導入しやすく運用しやすい次世代セキュリティ
NDRでサイバー犯罪者の優勢に立つ

ExtraHop Networks Japan
カントリーマネージャー
福山貴也氏
インタビュイー
ExtraHop Networks Japan
カントリーマネージャー
福山貴也氏

サイバーセキュリティ業界において15年以上、大手日本企業に対するセキュリティソリューションの啓蒙・営業活動に従事しました。直近ではファイア・アイ株式会社やメンロー・セキュリティ株式会社の日本事業の立ち上げ、およびエンタープライズ営業本部、金融営業本部の上級職を歴任しました。 2020年4月、ExtraHop Networksの日本進出にともない、日本ビジネスの総責任者としてExtraHopの日本事業の立ち上げ、および日本国内のパートナービジネスの強化に従事しています。大手企業へのNDRソリューションの啓発活動含め日本における事業全般の成長戦略を担っています。

SIEMやEDRだけで
巧みな攻撃を防ぐことができるのか?

 企業を狙うサイバー攻撃は、依然として衰えることがない。あたかもITの進化や活用の変化に合わせるかのように、次々と新しい攻撃手法が登場している。「サプライチェーン攻撃」「APT(Advanced Persistent Threat)攻撃」「ゼロデイ攻撃」など、よく耳にする攻撃も、猛威を奮っている。

 攻撃手法が変化するならば、防御手法も変化しなければならない。以前は、企業とインターネットの境界部分の守りを固めて、脅威の侵入自体を防ぐ対策が主流であった。しかし、昨今の高度化する脅威に対しては、境界部分を守るだけでは不十分である。脅威の侵入を100%水際で防ぐことは不可能であり、いったん内部に侵入されてしまうと脅威を見つけることが極めて困難になるという弱点がある。そこで今は、侵入・侵害を前提とした上で、情報漏えいやシステム破壊などの攻撃を成功させない対策が必要とされている。

 そこで多くの企業が、新しい防御手法を導入しようと取り組んでいるはずだ。以前から注目されている対策としては、「SIEM(Security Information and Event Management)」、最近では「EDR(Endpoint Detection and Response)」が挙げられる。

 SIEMは、組織内のセキュリティシステムが出力するさまざまなログを集約し、相関分析することで、ネットワークを監視したり、攻撃やマルウェアを検知する仕組みである。いずれか一カ所の情報では分かりにくい攻撃も、流れを追えば判別しやすいというわけだ。近年、高い効果が得られるとあって、国内企業でも普及が進んでいる。

 EDRは、従業員が利用するPCやサーバーを監視し、エンドポイントで不審な挙動を検知する仕組みである。PC/サーバーに「エージェント」をインストールし、アプリケーションの通信やユーザーの行動を監視して異常を発見する。コロナ禍でリモートワークが広がる中、注目度が増している。

 しかし、ExtraHop Networks Japan カントリーマネージャーの福山貴也氏は、SIEMやEDRだけでは対策が不十分と指摘する。

 「内部ネットワークにはログやエージェントベースのテクノロジーを利用しても可視化が不十分な領域が多く存在し、場合によって7割近くがブラインドスポットとなっています。侵入した脅威はこのブラインドスポットで活動するため、また、攻撃トラフィックの3分の2は暗号化された通信に紛れるため、検知が困難なことが挙げられます。高度な攻撃は2か月近くも組織内部に潜伏し活動を繰り返すという報告からも、内部に侵入した脅威を発見することが難しい事実を示唆しています。さらに、攻撃者は、検知を回避するためにログを削除したり改変したりします。最新のサイバー攻撃へ対処するためには、ブラインドスポット内で活動する脅威を可視化し即座に対応できる技術が欠かせません。」(福山氏)

完全な可視化から始める
次世代セキュリティ

 そこで検討したいのが「NDR(Network Detection and Response)」である。NDRは、トラフィックを包括的に監視・分析してネットワーク全体を可視化し、あらゆる脅威へリアルタイムに対処できるようにする次世代のセキュリティ技術である。基本的にエージェントレスで、パッシブにトラフィックを分析するため、攻撃者が気づきにくい──対策を回避されにくいという特徴を備えている。社内ネットワークやクラウド内のワークロード、可視化が難しいIoTデバイスであっても幅広く可視化できる。

 SIEM、EDR、NDRは、いずれも侵害を前提としたセキュリティ技術である。もし導入の優先順位に悩んでいるのであれば、まずNDRから始めることをお勧めしたい。

 EDRは、エンドポイントにエージェントをインストールする必要がある。全ての端末に導入することが望ましいが、その作業には長期間かかり、パフォーマンスや互換性の懸念から導入できないシステムや、そもそもエージェントを導入できないIoTデバイスなどがあるかもしれない。つまり、カバー率を100%にするのが難しい技術なのだ。特に大きなサプライチェーンを持つ企業の場合、端から端までEDRをインストールすることは極めて困難である。

 SIEMは導入している企業が多い技術だが、やはり弱点がある。ログを取得できるシステムは限定されており、ノイズ情報も多い。膨大なログを収集・蓄積する必要があり、ストレージコストも肥大化しやすい。全てのログを分析することは難しく、完全な可視化を実現することは難しい。

 NDRは、スイッチからパケットをミラーリングして、リアルタイムに分析する技術である。いわゆるワイヤーデータであり、サイバー犯罪者が改ざんすることもできない。パッシブに取得するため、本番環境に与える影響は軽微で、細かなチューニングも不要だ。負荷なく素早く次世代のセキュリティ対策を実装できるというメリットは大きい。

 「NDRは内部に侵入した脅威をリアルタイムに可視化・検知できるため、攻撃者の侵入をいち早く検知し被害の進行・発生を防ぐ手段としては最も効果的な対策となります。NDRを土台として組織全体をカバーした上で、必要に応じてSIEMやEDRとも連携することで、より強固なセキュリティ運用の構築を目指すべきです。」(福山氏)

提供:ExtraHop Networks Japan株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2022年1月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]