PwCコンサルティングは4月10日、セキュリティ情報イベント管理(SIEM)と同種の仕組みを持つセキュリティ基盤「Managed Threat Intelligence & Detection」(以下、MTID)を発表した。SIEMのログ統合管理に加えて、同社およびグローバルで脅威アクター分析を行い、クライアントを標的とする攻撃を見極めて、検知ルールを優先的に導入するという。
PwCコンサルティングが提示した、日本情報経済社会推進協会(JIPDEC)の「IT-Report 2023 Spring」によれば、2023年5月時点で、ネットワークやシステムを24時間監視し、情報資産を保護するセキュリティオペレーションセンター(SOC)の整備率は31.4%。1年以内の利用開始予定は19.4%、3年以内の利用開始予定は13%、導入予定なしは26.8%に及ぶという。
他方で日本ネットワークセキュリティ協会(JNSA)が2024年2月に発表した「インシデント損害額調査レポート 別紙『被害組織調査』」によると、2022年上半期だけで2021年の公表インシデント発生件数328件を大きく上回る382件に達した。
PwCコンサルティング パートナーの辻大輔氏は「攻撃が高度化かつ未検知で、対応できていない」と懸念を抱いている。その上で「自社で発生しうる脅威シナリオに基づく検知力アップ」「初動対応のスピードアップ」「次回攻撃を予測した積極的な運用」「マルチSOCを運用するグローバル組織の検知力平準化」を実現するのがMTIDだと説明した。
MTIDのダッシュボード
具体的には、PwCコンサルティングおよびグローバルでサイバー脅威に関する情報を収集し、オープンソースでマルウェアを特定して分類する「YARAルール」に基づいて、ログを送信するデバイスやサービスに展開する。受信したログは組織の業務内容に応じた監視ルールを展開して、リアルタイムに分析を行うという。何らかのインシデントが発生した際は、同社が原因調査やフォレンジック(各種分析)などをオプションで提供している。
一般的なSOCで問題となるのは誤検知だが、MTIDは特権認証が連続で数回失敗するなど、攻撃なのか否か判断しにくい場合、不正侵入検知システム(IDS)や不正侵入防止システム(IPS)が用いるアノマリー検知でリアルタイムレポートを作成する。辻氏は「(レポートを)ドリルダウンして分析すれば攻撃か否かを判断できる」という。
誤検知自体も件数に応じて監視ルールに昇格させる機能も備える。MTIDの肝心となるのは監視ルールだが、グローバルで39業種に対応。前述のアノマリー検知ルールと攻撃検知用ルールを組み合わせ、サイバー攻撃検出1カ月以内にルール配信を行う。
MTIDのサービス概要
PwCコンサルティング シニアマネージャーの坪井りん氏は、同ソリューションの開発概念を「国盗(と)りゲームからインスピレーションを受けた。その理由は2つ。1つ目はリアルタイムに対策しなければならないと同時に、中長期的な保護プランを考える点などパラダイムが似ている。2つ目は情報の見せ方。ゲームと同様に(サイバー対策で必要となる)情報量は多く、的確な情報を提示する点を参考にした」と説明した。
