「人」「プロセス」「技術」の3つの視点で
企業のサイバーレジリエンス強化を支援

　昨今のサイバー攻撃の状況を見ると、企業から直接的に金銭を窃取するための攻撃が一般化する傾向にある。典型的な例が、ランサムウエア攻撃の急増である。2021年5月には、米国東海岸の燃料輸送を担うコロニアル・パイプラインが、ランサムウエア攻撃によって運営停止に追い込まれるなど、ランサムウエアに対する警戒感は国内でも高まっている。

　「さらに最近では、暗号化されたデータを復旧するための身代金を要求するという従来の手法に加えて、暗号化する前にあらかじめデータを窃取し、身代金を支払わなければデータを公開するという形で、いわば二重の脅迫を行うような攻撃も増えています」とトラストウェーブジャパンの新開 大裕氏は語る。

　こうした攻撃の糸口となっているのが、企業ユーザー宛てに送信される電子メールだ。取引先などになりすましたメールを通して、悪意あるソフトウエアを送りつけたり、ユーザーを悪意あるサイトに誘導して攻撃用のプログラムをダウンロードさせたりといった手口も蔓延している。「そうした観点では、ランサムウエアの被害拡大は、人的要因によるものと捉えることもできます。対策強化のためには、経営層も含めた企業ユーザーに対する詐欺メールの演習など、継続的なセキュリティトレーニングが必要です」と新開氏は説明する。

　他方、特に最近指摘されているのが、企業のビジネスを構成するサプライチェーンを通じてもたらされるサイバーリスクだ。2020年には、IT管理ソフトやリモート監視ツールを提供する米国ソーラーウィンズ社がサイバー攻撃を受け、同社が配布するソフトウエアに不正プログラムが仕組まれた。ユーザーである米国政府機関や多くの企業がリスクにさらされ、社会に多大なインパクトを与えた。

　「近年では、地政学的要因によるサイバー攻撃も増加しています。国家による干渉の可能性のあるサプライヤやテクノロジーに依存しているケースでは、特に注意が必要です。そうした観点では、企業のセキュリティチームは調達チームとの間にしかるべき関係を構築して、サプラチェーンをめぐるリスクを確実に排除できる体制を整えることも重要でしょう」と新開氏は指摘する。

　このようにサイバーリスクが高まる状況にあって、企業は対策に多額の費用を投じている。しかし、その費用に見合った価値を得るためには包括的な戦略が必要で、既にSOCを運用しているような企業にとっても、どうすればその価値を高め、ROIを向上させることができるかが重要なテーマとなっている。

　トラストウェーブでは、まさにそうした要請に応える「人」「プロセス」「テクノロジー」を柱とするソリューションを提供している。

　特に、SOCの強化という領域については、同社のマネージドセキュリティサービス（MDRサービス）や各種プロダクト、その他サイバーセキュリティサービスの基盤として機能するクラウドベースのサイバーセキュリティプラットフォームである「Trustwave Fusion」を提供している。 　「お客様の環境には、既に数多くのセキュリティ対策ツールが存在しているでしょう。それらクラウド上やオンプレミス環境、エンドポイントで運用されているツールをセンサーとしてテレメトリーを適切なタイミングでAPIを介して行い、ソースを単一のプラットフォーム上に統合、可視化して、有用な洞察を得ることができるような仕組みを提供しています」と新開氏は紹介する。収集されたデータは、リアルタイムなストリーミングによる相関ルールの適用と分析が行われ、発見された脅威に応じた対処がオーケストレーションにより自動実行される。

　トラストウェーブではこうした対応を、持ち前の高度なセキュリティ人材と実績あるプロセスフレームワークにより、迅速かつ一貫した形で実施する3層からなる体制を整えている。まず、Tier1のチームではアナリストがインシデントのトリアージに集中。脅威の発生を捕捉し、即座に対処可能なものはここで対処する。

　また、Tier1で脅威内容を理解するのに時間が必要な場合やすぐに対処できない場合は、Tier2のアナリストチームに引き継ぐ。Tier2チームではより詳細な調査を行い、顧客環境のテレメトリーのリソースを調整したり、トラストウェーブの専門家に依頼したりしながら、必要な対処を実施する。

　さらに、より専門的な知識が必要とされる脅威に対しては、Tier2からTier3チームに連携される。Tier3チームには同社の研究機関である「SpiderLabs」のエキスパートが配備されており、その高度な知見を駆使して究明と対処を行うことになる。「SpiderLabsでは毎年、何百件という侵害調査を実施しており、サイバー攻撃にかかわる高度な知見とノウハウを有しています。同研究機関が得た情報や洞察は、脅威インテリジェンスである『Trustwave Global Threat Database』に集約されており、Trustwave Fusionに基づくサービス提供はもちろん、その他の製品・サービスでも広く活用されています」と新開氏は語る。

　以上のようにトラストウェーブでは「人」「プロセス」「技術」を組み合わせた相乗のアプローチにより、企業システムの「深層部」に踏み込んだ脅威の検出と対処を一貫してサポート（図2）。顧客企業における「次世代SOC」の構築と、それに基づくサイバーレジリエンスの実現を強力に支援している。