2020年6月25日にマイナビニュース主催セキュリティセミナー「事件・事故発生時の対策 スムーズな初動に必要な環境と考え方」が開催された。セキュアワークス(Secureworks)のセッションでは、セキュアワークス株式会社 マーケティング事業本部 主席上級セキュリティアドバイザーの 古川勝也氏が登壇。「年間1,000件以上のインシデント対応から判明した、対策の要点と盲点とは」と題して、侵入されることを前提としたセキュリティ対策の考え方と、インシデント対応に求められるアプローチを解説した。

  • セキュアワークス株式会社 マーケティング事業本部 主席上級セキュリティアドバイザー 古川 勝也氏

    セキュアワークス株式会社
    マーケティング事業本部
    主席上級セキュリティアドバイザー
    古川 勝也氏

防ぐことが困難な「サイバー軍隊」による攻撃

グローバルでセキュリティサービスを提供するセキュアワークスは、年間1,000件以上のインシデント対応を行っている。そうした経験をもとに分析を重ねていくと、従来のセキュリティ対策では見落としがちな点や強化すべきポイントがみえてくるという。古川氏はそうした盲点を解説しながら、これからのセキュリティ対策に求められる考え方とアプローチを紹介した。

古川氏は、サイバーセキュリティに20年以上携わってきた経験を持ち、セキュアワークスの日本支社設立当時から、顧客のセキュリティ強化をサービス提供という立場から支援してきた。サイバー国際情勢分析やセキュリティオペレーション、インシデント対応、物理セキュリティを得意分野とする。

古川氏はまず、セキュリティの現状として「完全に守り切るのは不可能な時代」になったと指摘。そのうえで「サイバー攻撃は日々巧妙化しており、万全だと信じられていた防御策がある日突然、無力になってしまうこともあります。現在のセキュリティ対策は、いかに早期に『検知』し、適切な『対応』を行うのかという事故を前提とした対策にシフトしてきています」と解説した。

セキュアワークスでは、CTU(Counter Threat Unit)と呼ばれるサイバー特殊部隊を擁し、世界中の180以上の攻撃者グループをトラッキングしている。それらの情報を分析すると、サイバー攻撃者は2004年頃から犯罪を目的にした攻撃に変わり、2009年以降は国家が関与するサイバー戦争の様相を呈しつつあるという。また、今後は重要インフラや医療、家電、工場、各種デバイスとサイバー空間がつながる場所において、攻撃が大きな企業リスクになると予想している。

  • CTUが常時追跡している世界中のサイバー攻撃者グループ

    CTUが常時追跡している世界中のサイバー攻撃者グループ

「『サイバー軍隊』による攻撃も増えています。日本だけを対象とするBRONZE BUTLERと呼ばれるサイバー軍隊も存在しており、企業の知的財産や情報を狙います。攻撃は年々進化しており、実行ファイルや証跡をほとんど削除するため、従来の検知(監視)・セキュリティ対策・フォレンジック調査などは困難です。何年も組織内に潜伏され、継続的に情報を抜かれることになります」(古川氏)

インシデント対応の成否は準備がすべて

こうした攻撃に対応していくためには、完璧に防御することを目指すのではなく、攻撃を受けたあとに素早く対処することが重要だ。ただ、このことは思った以上に理解されていない。実際、インシデント対応のための「準備」が不十分なため、被害を拡大させてしまうケースがあとをたたないという。

「セキュリティインシデントが起きたときに専門家に依頼しても、事前の準備が整っていなければ、必要な対応をとることは不可能です。残念ながら対応費用と時間の無駄になります。インシデント対応の成功というのは、いつどこから何がとられた、といった内容を限られた時間のなかできっちりそろえて発表していくことです。『備えよ、常に』のモットーが重要であり、対応の成否は準備がすべてといっても過言ではないのです」(古川氏)

  • 「備えよ、常に」 ベーデン・パウエル卿

    「備えよ、常に」 ベーデン・パウエル卿

「備えよ、常に」はボーイスカウトを創始したベーデン・パウエル卿の言葉だ。セキュリティインシデント対応では「初動対応」が極めて重要であり、迅速な初動対応を行うには「適切な準備」が欠かせない。また準備していた過程を想定通り行うには「経験」も必要になる。 「技術的(テクノロジー)な予防・抑止や被害拡散防止策とあわせて、プロセス(規範、適切な準備)や人(経験に基づく行動)が、組織の復元力(レジリエンシー)を左右することになります」(古川氏)

米国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)や、経済産業省の「情報セキュリティ経営ガイドライン」で示されたフレームワークでも、事故前提での対策を強化すべきと提案している。インシデントを発生させない「予防・抑止」とインシデントが発生しても影響を最小化する「検出・対応」をあわせて行うこと、そのためにテクノロジー、プロセス、人・経験のそれぞれで漏れのないように実装・経験していくことが重要になる、と古川氏は強調する。

  • NIST(米国商務省下の標準化団体)のCSF(2014年公開)および経済産業省 情報セキュリティ経営ガイドライン (2016年公開)Ver2.0 のフレームワーク

    NIST(米国商務省下の標準化団体)のCSF(2014年公開)および経済産業省
    情報セキュリティ経営ガイドライン (2016年公開)Ver2.0 のフレームワーク

セキュアワークスのインシデント対応サービス

実際、セキュアワークスのインシデント対応の事例を分析してみても準備の重要性ははっきりしている。基本対策にかかわる攻撃は80%以上を占めており、50%の企業はエンドポイントやネットワークの可視性が不十分であり、70%のインシデントではログの調査や質に問題があったという。

「基本対策、可視性の向上、事故への準備の3つは、セキュリティ対応のための重要事項です。予防のカギは基本的な対策にこそあります。また最も重要な情報は環境の可視化から得られます。そして準備をすればより良い対応が可能になります」(古川氏)

基本的な対策として、セキュアワークスでは、以下の6つの事項を推奨している。

1. 多要素認証の実装(MFA)
2. 可視性の向上と(特定)ログ機能の強化
3. エンドポイント検出機能の実装
4. インシデント対応準備の改善とテスト
5. セキュリティの警戒とポリシーに関するユーザーのトレーニング(利用者のサイバー衛生)
6. ガバナンスのフレームワークの選択

また、情報の可視化については、アラート過多や誤検知のせいで可視化が進めることができないという課題があるとし、それを解消するために、脅威判定を自動的に行うプロセスの導入やセキュアワークスの「マネージド・セキュリティ・サービス」の利用を提案している。マネージド・セキュリティ・サービスを利用することで、脅威判定や調査のためにかけている膨大な時間と手間を削減し、顧客が本来すべき意思決定がスムーズに行えるようになるという。また、セキュリティ機器を回避する攻撃についても、アラートを待たずに能動的に脅威をハンティングするプロセスの導入や「脅威ハンティング」の利用を提案している。

準備については、インシデント対応のためのサービスとして「インシデント対応リテーナー」(IMR)を提供する。IMRは、インシデント発生前の状況を対象にした「事前対応サービス」と、インシデント発生後を対象にした「事後(緊急)対応サービス」がある。事前対応サービスでは、事前調査やリスクアセスメント、机上演習、ワークショップ、対応計画策定などを行い、事後(緊急)対応サービスでは、インシデント対応のコーディネーション(調整業務)や追跡調査、デジタル・フォレンジック、マルウェアのリバースエンジニアリングなどを行う。

  • Nインシデント対応リテーナー(IMR)サービス全体像

    インシデント対応リテーナー(IMR)サービス全体像

いずれにしても重要なのは「備えよ、常に」だ。

準備しているつもりで実際には不足しているケースも多い

講演後には「情報セキュリティ事故対応アワード」審査員のSBテクノロジー株式会社 技術統括 脅威情報調査室 プリンシパルセキュリティリサーチャー 辻 伸弘氏とpiyokango氏をパネラーに、古川氏とのディスカッションが実施された。

まず辻氏からの「インシデント対応サービスを受けるにあたって、ユーザーが最低限しておいてほしいことは何か」という問いに対しては「ドキュメントをつくって、それまでにどのようなことを行ったかの記録をとっておくことが重要」と回答した。

  • SBテクノロジー株式会社 技術統括 脅威情報調査室 プリンシパルセキュリティリサーチャー 辻 伸弘氏

    SBテクノロジー株式会社
    技術統括 脅威情報調査室
    プリンシパルセキュリティリサーチャー
    辻 伸弘氏

また「いままでインシデント対応に携わったことがまったくない担当者でも、トレーニングを受けることでインシデントに十分な対応ができるようになるのか」については「インシデント対応はテクニカルなところだけでなく、オペレーションの部分も重要。モチベーションや参加する意識があればいい」とした。

piyokango氏より「セキュアワークスのインシデント対応サービスを利用する企業は、やはり十分な事前準備ができているケースが多いのか」に対しては「準備ができていると思っているケースは少なくない。実際に訪問してヒアリングしてみると、不十分であることがわかる」と本当にすべきことと、十分と思っていることにギャップがあると説明した。

  • セキュリティインコ CISSP piyokango氏

    セキュリティインコ CISSP
    piyokango氏

CSIRTの取り組みも多くの企業に浸透してきているが、いざインシデントとなったら対応できない、というケースも目立つという。セキュアワークスでは、年間1,000件以上というインシデント対応の経験を活かしながら、さまざま事情を抱える企業の実情にあわせて、今後もソリューションを提供していくと強調し、講演を締めくくった。


セキュアワークスは2020年7月30日14時より「EDRだけでは不十分!?IRやフォレンジック分析では解決困難な攻撃に脅威ハンティングが必要な理由とは」と題して、ウェビナーを開催する予定だ。

セキュアワークスが提供する脅威ハンティングでは、独自で開発した手法により、経験豊富なアナリストがクライアント企業の環境に潜む標的型攻撃兆候や攻撃者の存在を特定することができる。そして広範囲かつ詳細な調査により、高度なサイバー攻撃に対する迅速な封じ込めと根絶を実現。さらにサイバー攻撃の被害を受けている時間と影響を最小化することで、組織のサイバーレジリエンス・成熟度向上を促してくれる。

能動的な脅威ハンティングを通じて「備えよ、常に」へ一歩踏み出してみてはどうだろうか。

>>ウェビナーの詳細はこちら

[PR]提供:セキュアワークス