重要度が非常に高いと判断された場合はお客様に早急に通報します。また、翌営業日までに推奨対策を提示し、問題を解決するまでお客様に寄り添います」と菊川氏は説明する。

 加えてCybereason MDRでは月次レポートも送付しており、自社がどんなサイバー攻撃を受け、対処してきたのかをまとめて把握できるようになっている。このようにCybereason EDRとCybereason MDRを併用すれば、たとえ社内にCSIRTやSOCといったセキュリティ対策の専門チームがなくとも、社内の端末やサーバー、ネットワーク内に侵入・潜在している脅威の検知と除去、システムの回復、再発防止策の検討・実装などを実行できるという。

中堅企業向けに
最適化されたパッケージを提供

 さらにサイバーリーズンは2021年9月から、Cybereason EDRとCybereason MDRをセットにし、より低負荷で導入・運用できる中堅企業向けのパッケージとしてCybereason Core Suiteの提供を開始した。従業員数1000人未満の企業を対象としており、具体的にはそれぞれの機能を中堅企業向けに最適化し、コストを抑えて提供している。

 もちろん廉価版であっても決して基本機能が劣るわけではない。管理画面をはじめ、ワンクリックで生成されるレポートも日本語表示となっており、使い勝手もエンタープライズ版と同様である。

 また、Cybereason Core Suiteの提供を含めたサイバーリーズン日本法人が日本の顧客に寄り添った体制を築いていることも大きなポイントだ。「ソリューション選定や導入時における営業やSEによるサポートはもとより、運用開始後もMDRの専門アナリストやカスタマーサクセスサービス、テクニカルサポートが一体となって連携し、お客様におけるセキュリティ対策を全面的に支援させていただく体制をとっています」と菊川氏は語る。

 冒頭で述べたようにランサムウエアをはじめとするサイバー攻撃は今後ますます巧妙化・悪質化していくことが予想される。それだけに、侵入を前提とした信頼性の高い対策を施すことで、攻撃者優位のサイバー戦場を逆転することが重要なポイントとなるだろう。
セキュリティマネジメント Summit 2021 Winter ~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~
お問い合わせ
サイバーリーズン・ジャパン株式会社 URL:https://www.cybereason.co.jp/