世界200拠点を守るヤマハ発動機のCSIRT、体当たりで挑んだ「セキュリティガバナンス」:ITmedia エンタープライズ セキュリティセミナーレポート(4/4 ページ)
「Threat Hunting」でセキュリティをより強固に
マクニカネットワークス株式会社 技術統括部第6技術部第3課の勅使河原猛氏サイバー脅威の高度化や多様化に伴い、エンドポイントセキュリティだけでは、対応できない状況になりつつある。マクニカネットワークスの勅使河原猛氏は「SSLやクラウドの利用が加速しており、ゲートウェイセキュリティだけにも頼れない」と話す。
同氏は、企業がセキュリティソリューションを選ぶ際に必要な視点として「EDR(Endpoint Detection & Response)」を強調する。「最近では、PowerShellなど正規ソフトウェアを利用するファイルレス攻撃が増えている。感染しないための方法だけではなく、EDRの機能を備えた製品も必要だ」(勅使河原氏)
従来のエンドポイントセキュリティ製品が「マルウェアに感染しないこと」を目指していたのに対し、EDRはマルウェアに感染しても、その後に起きる不正な挙動を検知するなど、従来製品ではカバーできない、侵入後や感染後の迅速な対応に主眼を置いている。
防御されたことに気付けば、攻撃者は新しい攻撃手法を試すため、セキュリティ対策が完璧になることはありえない。「脅威を積極的かつ反復的に検索する『Threat Hunting』が必要であり、最新の脅威情報を分析するエキスパートの存在が欠かせない」(勅使河原氏)という。
マクニカが扱うCrowdStrikeのFalconシリーズはこのThreat Huntingに有用だという。世界中のセンサーから新たな脅威を日々収集しており、組織内で準備しにくいThreat Huntingに対するリソースを確保できるためだ。「CPU負荷が1%未満の、軽量なセンサーのインストール直後からすぐに利用できる手軽さも大きなメリットだ」と勅使河原氏はアピールした。
「Threat Hunting」に国産EDRを組み合わせることの優位性
ソリトンシステムズ マーケティング部 エバンジェリストの荒木粧子氏ソリトンシステムズは「国産EDR開発ベンダー」としても知られている。同社のマーケティング部 エバンジェリストの荒木粧子氏の講演は、マクニカネットワークスが説明した「Threat Hunting」について、国際EDR開発ベンダーの視点で解説する内容だった。
Threat Huntingはもともと、米国のセキュリティ業界で「セキュリティソリューションを回避する脅威を検出し、隔離するためのプロセス」として定義されていた。しかし昨今は、日本企業におけるSOCやCSIRTでも行われるようになっており、「もはやプロフェッショナルなサイバー脅威の解析者だけが行うものではない。企業の部署や部門、組織に合わせてさまざまなやり方がある」と説明した。
Threat Huntingが注目される背景には、セキュリティ対策ツールだけではサイバー攻撃の検知が困難になっていることがある。そこで荒木氏は、効果的な対策として「エンドポイントの視点ではNGAV(次世代型アンチウイルス)で防御力を高めつつも、侵害が発生した場合の解析に役立つEDR(Endpoint Detection & Response)を使用するのがよい」と見解を示した。
ソリトンシステムズが開発したEDR「InfoTrace Mark II for Cyber」はコマンドの引数まで記録することで、システムに何が起きたかまで把握できるログ記録機能が用意されている。カーネルレベルで動作するため、バックグラウンドのコマンド実行引数も取得でき、判断が難しいグレーゾーンの判断に有用だ。荒木氏は「取得したログを他の脅威対策製品や、SIEMと連携可能な点も大きなメリットだ」と強調した。
関連キーワード
セキュリティ | CSIRT(Computer Security Incident Response Team) | ヤマハ発動機 | エンドポイントセキュリティ | マクニカ | フォレンジック | ソリトンシステムズ | EMC
関連記事
DeNA CERTに聞く、事業スピードを落とさないセキュリティの進め方
インターネットサービスでは常にスピードと安全が求められ、企業にとってその両立は大きな挑戦だ。業界大手のDeNAでビジネスとセキュリティのバランスを担っているのがCSIRTだ。
「うちのセキュリティ担当たちはすごいんです!」 対応チームを続ける秘訣とは?
組織を守るCSIRTを設立しても、その機能が維持・向上されなければ形骸化してしまう。オーストラリア連邦政府税務局でCSIRT責任者を務めたレナード・クラインマン氏は、「そのためにはセキュリティを担うチームやメンバーの活躍を認めることが大切だ」と話す。
急増するCSIRT、立ち上げ後に考えたい次なるステップへの視点
企業ではCSIRTを設立する動きが広まる。新たに立ち上げたCSIRTが活動を推進していく上で考えておきたいポイントはどのようなものだろうか。日本シーサート協議会での取り組みをもとにまとめてみたい。
インシデント対応の達人が語ったCSIRTブームに沸く日本企業への至言
セキュリティインシデントへ組織的に対応すべくCSIRT構築に取り組む企業が増えているが、その道のりは平たんではないようだ。JPCERT/CC、日本シーサート協議会、ANAグループ、ラックのエキスパートによる議論が行われた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
ITmediaはアイティメディア株式会社の登録商標です。