重要なのは侵入された後の対応--セキュリティベンダー座談会(2) - (page 5)

吉澤亨史 山田竜司 (編集部) 怒賀新也 (編集部)

2015-11-10 07:00

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

染谷氏 サイバー犯罪者がネットワークに侵入した後の動きは、たいていIT管理者が普通にやってもおかしくない挙動、あるいは一般従業員がやってもおかしくないような挙動をします。そうすると、単発の動きをみていても、それが本当に不正なものかどうかを判別するのは非常に難しい。そこでトレンドマイクロが着目しているのは、どういった一連の挙動が悪意のあるものによる動きの可能性が高いのかを選別していくという動きです。

 日々さまざまなインシデントのケースに対応していて、監視もやっています。その中で、トレンドマイクロのセキュリティの専門家が日々見ている新しい攻撃の手法や単発の動き、また組み合わせの動き、そういったものが見つかったときに、いかに即座に機械に反映させるかという動き。それをいかに自動化させるか。そこに注力しています。

 とはいえ、先ほどのTARGETと一緒で、残念なことに使いこなせるIT管理者の方が非常に少ない。われわれの調査で見ても、セキュリティを理解している人材がIT部門にいるという会社は、大中小の企業を含めても3割いないのです。そうなってくると、使いこなせるような会社、官公庁、自治体は当然限られます。

 そのためわれわれが伝えたいことは、自前でできるのであれば大いに活用してください。ただ、自前でできなかったとしても、監視を通じて何か予兆があったときにアラートを上げて、もしかしたら何かが起き始めているのかもしれないというような監視サービスは、セキュリティの専門家が提供しているものがいくらでもあります。そういった専門家の知見を活用するという手段があることを、世の中の皆さんにぜひ知っていただきたいということです。


パロアルトネットワークス エバンジェリスト兼テクニカルディレクター 乙部 幸一朗氏
同社日本法人設立から参画。ネットワークエンジニアとしての経験を活かし次世代ファイアウォールの国内第一人者として活躍

乙部氏 私は少し違った視点で見ています。Targetの例が出ましたが、ではTargetはセキュリティ対策をしていなかったのかというと、おそらくすごく高いレベルでセキュリティ対策していたと思うのです。製品的にもファイアウォール、IPS(不正侵入防御システム)、サンドボックスまで入れて、24時間365日でSOCも運用されていました。

 それなのに、なぜやられてしまったか。これには3つの特徴があると考えています。ひとつはインターネットの入り口出口対策にすごくしていたこと。TARGETも入り口出口のセキュリティ対策は高いレベルでしたが、内部についてはまったく対策していなかった。Targetへの攻撃手法は、最初の収集サーバの内部に立てられたC&Cサーバの部分にはゼロデイの脆弱性、未知の脅威を使っていたのですが、POSを狙ったBlackPOSと呼ばれるものは既知のものでした。極端な話、拠点では通常のアンチウイルスでBlackPOSを止めることができていたわけです。

 2つ目は、複数のセキュリティ対策製品を入れられていたことです。でも、これは3つ目にもつながるのですが、自動的に連携させずSOCがSIEMなどで分析してアクションを取っていた。これに関して今後どう修正していくか、どう対応していけばいいか。

 ひとつは、基本的に人手を介してやっていくのは限界があると思っていまして、そもそも「自動的に止める」「事前に予測する」といいますが(侵入後に)「止める」「防止」するというところまでいかにやっていくかがポイントです。たとえば車の世界では、アクティブセーフティとパッシブセーフティという言い方をします。事件や事故が起きる前に止めるというアプローチと、事件が起きた後に被害を最小限にするというアプローチですね。

 車でいうパッシブセーフティは、シートベルトやエアバッグ。これらは事故などがあったときに被害を抑えてくれます。一方、アクティブセーフティはいわゆる自動ブレーキですね。事件・事故が起きる前に車を停めてくれる。これはどちらも必要なのですが、ネットワークやセキュリティの世界でいうと、いわゆるアンチウイルス、IPS、ファイアウォールがアクティブセーフティ。バックアップ、IDS、サンドボックス、SIEMがパッシブセーフティになります。

 でも、それぞれを単体で使っている分には、みんなパッシブセーフティなんですね。皆さんが先ほどから言われているように、運用している中で予見・予兆を見つけることは大事なのですが、ポイントは「見つけた後に何をするか」という話なんです。ポイントは「パッシブセーフティからいかにアクティブセーフティにつなげるか」という部分です。

 これらを人手を介してやるのは難しいと思います。できるだけ自動化して、パッシブからアクティブに、分析して止める仕組みに持っていくことが重要だと思います。

 3つ目のポイントはインテリジェンスの部分です。例えばマルウェアのアラートが100件上がったときに、対応先の優先度を判断できることが、今後のポイントになってくると思います。インテリジェンスの活用で、それを判断して最も優先度の高いものから対応できます。ポイントとしては「防止する」というアプローチと自動化、そしてインテリジェンス。これらが今後重要なのではないかと感じています。

 (3)に続く。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み

関連記事

関連キーワード
座談会@ZDNet

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル
  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは
  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策
  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性
  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

マイナンバーカードの利用状況を教えてください

投票する

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]