対応のスピード化や現場の人材不足を解消する「脅威対策ライフサイクル」とは？：「共有」と「自動化」が鍵に

高度化する脅威にセキュリティ対策の現場は、限られた人材や予算で対応せざるを得ず、膨大な作業量と有事対応の長期化という課題を抱える。インテル セキュリティは、そうした課題を抱える組織が効率的で迅速な対応によって、継続的にセキュリティを強化していくための方法を提案する。そのアプローチはどのようなものか。

[PR／ITmedia]

PR

　標的型サイバー攻撃に代表される脅威が企業や組織の経営リスクになり、その対応が喫緊の課題になっている。現在の攻撃は、セキュリティシステムや人の弱点を巧妙に突く手法を組み合わせながら実行される。企業や組織は情報やシステムを守るべくセキュリティ対策に取り組んできたが、高度化する一方の脅威に対応する現場では人手もノウハウも追い付かず、機密情報を盗まれる被害が多発している。

　企業や組織が脅威によるリスクを低減させ、情報やシステムの安全を守るには、セキュリティ対策が抱える課題を着実に改善することが近道だ。そこでインテル セキュリティが提唱する「脅威対策ライフサイクル（Threat Defense Lifecycle）」を通じて、変化する脅威に適応しながらセキュリティ対策をレベルアップさせていくための方法を紹介しよう。

脅威対策における課題

　企業や組織は、新たな脅威が出現する度に様々なセキュリティ対策をネットワークやエンドポイントに張り巡らせてきた。このアプローチは個々の脅威を防ぐ点では極めて有効だが、一方で個々のセキュリティ製品が各担当者によって運用される状況を招き、複雑な脅威への対応を難しくする“壁”を生じさせている。

　それにより、例えば、ネットワークの対策製品で不審なアクセスを事前に検知しながらも、幾重にも講じた防御策が次々に突破され、情報が流出するインシデントが起きている。つまり攻撃者は、“壁”によってバラバラな状態にあるセキュリティ対策の隙間を狙って巧妙な手口ですり抜け、目的を達成しているわけだ。

セキュリティ対策が抱える多くの“壁”が脅威の侵入を許し、対応を難しくさせている

　バラバラな状態のセキュリティ対策では脅威を防ぎ切れないし、万一突破された場合の対応も困難を極める。担当者は限られたリソースの中で調査や対応内容の判断、被害の封じ込め、関係者との調整や報告、システム復旧や再発防止策などの作業に追われる。セキュリティ対策だけでなく、ITシステムの環境自体もサイロ化やクラウド化、モバイル化などによって複雑になっているだけに、脅威の手掛かりとなる膨大な量のログを集めるだけでも一苦労だ。対応の遅れが被害の甚大化につながるのは、言うまでも無い。

“ライフサイクル”全体で考える脅威対策

　インテル セキュリティが提唱する「脅威対策ライフサイクル」は、「防御（Protect）」「検知（Detect）」「復旧（Correct）」の3つのフェーズをライフサイクルとして捉えることにより、各フェーズの作業を個別断片的にではなく、ライフサイクル全体の中で効率的に取り組む。それにより、高度化・巧妙化し続ける脅威へ恒常的に「適応（Adapt）」できるセキュリティ対策を目指すものだ。

脅威対策ライフサイクルは「防御（Protect）」「検知（Detect）」「復旧（Correct）」を通じて、継続的な脅威への「適応（Adapt）」を可能にする

　昨今の巧妙化した脅威対策を念頭に置くと、未知の脅威にも対応することを想定しなければならない。また、脅威が侵入した際に素早く検知し、被害が大きくなる前に一次対応できるような準備が必要になる。

　担当者は調査、判断、一次対応、恒久対応、調整、報告など膨大な作業を強いられる。調査一つ取っても、そもそも必要なログが分散していたり、入手のために時間を要したりするなど、調査より準備に長時間がかかる組織もある。こうした環境で事態をある程度収束できたとしても疲弊してしまい、新たな脅威に備える恒久的な対策には取り組みづらい。結果的に、その場限りの対応を繰り返す状況に陥る。

インテル セキュリティ マーケティング本部 ソリューションマーケティング部 シニアプロダクトマーケティングスペシャリストの中村穣氏

　脅威対策ライフサイクルによるアプローチでは、調査から対応方法を判断する過程で、一時対応ばかりではなく恒久的な対策についても想定する。一時対応を実施する中で得られる知見や洞察を速やかに恒久的な対策へ取り入れ、新たな脅威に短期間で備えられるようにしていく。このサイクルを回すことによって、セキュリティ対策が常に変化し続ける脅威に対応できるものになっていく。

　インテル セキュリティの中村穣氏は、「多くの企業や組織がライフサイクルの重要性を認識していますが、実際には膨大な作業に追われてサイクルを回せなくなってしまいがちです。そこで自動化を促進して作業の効率化を図るアプローチが必要です。担当者が対策の準備より本来の対策業務に専念でき、調査などから得た貴重な洞察や知見をすばやく脅威対策ライフサイクルに反映しやすい仕組みを整備していくことで、継続的なセキュリティ対策の強化に取り組めます」と話す。

　それではデータの「共有」と「自動化」を促進し、脅威対策をライフサイクルで捉える仕組みを見ていこう。

　インテルセキュリティではサンドボックスの「McAfee Advanced Threat Defense（ATD）」や詳細なコード解析によって脅威を検出する仕組みと、解析から得た脅威に関する情報をネットワークやエンドポイントのセキュリティシステムが共有する基盤「McAfee Threat Intelligence Exchange（TIE）」を提供している。

　ATDなどよって解析された未知の脅威に関する情報は、TIEを通じてネットワークやエンドポイントのセキュリティシステムと共有され、防御機能へ自動的に反映させて新たな脅威の侵入を速やかに防ぐ。これにより、防御に必要となる煩雑で膨大な作業は軽減され、担当者は被害を抑止するための作業に集中できるようになる。

　また、脅威を検出してから被害の範囲や状況の特定から侵害の拡大を封じ込めるまでの作業も自動化によって効率化を図ることができるポイントだ。従来は、担当者が被害範囲を推測して痕跡の手掛かりとなるログを入手するが、そのために他部門の担当者に依頼をしたり、調査ではログの違いを意識して作業したりしなければならず、担当者にも高度なノウハウやスキルが求められる。

　脅威の分析でインテル セキュリティはSIEM（セキュリティインシデント・イベント管理）の「McAfee Security Information and Event Management（McAfee SIEM）」を提供しており、各種のログ情報をMcAfee SIEMに集約することで、重要度の高いイベントの検出やアラートが可能だ。担当者はエンドポイントの詳しい確認しながら脅威の状況（活動の有無や他のシステムへのアクセス、外部との通信など）を把握していく。

　さらにインテル セキュリティでは、SIEMとも連携して脅威による影響範囲や状況の調査から感染端末の隔離といった一次対応などの作業が行える「McAfee Active Response（MAR）」を提供している。MARを活用すれば、担当者は複数のエンドポイントを対象に、即座にファイルや通信、レジストリ、プロセスの状況を把握して必要な判断ができる。例えば、エンドポイントのデスクトップファイアウォール機能（他社のウイルス対策製品も併用できる）を使ってネットワークから隔離するといった対応をその場から実行できるようになる。

脅威対策ライフサイクルによるセキュリティ対策のイメージ

　インテル セキュリティが従来型のセキュリティ対策環境と統合型のセキュリティ対策環境を対象に脅威対策ライフサイクルの適用効果を検証した結果、対応時間が従来の24時間から7分に、防御できるまでの時間が4時間から1分にそれぞれ短縮されること効果が認められた。

脅威対策ライフサイクルへのステップアップ

　企業や組織がバラバラに構築してきたセキュリティ対策を一気に統合型の仕組みにさせるのは難しいかもしれない。ここで重要なのは、従来型のアプローチから脱却して脅威対策ライフサイクルの視点によるセキュリティ対策の改善に取り組み続けていくという変化だ。

　中村氏は、「セキュリティ対策の強化は事後に検討されることが多いのですが、脅威への対応に慣れている企業や組織は、事後だけでなく対応している最中でも、次の同様の攻撃に対する検知や防御を高める方法を念頭に活動しています。そのためには、可視化による状況把握や、そこで得たアイデアや情報などを共有し、効率的に使い回せる仕組みが重要です」と話す。

　脅威へ対峙し続けている企業や組織では、数々の対応から得た知見や洞察をもとに、脅威を示す兆候（Indicator of Compromise＝IoC、侵害の指標）を定めており、各種作業の多くを自動化させている。上述の検証では担当者が1日に処理できるIoCが従前の6件から210件に向上し、手作業の85％が削減されたという。

サイクルの適用で防御力を向上させながら、検知、復旧に掛かる時間を短縮する

　つまり、常に脅威対策ライフサイクルを通じて効率的な対応を繰り返すことが、セキュリティ対策の恒常的な強化につながる。脅威対応の中で得たベストプラクティスを生かして、今後も変化し続けるセキュリティの脅威へ「適応」できるようになっていくわけだ。

　インテル セキュリティが提案する脅威対策ライフサイクルは、継続的な強化がしやすい仕組みを基盤として、自動化を促進し、セキュリティ製品や運用担当者へのセキュリティ投資を最大化することを目的にしている。そのためのセキュリティ対策状況の評価や仕組みづくり、担当者のスキルアップ、対応作業のサポートなどのサービスも提供している。

　恒常的にセキュリティ対策のレベルアップを図りたいという企業や組織にとって、インテル セキュリティはベストパートナーになるだろう。