FireEyeは5月30日、大学・教育機関向けのセミナー「FireEye SECURITY FRONTLINE 〜サイバーセキュリティ最前線:見えない脅威に、どう立ち向かうか〜」を都内で開催した。ユーザー事例講演には、芝浦工業大学 情報システム部 我妻隆宏氏が登壇。我妻氏の講演内容を中心に当日のセミナーの模様をレポートする。

教育機関はどのようにサイバーセキュリティの脅威に立ち向かっていけばよいのか

昨今のサイバーセキュリティの脅威は、教育の現場にも大きな影を落としている。大学を中心に、大規模でユーザー数の多い教育機関の情報システムには、教職員や学生が安心して利用できるよう適切なセキュリティ対策が不可欠だ。ただ、教育機関特有の事情もあり、一般企業向けに提案されているセキュリティ対策がそのまま適用できないケースもある。教育機関はどのような意識や態度、仕組みをもって、サイバーセキュリティの脅威に立ち向かっていけばよいのか。

芝浦工業大学 情報システム部 情報システム課 我妻 隆宏氏

芝浦工業大学
情報システム部 情報システム課
我妻 隆宏氏

そんななか、FireEyeが開催したセミナー「FireEye SECURITY FRONTLINE」では、教育機関における脅威の考え方から、具体的に直面する課題、その解決策、実際のユースケースなどが披露された。なかでも注目講演となったのが、芝浦工業大学の我妻氏の「大学へのサイバー攻撃の現状と FireEye Helixセキュリティ・プラットフォームによるセキュリティ運用の効率化」だ。

我妻氏はまず、サイバーセキュリティ対策はメールによる攻撃やサーバーに対する攻撃、不正アクセス、マルウェア感染端末の持ち込み、Webへのアクセスによる感染など、守備範囲が広いことや、対策のためには大学特有の環境を考慮することも重要であることを指摘。そのうえで、大学特有の環境として、複数の利用者種別による複数の利用形態があること、情報システム部門の研究用PCなど管理下にないものがあることなどを挙げた。

「教員、職員、学生、共同研究者、外部講師、学会やeduroam(教育機関向けローミング基盤)など学外利用者が多く、利用形態とセキュリティポリシーを複数管理する必要があります。事務職員は比較的対策が取りやすいのですが、情報システム部門の管理下にないデバイスはセキュリティ対策が不十分になりがちです。また、学生や教員の個人所有の端末もWiFiやVPNで接続されますが、大学からのアクセスとなるため外部への攻撃が発生すると大学が攻撃元となるといった課題もあります」(我妻氏)

そこで芝浦工業大学では、FireEye製品をうまく組み合わせながら、利用者や利用シーンごとに対策を施している。例えば、メール対策では、専任教員や職員にはアンチウイルス(従来型製品)やスパムフィルターに加え、標的型攻撃対策としてFireEye Eメール・セキュリティ-Cloudエディションを組み合わせて実施。またエンドポイント対策では事務端末にEDR機能を持つFireEye エンドポイント・セキュリティを導入する一方、研究室PCや学生の個人PCはアンチウイルスとネットワーク対策製品でカバーする体制だ。

  • FireEye製品の利用方法

インテリジェンスを伴った異常検知で運用の効率化・自動化を

芝浦工業大学のセキュリティ対策は、対策別に見ると「ネットワーク系」「エンドポイント系」「分析・IR」の3つに分類される。ネットワーク系では、メール対策、ネットワーク対策、サーバへの攻撃対策、感染検知、エンドポイント未対策端末の対策などだ。また、エンドポイント系はエンドポイント対策に加え、サーバ対策、流出防止などがある。分析・IRは、不正アクセスの検知や情報収集、情報連携、インシデント管理、対処などだ。

  • セキュリティ対策別

「1つの製品ですべてをカバーできるものはなく、複数の製品を組み合わせて対策をとる必要があります。ただ、検知・ブロックが効率よくできないと人手をかけて調査・対策をしなければならなくなってしまいます。そのため、検知率の高い製品を導入し効率化することが重要です。そこでポイントになるのがインテリジェンスです」(我妻氏)

我妻氏によると、FireEyeの強みの1つがこのインテリジェンスだという。ネットワークの通信をキャプチャして、通信先や通信量・通信内容等からAI/機械学習で異常を検知する製品もあるが、インテリジェンスがなければ何が起きているかわからない。インテリジェンスが充実していることで、無駄な手間や時間を最小限に抑えられることを強調した。

芝浦工業大学では、こうした運用の効率化に向けて、相関分析などで真の脅威を見つけ出す「FireEye Helixセキュリティ・プラットフォーム」のトライアルも開始している。Excelで行っているインシデント管理をHelixで代替し、アラートの集約や担当者の割当、ケース作成、通信の分析と検知を行っているところだ。

「他組織との情報連携の体制を構築することで、脅威のすり抜けに警戒できるようにしたいと思っています。もし、すり抜けが発生した場合には、他組織からの情報を元に手動で対処できる手法を確立しておくこと、被害が発生してから対処をするのではなく、被害を未然に防ぐことが目標です」(我妻氏)

  • まとめ

脅威の考え方から具体的な実践方法までを解説

セミナーではこの他に、ファイア・アイのプロフェッショナルによる講演が4つ開催された。まず、執行役副社長の岩間優仁氏が挨拶に立ち、FireEyeのビジネス動向や脅威動向について、同社の年次脅威レポート「M-Trends 2019」の内容を参照しながら紹介した。

岩間氏によると「あらゆる業種が攻撃の対象」であり、「一度標的になるとまた標的になりやすい」傾向がある。また「脅威を検知するまでの時間が北米では71日間と短縮化される傾向があるなかで、アジア太平洋地域では204日と対策の遅れが目立つ」という。そんななかFireEyeでは、増えつづえける複数のセキュリティ製品やツールを一元的に管理し、運用の効率化と簡素化を図るためのプラットフォームを提供し、あらゆる脅威に対して包括的なエコシステムを構築することで、顧客からの支持を獲得している。現在、顧客数は103ヵ国、7600社を超える規模だと説明した。

岩間氏に続いて、最高技術責任者(CTO)の伊東寛氏が登壇し、「進化する脅威とサイバーセキュリティ:防御は「線」ではなく「面」で」と題して講演した。伊東氏は、陸上自衛隊でサイバー戦を担うシステム防護隊初代隊長を務めた経験を踏まえ、「攻撃の経路は多様化しています。多層防御から縦深防御へと戦い方を変えることが重要です」と指摘。縦深防御とは、線ではなく面による防御の意味だ。そのうえで対策のポイントとして「組織内に段階的な防護の仕組みをバラバラに導入するのではなく、システム全体から各種の情報を収集し、総合的に判断して、適切な対応を行うこと。そしてさらに重要な核となるのが脅威インテリジェンスだ」と強調した。

このほか、セミナーでは、プロダクトマーケティングマネジャー横川典子氏が「セキュリティ FRONTLINE(最前線) – 課題編」と題して、今の脅威を取り巻く状況と課題をなりすましや偽サイトなど、実際の攻撃の手口を検証しながら整理。それを受けて、技術本部 エンタープライズ事業部コンサルティング・セールス・エンジニア杉浦一洋氏が「セキュリティ FRONTLINE(最前線) – 解決編」として、攻撃のサイクルごとにどのように対策を行うべきか、その具体的な方策とFireEyeのソリューションを解説した。

また、FireEyeのコンサルティングチームであるMandiantのシニアコンサルタント中村祐氏が「攻撃者追跡と侵害調査の現場から~FireEyeのココがすごい!をMandiantコンサルが解説~」と題して、実際の攻撃者追跡と侵害調査の方法を解説した。このセッションでは、市場で評価されているFireEye脅威インテリジェンス能力について、実際の脅威トラッキング手法や、実際の攻撃調査のアプローチを解説するとともに、Mandiantがなぜインシデント・レスポンスの世界的リーダーとして認められているのかを表す、具体的な対応手法について紹介した。

●無償Eメールセキュリティ診断サービス:不正Eメールの検知漏れをチェック

●レポート:アラート疲れに悩むEDRの運用現場から「エンドポイント対策製品の選び方」

  • エコシステム

いずれの講演も、教育機関の置かれた環境を考慮しつつ、脅威への考え方から、対抗するための具体的な技術や実践方法までをわかりやすく解説していた。参加した約50名の教員関係者も熱心に講演に聞き入っていた。

●FireEye Webサイトへ

●M-Trends 2019 : セキュリティ侵害とサイバー攻撃の背景にある最新トレンドレポート
2018年に新たに見つかった攻撃グループの特徴や、インシデントレスポンスの現場から得られた攻撃の特徴とベストプラクティスなどを解説するFireEyeの年次レポートです。

[PR]提供:ファイア・アイ