ランサム対策は急務 限られたリソースで最大限の効果を得るには

PR／ITmedia

PR

　RaaS（Ransomware as a Service）の普及によって分業化やビジネス化が進み、ランサムウェア攻撃は一層激しさを増している。一方でセキュリティ人材の不足は多くの企業を悩ます課題だ。

　セキュリティ予算を潤沢に持つ企業が少数である今、限られたリソースでより効果的な対策を実現するには、運用を自動化したりマネージドサービスといった外部の専門家の力を適材適所で借りたりすることが重要になる。

　ではこれを実行する上でどのような点に注意すればいいか。ドコモグループの法人事業ブランド「ドコモビジネス」を展開するNTTコミュニケーションズ（以下、NTT Com）の加藤淳也氏（ビジネスソリューション本部　ソリューションサービス部　デジタルソリューション部門　第十一グループ　担当課長）と門田 剛氏（同）、日本セキュリティオペレーション事業者協議会（ISOG-J）副代表で、GMOサイバーセキュリティbyイエラエの阿部慎司氏（サイバーセキュリティ事業本部　執行役員　兼　副本部長　SOCイノベーション事業部　部長）が語り合った。

セキュリティ業務の何を内製し、外部に任せるか　切り分けのヒントは

　阿部氏は、これまで多くの企業のセキュリティ対策を支援してきた中で「『人がいないし予算もないが、何かインシデントが起こったらどうしよう』という悩みは本当によく耳にします。セキュリティ運用を効率化するためには、自社のセキュリティ業務を整理することが大前提になります」と話す。

　ただ一口に“セキュリティ業務”といっても、リスク評価やポリシー立案、情報収集、脆弱（ぜいじゃく）性診断、リアルタイムの監視／分析、フォレンジックなど業務は多岐にわたる。このうちどこを自動化し、何は自社で頑張り、どこから外部に依頼するのかの判断は困難だ。

　この際に参考になるのが、阿部氏も執筆者として参加したISOG-Jの「セキュリティ対応組織の教科書」だ。同ドキュメントはセキュリティ運用の効率化に必要となる組織の在り方やPDCAサイクル、製品サービスなどをフレームワークとしてまとめており、国連の専門機関「ITU-T」が出した勧告「ITU-T X.1060」にも採用されている。

　「英語版も用意されているため、海外拠点や子会社の担当者とセキュリティ対策について議論する際の共通言語としても利用できます」（阿部氏）

　セキュリティ対応組織の教科書は、セキュリティ対策を9つのカテゴリーと64種類の業務に分けて定義している。加えて、これらの業務を自組織で担うのか外部の専門組織に任せるのかを切り分けるために、「業務の専門性」と「業務で扱う情報の種類」の二軸に沿って四象限の指標を用意している。これを利用すれば業務をより整理しやすくなるだろう。

業務を自組織で実施するか、外注するかを判断するための四象限。例えばフォレンジック業務は、攻撃に関する深い知見と高いスキルを求められることから「専門組織で実施すべき領域」に該当する（出典：ISOG-Jの公開資料）

自動化ツールとマネージドサービス利用時の注意点

　業務の整理ができたら、自動化できると判断した業務にSIEM／SOARといったツールを適用するのが次のステップだ。

　SIEMはセキュリティ機器やサーバなどが出力したログを収集、保管、分析し、ルールに基づいて攻撃につながる不審な動きを検知したらアラートを発する。アラートを受けた後の対処を自動化するのがSOARだ。「プレイブック」と呼ばれる手順に沿って、感染端末のネットワークからの隔離や不審なサーバとの通信ブロックといった初動対応を自動で実行する。

　しかしこれらのツールも万能ではない。加藤氏はこれらのツールを導入する際に注意すべきポイントとして「SIEM／SOARのメーカーが提供する標準の分析ルールやプレイブックをそのまま使うと、誤検知や過検知が多過ぎたり、自社で使っているシステムとの連携がうまくいかなかったりするため、自社の環境に合わせたチューニングは必須です」と指摘する。

　阿部氏もこれに同意し「せっかくSIEM／SOARを導入しても、うまく使いこなせないという相談を受けることもあります。自社の要望をうまくくんでくれるパートナーと共にきちんと考えた上で導入することが重要です」と述べる。

　ではアウトソーシングを活用するにはどのような点に注意すればいいか。加藤氏は「サイバー攻撃は監視が手薄になる夜間や年末年始を狙ってきます。それに備えて24時間365日の監視体制を自社で用意するとなると投資も必要ですし、専門的な技術者を集めるのも一苦労です。張り付きが必要な業務などは、複数の企業に対する共通の監視体制を持ち、専門的な技術者を抱えるSOC事業者に積極的に委託した方がより高い費用対効果を得られるでしょう」と語る。

　一方でアウトソーシングすべきでない業務もある。加藤氏は「経営層への報告やグループ企業・海外拠点のIT担当者との連携、SOC事業者から上がってきたインシデント情報に対する最終判断は、自社でしっかり内製化すべきだと思います」と補足する。

　ただ、セキュリティが専門ではない企業にとって、何かと判断に迷う場面が生じるのも事実だろう。セキュリティ対応組織の教科書に沿って業務をマッピングするにしても、果たしてどう割り振るのが適切か、簡単に割り切れない部分はどうしても発生する。この課題にどう対処すればいいのか。

　「信頼できるセキュリティ企業に相談するのが大事だと思います。契約書のドライな甲乙関係ではなく、将来的にどのようなセキュリティ対策を描くかというビジョンを考え、会話しながら一緒に進められる信頼できるパートナーをいかに探せるかが鍵になるのではないでしょうか」（阿部氏）

　阿部氏は「一度整理を済ませ、アウトソースするものを決めて終わりではありません。自社のIT資産やビジネスが変化する中で、攻撃手法や狙われやすいポイントもどんどん変化しています。それに追随するには、守る方法も変える必要があります。継続的にPDCAのサイクルを回し、『永続的な営み』として見直しを続け、徐々にレベルアップしましょう」と呼び掛けた。

左から門田 剛氏、阿部慎司氏、加藤淳也氏

豊富なノウハウを盛り込み、高度な自動化を実現する「マネージドSIEM／SOAR」

　セキュリティ業務を整理した上で自動化の実現やマネージドサービスの利用を検討する企業に向けて、NTT Comは「マネージドSIEM／SOAR」を提供している。リアルタイムにインシデントの自動検知と自動対処を実行することで、セキュリティ運用を効率化するサービスだ。

　SIEMやSOARを導入した企業は「ログがばらばらに管理され、横断的に調査できない」「大量のセキュリティアラートが発生するため、確認に多くの時間を費やしている」「24時間365日体制でインシデントに対応する体制を整えるための人材やスキル、予算が足りない」といった課題を持っているケースが多い。

　マネージドSIEM／SOARは、クラウド型SIEM「Microsoft Sentinel」によって、国内外、グループ会社、各拠点にまたがってログの一元管理を実現する。NTT Comの長年にわたるセキュリティノウハウを反映した分析ルールを適用することで誤検知や過検知を取り除き、担当者が本当に重要なアラートだけに集中できるように支援する。同社開発のプレイブックを利用することで、24時間365日体制で人に代わって適切なインシデント対処を自動的に実行し、被害の拡大を防ぐことも可能だ。

　「マネージドSIEM／SOARの分析ルールやプレイブックは、導入時に顧客環境に合わせてチューニングするため『SIEM／SOARを使いこなせない』といった悩みを持っている方にはお薦めです」（加藤氏）

　NTT Comのプレイブックを適用したSOARの一例として、エンドポイントに導入した「Microsoft Defender for Endpoint」からアラートを受け取ると、重大度に応じて調査や修復、ウイルススキャン、端末隔離といった対処を自動実行する。その他の例として、不正なWebサイトへのアクセスを検知した場合はセキュアWebゲートウェイの「Zscaler Internet Access」やUTMに対してブラックリスト登録を自動で実施し、再発を防止できる。

　加藤氏は「4万9000台のエンドポイントをEDRツールで監視している環境で1カ月間に294件発生していたアラートが、当社のプレイブックを適用したSOARを使うことで、95％に当たる280件のアラートに自動で対処して稼働を大幅に減らせるようになりました」と成果を語る。

　マネージドSIEM／SOARにはAIも組み込まれている。同サービスは既に異常な振る舞いをインシデントとして検知する仕組みを機械学習によって実装している。これに加えてインシデントの検知時に生成AIを利用して、インシデントの概要やインシデントが及ぼす影響、推奨されるインシデント対処方法を日本語と英語で分かりやすくレポートにまとめて即座に通知する「AIアナリスト」機能も実装された。

　マネージドSIEM／SOARは、アウトソーシングを中心とする運用だけでなく「自社内に既にSOCがあるが、その運用を強化したい」「システムのみ導入したい」といった運用方針に合わせて柔軟に導入できる。

　また「何をどこまでアウトソースするか」の判断に迷う場合は、マネージドSIEM／SOARの導入時にセキュリティ対応組織の教科書が示すフレームワークに沿った運用設計が提供される。

　グローバルで4万台規模の環境での運用実績がある他、以前はグループ会社や拠点ごとにばらばらに運用していたログサーバとマネージドセキュリティサービスをマネージドSIEM／SOARに統合し、効率化とコスト削減に加えて本社主導によるグローバルでのセキュリティガバナンスを実現したケースもある。

　「サイバー攻撃への対処を検討しているが、リソースに不安が残る」という悩みを抱える企業は、人を介さないシステマチックなセキュリティ運用を実現する選択肢として検討してみるといいだろう。

マネージドSIEM/SOARはセキュリティ運用方針に合わせて柔軟に導入できる（出典：NTT Com提供資料）