限られた予算、人手不足、アラート疲れ…
逼迫するセキュリティ運用の現場に対して
Rapid7が提案するインシデント対応アプローチ

  • ラピッドセブン・ジャパン
    シニアセキュリティコンサルタント

    青木和仁氏
    CISA
  • ラピッドセブン・ジャパン
    シニアセキュリティコンサルタント

    本田俊夫氏
    CISSP
  • ZDNet Japan編集長

    國谷武史

セキュリティのカギは「自動化」と「アウトソース」

 サイバー攻撃の脅威が企業に大きな被害をもたらし続けている。国防や社会インフラといったセキュリティに十分な予算をかけていると思われる企業も例外ではなく、日本を代表する企業が毎年のように被害を受けている状況だ。

 加えて近年では、デジタル化を進める企業がクラウドサービスの設定ミスや自社開発したアプリの脆弱性を突かれて攻撃を受けるといったケースも目立ち始めた。さらに、新型コロナウイルスの影響でテレワークやリモートワークなどの働き方が広がるなか、被害も増加している。セキュリティ事故を受け付ける一般社団法人JPCERT/CCへの被害報告件数は、新型コロナ発生以降急増しているのだ。

 セキュリティはいまや重要な経営課題だ。人やプロセス、データ、サービスといった資産を保護しながら、いかにデジタル化を進め、ビジネス変革を推進していくかが問われている。しかし、実際のセキュリティ対応は、山積する課題で逼迫しているのが実態だ。

 新しい脅威が登場すれば新しいソリューションの導入が求められる。導入コストや運用コストは高止まりを続け、慢性的に人材が不足する中、限られた人数でセキュリティ運用をこなしている。さまざまなIT機器から発せられるセキュリティアラートに埋もれ「見て見ぬフリ」をしているケースも少なくない。セキュリティ被害が一向におさまらない背景の1つには「運用がまわっていない」という現実があるのだ。

 そんななか、「自動化」と「アウトソース」を活用した新しいアプローチで企業のセキュリティ対応を支援しているのが米国のセキュリティ企業Rapid7の日本法人ラピッドセブン・ジャパン(以下、Rapid7)だ。セキュリティに詳しい担当者には、侵入テスト (ペネトレーションテスト) のOSSフレームワーク「Metasploit」の開発元として知られている同社だが、近年は、クラウドやAI、脅威検知のためのデータベースである脅威インテリジェンスなどを活用しながら、多彩なセキュリティサービスを展開し、企業の経営とビジネスをサポートしている。

 Rapid7は、どのようにして企業の経営とビジネスに貢献しようとしているのか。同社のシニアセキュリティコンサルタントである青木和仁氏と本田俊夫氏に、ZDNet Japan編集長 國谷武史が話を聞いた。

侵入を前提に、どう脅威を早期に検知して対応するか

國谷 企業の経営やビジネスの運営にセキュリティ対応は不可欠です。そのためあらゆる企業が予算をかけセキュリティ対策を実施しています。しかし被害は一向に収まる気配が見えません。こうした近年の脅威の動向をどうご覧になっていますか。
青木和仁氏(以下、青木) 新型コロナウイルスのように「何か新しい脅威が発生し、それに対するワクチンや特効薬がなく混乱している」という状況ではありません。脅威自体は、例えば「既知の脆弱性を突く攻撃」、「盗まれた認証情報の悪用」、「標的型攻撃メール」のような昔からある手口を使った攻撃がほとんどです。当然、対策もあります。ただ、攻撃の量と質は大きく変化しています。ツールを使ってだれでも簡単に攻撃できるようになり、攻撃も複雑で巧妙になりました。攻撃の目的も、愉快犯というより、盗んだデータを売る、ランサムウェアによる身代金の取得といったビジネス目的の攻撃が非常に多くなっています。手間やコストをかけずに儲かるとわかれば、企業の規模や有名かどうかなど関係なく攻撃を仕掛けてきます。
ラピッドセブン・ジャパン シニアセキュリティコンサルタント
青木和仁氏, CISA
ラピッドセブン・ジャパン シニアセキュリティコンサルタント 青木和仁氏, CISA
本田俊夫氏(以下、本田) 企業側の視点から言えば、攻撃が複雑化・巧妙化したことで気づきにくくなったということができます。企業はこれまでファイアフォールやウイルス対策ソフトなどを使って、攻撃からいかに防御するかに力を入れてきました。最近は、そうした防御をすり抜けて侵入してきますから「100%の防御は不可能」という考え方が必要になってきました。国が公表している「サイバーセキュリティ経営ガイドライン」なども指摘していますが、100%の防御を目指すよりも、「侵入されることを前提に、どう脅威を早期に検知して対応するか」というインシデントレスポンスが重要になってきているのです。
ラピッドセブン・ジャパン シニアセキュリティコンサルタント
本田俊夫氏, CISSP
ラピッドセブン・ジャパン シニアセキュリティコンサルタント 本田俊夫氏, CISSP

テクノロジー、人、プロセス、文化の改善が必要

國谷 早期の検知と対応については、PCなどを対象にしたEDR(エンドポイント検知・対応)やネットワーク上で検知するNTA(ネットワーク脅威分析)、データを収集するSIEM(セキュリティ情報イベント管理)などの製品がありますね。そうした製品を導入することが対策になるということですか。
青木 いいえ、必ずしもそうとは言い切れないところに難しさがあります。最近、お客様からよく聞くのは、セキュリティアラートが多すぎて対応できないという声です。多くの予算を投じてSIEMやEDRを導入し、多くの脅威を検知できるようになりました。しかし、その情報が多すぎるあまり人手での対応ができなくなっているのです。セキュリティ部門やIT部門は常にリソースが不足していますから、そのうえでセキュリティアラートの管理が加わることで現場の逼迫感は増しています。
本田 SIEMやEDRもそれぞれ単体で導入するだけでは高い効果は期待できないという課題もあります。EDRを導入することでどのデバイスがいつ感染したかは迅速に検知できるようになります。ただ、それだけでは、攻撃者がどのように侵入してきたか、どこまで侵入しているのか、を包括的に調査・判断することはできません。よく利用される攻撃の手法の1つにユーザーアカウントの乗っ取りがあります。乗っ取った後は「正しいユーザー」として振る舞うので、デバイスだけを脅威検知の対象にしていても気づかないことが多いのです。ソリューション同士をうまく連携させること、ないしは最初から包括的な脅威検知に必要なコンポーネントが統合されたソリューションの利用が必要です。
國谷 ほかにはどのような課題がありますか。
本田 環境や技術の面からは、クラウドの活用やテレワークの普及で一元的なシステムの管理が難しくなっていること、複数のセキュリティソリューションの導入で管理が複雑化していること、脅威の動向にキャッチアップすることが難しくなっていることが挙げられます。また、人やプロセスの観点からは人手不足や「アラート疲れ」のほかにも、セキュリティ運用が属人化しがちなこと、育成に手が回らずスキル不足に陥りがちなことが挙げられます。
青木 より大きな課題としては経営陣がセキュリティに対して「インシデントは発生しないのが当たり前」と考えていたり、「何かが起きたら叱責される」という不安から事態の隠蔽化が起こりやすいといった文化的な課題もあると考えています。

トリアージまで含めたマネージドな検知・対応を提供

國谷 お話を伺っていると、現場だけに限った問題ではなく、経営や組織文化まで含めた意識改革が必要ということがわかります。ただ、それは簡単な取り組みではありませんよね。それに対して御社ではどうアプローチしているのですか。
青木 アウトソーシングを活用することと、自動化を推進することを提案しています。アウトソーシングというのは、セキュリティ運用におけるマネージドサービスの活用です。マネージドサービスは、SOC(セキュリティ運用センター)のカバー範囲を大幅に拡張したものと考えてください。Rapid7の場合、セキュリティ機器の管理だけでなく、膨大なアラートの処理から、脅威のトリアージ、インシデント対応までを含めたサービスとして「Rapid7 MDR」を提供しています。
國谷 MDRというのは、マネージドEDRのことですか。
本田 いえ、違います。MDRはマネージドディテククション&レスポンス(検知・対応)のことです。検知と対応の対象は、エンドポイントだけでなく、ユーザ (アカウント) やネットワークも含みます。本サービスのために自社で開発しているクラウドSIEM基盤やネットワークセンサー、エンドポイントエージェントなどの機能を組み合わせて、ユーザーの振る舞いや攻撃者の振る舞いを相関分析することができます。これらは、UBA(ユーザー行動分析)やABA(攻撃者行動分析)と呼んでいる分析手法で、デバイスに対する検知だけでは見えてこない脅威を可視化することができます。さらに、これらのテクノロジーだけでなく、SOCアナリストや脅威分析アナリスト、顧客専属のカスタマーアドバイザー(CA)らが連携して、人、プロセスのあり方のアセスメントやコンサルティングを含めてオールインワンのサービスを提供することが大きな特徴です。
國谷 MSSP(マネージドセキュリティサービスプロバイダー)と呼ばれる專門サービスとも異なるようですね。
青木 MSSPとの違いは、脅威のトリアージや隔離まで含めて実施するかどうかにあります。一般的なMSSPは、どのような脅威があるかを知らせてくれるところまでですが、Rapid7 MDRは、お客様と相談のうえ、必要に応じて脅威の判定から隔離までを行います。インシデントレスポンスにおける「最も重い部分」をアウトソーシングすることで、現場を負担を大幅に下げることができるのです。

セキュリティ運用のオーケストレーション/自動化/対応も

國谷 大量のアラート管理やIT環境の複雑化という課題は、Rapid7 MDRで解消できそうです。もう1つの自動化は、どういったサービスですか。
本田 いわゆるSOAR(セキュリティ運用のオーケストレーション/自動化/対応)を提供するサービスです。脅威への対応を行う場合、どのような基準で脅威と判定して、脅威と判定された場合にどう処理するかなどは企業や業務によって異なります。そこで、特定のルールに沿って動作するワークフロー(Playbook)として定義しておき自動的に処理できるようにします。Playbookに記述できるのは脅威検知だけではありません。さまざま機器やソフトウェアの動作を制御しながら、セキュリティ運用を効率化し、人や組織のあり方を改善していくことができます。
國谷 SOARによる自動化を行う場合、プログラミングやAPI開発などの作業が必要になることが多いようです。それが運用者の負担になるということはありませんか。
本田 Pythonのスキルが必須・前提となる製品もあるなか、Rapid7のクラウド型SOARツール「InsightConnect」は、GUIでマウスクリックだけでワークフローを作成できることが大きな特長です。例えば「ユーザーがフィッシングメールらしきメールを受信した」というケースでは、「調査対象のメールから添付ファイルやURLを抽出し、VirusTotalをはじめとする脅威情報サービスで調査を行い、その結果、もしマルウェアや不正なURLと判定されたら、ユーザーにSlackなどで知らせる」といった一連の動作を簡単に作成できます。もちろん、「不正」とするための条件・閾値の設定や、通知以外のアクションもあわせて実装することも可能です。また、調査までを機械的に自動で行い、材料が揃ったらセキュリティ担当者に通知をし不正か否かの判断をさせることもできます。
青木 Rapid7の製品間での連携はもちろん、他社製品についても300以上のツールやサービスと連携して、運用を自動化できることも特徴です。自動化によって、担当者が暗黙の前提で行っていたノウハウを形式知化できます。これにより属人的な運用業務を標準化し、プロセスや組織の効率化を推進できます。

セキュリティ被害を最小化し、スムーズなビジネス継続が可能に

國谷 改善活動にはPDCAサイクルが欠かせません。アウトソーシングや自動化ツールでPDCAサイクルをまわすことはできるのですか。
本田 可能です。例えば、あるお客様は、いちど検知した情報を記録し、セキュリティ機器に拒否リストとして登録することで、次に脅威が来たときにブロックする仕組みを構築しています。脅威の検知・対応の能力を継続的に向上させることでプロアクティブな対応が可能になっています。
青木 あるお客様は、弊社の脆弱性管理製品と他社のIPS(侵入検知)製品とを連携させて、OSやミドルウェアに修正パッチが必要な脅威を検知した場合に、仮想パッチを自動適用する仕組みを構築していらっしゃいます。本格的なパッチ適用までの代替コントロールを自動化することでセキュリティ強度を高めることができます。このように、SOARには無限の使い方、ユースケースがあります。
國谷 そうすることで、人や組織の改善につながっていくのですね。ほかに御社の製品で特徴的なことはありますか。
本田 日本語にしっかりと対応していることです。製品のWebUIは現時点では英語のみですが、取り扱う情報は日本語でも問題ありません。調査対象となるオブジェクトに日本語が含まれる場合や、通知を日本語で作成する、といった運用上必要となる当たり前のことに対し、実は対応できない (文字化けが発生する) 製品もあります。また、既存の製品との連携も優れているため、投資効果を最大限に高められることも強みです。バラバラに導入されている歯車1つ1つの点を線として結びつけていくことができます。
青木 Playbookで自動化することで、どのくらいの作業が効率化できるかを見えやすくなるメリットもあります。経営層が投資判断する際にも、どのくらい作業ボリュームが減るのか、投資コストが削減できるのかが定量的に把握できます。
國谷 サイバー攻撃の多くは実際には顕在化しておらず、検知・対応ができているケースも氷山の一角と言われています。今までは社内に入る人を監視カメラで見ているだけでしたが、これからはMDRを使って社内に入りこんだ不審者の動きを把握することも可能になる。また、SOARを使うことで機械が自動で隔離まで実施してくれるようになる。そうした迅速な検知・対応で被害も最小限にとどめることができ、ビジネスの継続もスムーズになる。これからのセキュリティのあり方として、マネージドサービスや自動化に期待が集まりますね。本日はありがとうございました。

ホワイトペーパー

提供:ラピッドセブン・ジャパン株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2020年10月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]