2024年6月24日に開催された「TECH+セミナー - セキュリティ専門家とベンダーの対話 運用現場のリアル」では、サイバーセキュリティの最前線で活躍するベンダーとセキュリティ専門家が集結し、セキュリティ運用の現状とトレンド、必要な考え方やソリューションについて講演が展開された。本稿では、ラピッドセブン・ジャパン 最高技術責任者/CTOの古川 勝也氏による講演「とあるユーザーの「運用のリアル」─事例にみるセキュリティ運用現場」の内容をレポートする。

  • セミナー会場の様子。多くの聴衆が参加した

    セミナー会場の様子。多くの聴衆が参加した

セキュリティの「入口」と「出口」をカバーするマネージドサービスを展開

Rapid7は、ニューヨークの高速鉄道名を由来とした社名が示す通り、顧客のニーズ、進化するIT環境と新たな脅威に対して“高速”に対応し、顧客のビジネスを支援している。2014年に日本法人として設立されたラビッドセブン・ジャパンは、脆弱性リスク管理、脅威インテリジェンスのマネージドサービスをはじめ、シンプルで革新的なソリューションを展開し続けている。

ラビッドセブン・ジャパンで最高技術責任者/CTOを務める古川氏は、「今回は、セキュリティ運用におけるアフターインシデントをカバーするMDR、世の中的にはXDRに近いサービスをメインに話をしていきたいと思います」と語り、講演をスタートさせた。

  • ラピッドセブン・ジャパン株式会社 最高技術責任者/CTO 古川 勝也氏

    ラピッドセブン・ジャパン株式会社 最高技術責任者/CTO 古川 勝也氏

「セキュリティと一口にいっても、MITRE ATT&CK(攻撃者の行動・戦術を理解するためのフレームワーク)を見ても分かるとおり、攻撃者の活動には「偵察」「武器化」「配送」「攻撃」といった一連の流れがあります。NISTのサイバーセキュリティフレームワークに置き換えても同じようなイメージになりますが、まずは中央に事故(攻撃)があり、事故を起こさないためにはどうリスクコントロールしていくのかという前段階と、事故が起きた際のビジネスインパクトをいかに最小化していくのかという後段階、この両輪で最終的なセキュリティ対策というものが成り立ってくるかと思います。Rapid7のソリューションは、現状把握と脆弱性の管理といったところ、つまり“セキュリティの穴を無くしていく”部分、すなわち前段階に強く、さらに後段階である事故が起きた際の影響を最小化するためのアプローチについても強力に支援します。セキュリティ投資の7~8割を占める“守る技術”、中央にあたる部分に関しては一部しか実装しておらず、「入口」と「出口」の領域をカバーするサービスを中心に提供しています」(古川氏)。

  • サイバーセキュリティのフレームワーク

    サイバーセキュリティのフレームワーク

  • Rapid7のソリューション

    Rapid7のソリューション

同社の特徴について、古川氏は、顧客とパートナーシップを構築し、非常に近い距離感で直接サービスを展開していくスタンスと、積極的に外部ベンダーとの連携を図っていることを挙げた。アプローチとしては、オープンソースコミュニティにコントリビュートする形で製品化し、マネージドサービスとして提供していると言う。

「グローバル展開なのか国内展開(自社の社内のみの展開)なのか、独自性が強いのか汎用的な役割なのかといった軸で分けたときに、いろいろなセキュリティ領域で人材が必要となります。たとえば汎用的な役割でいうとログの監視・分析など労力が必要なところにテクノロジーを投入し効率化していく。あとはインシデント対応など、移り変わりが激しく、社内でリソースを抱えることのリスクが高い専門職に関してもマネージドサービスを提供しています。逆に独自性が強く、企業のカルチャーがセキュリティに対し独特であるような場合は、経営層に対して適切にアドバイスを行うパートナーとしての役割も担います。外資のセキュリティベンダーでありがちな、「ソリューションで解決します」というアプローチではなく、セキュリティの運用をお客様と協働することで、それぞれが抱えている課題の解決をサポートしていきます」(古川氏)。

「アラート疲れ」を解消し、迅速なインシデント対応も実現するRapid7 MDRサービス

同社では、前述したセキュリティの「出口」部分、すなわちインシデント発生時のビジネスインパクトを最小化するためのアプローチとして、Rapid7 MDRサービスを展開している。

「先ほどお話ししたとおり、Rapid7のMDRサービスは、一般的にXDRと呼ばれるサービスの内容を含んでいます。要はシステム全体の運用管理をお手伝いしていくセキュリティサービスです。何をやっているかと言うと、まずはインシデント検知。通常のSOCサービスではアラート検知という話になってきますが、本サービスではインシデント化したものだけをピックアップして通知します。一般的にSOCをアウトソースする場合、上がってきたアラートをそのままお客様に通知するようなケースも多いのですが、当社ではインシデントであると判断した上で通知するため通知件数が大幅に減少します。その後のインシデント対応においても、侵害調査や脅威ハンティングをリモートインシデント対応ツールなどを用いて効率的に実施します。実際、当社ではMDRサービスを4年前から日本国内のお客様に提供していますが、導入いただいたお客様のうち、統廃合があったお客様以外は全て継続してご利用されています」(古川氏)。

古川氏は、Rapid7 MDRサービスに顧客が満足しているポイントとして「ノイズの少なさ」を挙げる。近年のセキュリティ運用においては「アラート疲れ」が大きな課題となっており、確実にインシデントであると判断されたものだけが通知される同社のサービスには大きな負荷軽減効果が期待できる。これにより担当者は本来の業務への注力が可能になると言う。

「インシデント対応では、リアルタイム検知とさかのぼってのハンティングという二つの検出・検知の仕組みが必要です。このハンティングを行う際、ログを保持する日数が短いEDRを利用している場合にはさかのぼれないケースも出てきますが、当社のMDRサービスは裏側でSIEMツールが動いており、390日間、さまざまなデバイスからのログを保存しています。これにより、インシデント発生時の説明責任も明確に果たせるようになります」(古川氏)。

さらに同社のSOCがインシデントの発生を検知すると、即座に同社のインシデント対応チームが引き継ぎ、迅速に対応する。検知から対応までを一気通貫で行うため、非常に効率的でスピーディなインシデント対応を実現しているのが特徴であると古川氏は語る。

「インシデント対応においては、当社のチームが独自に行うのではなく、必ずお客様にも入っていただくようにしています。我々から情報を提示して、どのような対処が必要かをお客様が認識・判断するというプロセスを組み入れているため、全自動のマネージドサービスではありません。お客様自身が判断力を身に付けられるところが、他社のサービスと比較した際の優位点になっていると考えています」(古川氏)

またコストに関しても、マルチベンダーでアウトソースするのと比較すると、非常に安価なマネージドサービスになっていると古川氏。最後に実際のユーザー事例を紹介し、セッションを締めくくった。

  • Rapid7の目指すパートナーシップ

    Rapid7の目指すパートナーシップ

「日本国内の、比較的大規模な製造業のお客様では、外部のマネージドサービスを利用されていたのですが、EDRのアラートが非常に多く、その対応に忙殺されていたといいます。そこでアラートではなく、インシデントと判断されたものだけが通知されるRapid7 MDRサービスを導入し、運用負荷の軽減とリリース不足の解消を図りました。検討開始から契約までが半年、そこから約1カ月半後にサービスの提供を開始し、グローバルに海外拠点に展開しています。当社とお客様による共創で進めたことで、早期の導入を実現できました」(古川氏)。

セキュリティ専門家の質疑応答

古川氏の講演に続いて、セキュリティの専門家であるNTTセキュリティ・ジャパン 北河 拓士氏とEGセキュアソリューションズ 徳丸 浩氏の2名による質疑応答のセッションが行われた。

  • NTTセキュリティ・ジャパン株式会社 コンサルティングサービス部 北河 拓士 氏

    NTTセキュリティ・ジャパン株式会社 コンサルティングサービス部 北河 拓士氏

北河氏:御社では、脆弱性管理のマネージドサービスも提供されていますが、MDRと脆弱性管理の両方を契約している場合、MDRサービス側が脆弱性管理の結果を活用したり連携したりすることはあるのでしょうか。

ラピッドセブン・古川氏:結論からいうと連携しています。Insight CloudというSIEMツールに、前段となる脆弱性情報や現状のアセット情報といったものと、後段のさまざまなところからのログ情報などが全部入っており、統合的な監視が可能となっています。

北河氏:ここは、他にはない特徴といえるのではないでしょうか。

古川氏:そうですね。前段階の脆弱性管理と連携できるのは、当社のMDRサービスの強みといえます。

  • EGセキュアソリューションズ株式会社 取締役 CTO 独立行政法人情報処理推進機構(IPA) 非常勤研究員 技術士(情報工学部門) 徳丸 浩 氏

    EGセキュアソリューションズ株式会社 取締役 CTO 独立行政法人情報処理推進機構(IPA) 非常勤研究員 技術士(情報工学部門) 徳丸 浩氏

徳丸氏:今回の講演をお聞きしていて、コスト面での優位性も大きな魅力だと感じました。価格競争力が出せる要因について教えていただければと思います。

古川氏:いろいろな要素でコスト削減を実現しています。まず、実はSOCにかかる人数が、皆さんが想像しているより少ないと思います。こう言うと、「人が少なくて本当に大丈夫なのか?」と心配されるかもしれませんが、人手をかけるところを機械学習で代替しています。ベース推計モデルという形で大量のデータを入れ込んで、そこから推計を行う形です。当社では、それに関する研究というのを割と早い段階から進めてきました。我々は自社開発のソリューションというものを持っていないため、研究開発費として、AIベースでの検知や対応といった領域への投資が可能です。ここが自社のツールとサービスを開発している他社と比べてコスト面での優位性が出せる要因になっていると考えています。

セキュリティの「入口」と「出口」の領域をカバーするサービスを中心に提供しているRapid7。顧客と常に運用を協働することで、効率的に課題解決を目指すという。AIも取り入れるなど、進化する環境に対応するサービスとしてもRapid7 MDRサービスを検討してみたい。

関連情報

ラピッドセブン・ジャパン株式会社
>>詳しくはこちら

マネージド検知対応サービス「Rapid7 MDR」
>>詳しくはこちら

[PR]提供:ラピッドセブン・ジャパン