世界200拠点を守るヤマハ発動機のCSIRT、体当たりで挑んだ「セキュリティガバナンス」:ITmedia エンタープライズ セキュリティセミナーレポート(4/4 ページ)
グローバルな視点でサイバー脅威からどう企業を守るか――。ITmedia エンタープライズが11月に開催したセキュリティセミナーでは、ヤマハ発動機におけるCSIRTの取り組みや、セキュリティ対策のトレンドである「Threat Hunting」が紹介された。
「Threat Hunting」でセキュリティをより強固に
サイバー脅威の高度化や多様化に伴い、エンドポイントセキュリティだけでは、対応できない状況になりつつある。マクニカネットワークスの勅使河原猛氏は「SSLやクラウドの利用が加速しており、ゲートウェイセキュリティだけにも頼れない」と話す。
同氏は、企業がセキュリティソリューションを選ぶ際に必要な視点として「EDR(Endpoint Detection & Response)」を強調する。「最近では、PowerShellなど正規ソフトウェアを利用するファイルレス攻撃が増えている。感染しないための方法だけではなく、EDRの機能を備えた製品も必要だ」(勅使河原氏)
従来のエンドポイントセキュリティ製品が「マルウェアに感染しないこと」を目指していたのに対し、EDRはマルウェアに感染しても、その後に起きる不正な挙動を検知するなど、従来製品ではカバーできない、侵入後や感染後の迅速な対応に主眼を置いている。
防御されたことに気付けば、攻撃者は新しい攻撃手法を試すため、セキュリティ対策が完璧になることはありえない。「脅威を積極的かつ反復的に検索する『Threat Hunting』が必要であり、最新の脅威情報を分析するエキスパートの存在が欠かせない」(勅使河原氏)という。
マクニカが扱うCrowdStrikeのFalconシリーズはこのThreat Huntingに有用だという。世界中のセンサーから新たな脅威を日々収集しており、組織内で準備しにくいThreat Huntingに対するリソースを確保できるためだ。「CPU負荷が1%未満の、軽量なセンサーのインストール直後からすぐに利用できる手軽さも大きなメリットだ」と勅使河原氏はアピールした。
「Threat Hunting」に国産EDRを組み合わせることの優位性
ソリトンシステムズは「国産EDR開発ベンダー」としても知られている。同社のマーケティング部 エバンジェリストの荒木粧子氏の講演は、マクニカネットワークスが説明した「Threat Hunting」について、国際EDR開発ベンダーの視点で解説する内容だった。
Threat Huntingはもともと、米国のセキュリティ業界で「セキュリティソリューションを回避する脅威を検出し、隔離するためのプロセス」として定義されていた。しかし昨今は、日本企業におけるSOCやCSIRTでも行われるようになっており、「もはやプロフェッショナルなサイバー脅威の解析者だけが行うものではない。企業の部署や部門、組織に合わせてさまざまなやり方がある」と説明した。
Threat Huntingが注目される背景には、セキュリティ対策ツールだけではサイバー攻撃の検知が困難になっていることがある。そこで荒木氏は、効果的な対策として「エンドポイントの視点ではNGAV(次世代型アンチウイルス)で防御力を高めつつも、侵害が発生した場合の解析に役立つEDR(Endpoint Detection & Response)を使用するのがよい」と見解を示した。
ソリトンシステムズが開発したEDR「InfoTrace Mark II for Cyber」はコマンドの引数まで記録することで、システムに何が起きたかまで把握できるログ記録機能が用意されている。カーネルレベルで動作するため、バックグラウンドのコマンド実行引数も取得でき、判断が難しいグレーゾーンの判断に有用だ。荒木氏は「取得したログを他の脅威対策製品や、SIEMと連携可能な点も大きなメリットだ」と強調した。
関連キーワード
セキュリティ | CSIRT(Computer Security Incident Response Team) | ヤマハ発動機 | エンドポイントセキュリティ | マクニカ | フォレンジック | ソリトンシステムズ | EMC
関連記事
- DeNA CERTに聞く、事業スピードを落とさないセキュリティの進め方
インターネットサービスでは常にスピードと安全が求められ、企業にとってその両立は大きな挑戦だ。業界大手のDeNAでビジネスとセキュリティのバランスを担っているのがCSIRTだ。 - 「うちのセキュリティ担当たちはすごいんです!」 対応チームを続ける秘訣とは?
組織を守るCSIRTを設立しても、その機能が維持・向上されなければ形骸化してしまう。オーストラリア連邦政府税務局でCSIRT責任者を務めたレナード・クラインマン氏は、「そのためにはセキュリティを担うチームやメンバーの活躍を認めることが大切だ」と話す。 - 急増するCSIRT、立ち上げ後に考えたい次なるステップへの視点
企業ではCSIRTを設立する動きが広まる。新たに立ち上げたCSIRTが活動を推進していく上で考えておきたいポイントはどのようなものだろうか。日本シーサート協議会での取り組みをもとにまとめてみたい。 - インシデント対応の達人が語ったCSIRTブームに沸く日本企業への至言
セキュリティインシデントへ組織的に対応すべくCSIRT構築に取り組む企業が増えているが、その道のりは平たんではないようだ。JPCERT/CC、日本シーサート協議会、ANAグループ、ラックのエキスパートによる議論が行われた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.