サイバー攻撃の脅威が猛威を振るうなか、予算も人材も限られた状況で、今後のセキュリティ戦略について頭を悩ましているIT担当者は多いだろう。そうした課題に応える1つの回答が、2017年6月9日に開催された、ITサービスマネジメントベンダーServiceNowのイベント「Limitless IT」で示された。
セキュリティベンダーのパロアルトネットワークスとServiceNowが登壇した「人手がかかりすぎるセキュリティからの脱却!『脅威インテリジェンスと自動化』とは?」と題したセッション終了後、2人のスピーカーに、ZDnet Japan編集長・怒賀新也が話を聞いた。
“つぎはぎ”と“組織の壁”が、セキュリティ運用を複雑にする
怒賀セキュリティの運用において、多くの企業は今どのような状態にあるのでしょうか?
パロアルトネットワークス
シニアプロダクトマーケティングマネージャー
広瀬 努氏
広瀬ユーザーはセキュリティ問題に対する応急処置を施すために、長期にわたってネットワークやエンドポイントにセキュリティ製品を継ぎ足してきました。しかし異なるベンダーの孤立した“つぎはぎ”のセキュリティシステムは運用が複雑で高額になり、インシデントが発生したときに体系立った情報を得ることすらできず、組織全体にわたって一貫性のあるセキュリティ対策をとるには人手を多く介さなければなりませんでした。
部門間の壁もあり、ネットワーク、エンドポイントそれぞれで検出された情報の共有は適切にできていません。標的型攻撃が進行する各段階にあわせて適した対策が取れれば、攻撃者は段階ごとに突破する手立てを考えなければならず、多くは、その煩わしさから標的に対する攻撃をあきらめてしまいます。
パロアルトネットワークスではネットワークとエンドポイントそれぞれに次世代型のセキュリティ製品を提供しています。ネットワークと端末の両方がセンサーとなり企業に届いた攻撃を漏れなくクラウドベースの脅威解析システム「WildFire」で解析します。徹底した解析で、マルウェアを実行するファイル、システムへの変更、通信先のIPやドメイン、DNSの参照方法など、様々な情報を、ファイアウォールからエンドポイントまで、世界中で使われている全てのパロアルトネットワークス製品に瞬時に共有します。さらに解析結果は、パロアルトネットワークスの脅威リサーチ機関「unit 42」の情報と共に脅威インテリジェンスとして蓄積されます。様々なIoC(感染の痕跡)を関連付け体系的に情報を蓄えているので、あらゆるIoCから関連する情報を瞬時に抽出できます。この脅威インテリジェンスを使った調査を可能にする「AutoFocus」というクラウドサービスを提供しています。不審な通信が検出された場合、その危険性を即座に把握することが可能です。これにより、外部への特定の通信を止めてしまうというようなセキュリティ対策のアクションをとることが可能になります。
しかし通信を止めることによって、業務に支障をきたしてしまう可能性もあります。しかるべき責任者から同意を得なければ、業務部門が混乱してしまいます。
そこで、セキュリティアクションを取るにあたり、そのシステムに関係する部門と円滑に連携する新たな仕組みが課題として上がってきました。
図:WildFireをはじめとしたパロアルトネットワークスの脅威インテリジェンスを参照可能にする「AutoFocus」
怒賀この課題に対する回答を持つのがServiceNowだった、というわけですね。
田中広瀬さんの言うように、セキュリティ運用においては検知や防御に優れたセキュリティ製品を利用するだけでなく、その脅威に関する詳細な情報を得て、攻撃を封じ込めたり排除したりするといったプロセスを迅速かつ確実に遂行することが重要です。
ServiceNowは、もともとITサービスマネジメントが発祥ですから、人やシステムをまたがるプロセスを管理することが得意です。セキュリティチームやインフラチーム、広報部門、アウトソース先など多彩な組織にまたがって、それぞれの対応を盛り込んだフローを作るのはServiceNowの領分なのです。加えてITサービスマネジメントやITオペレーションマネジメントで利用するための構成情報の管理も以前から対応しています。
逆に、我々にとっては、「セキュリティの脅威」に関する情報を得ることが課題でした。適切な情報がなければ、セキュリティインシデントに対する初動が遅れるなど問題が大きくなってしまいます。今からServiceNowだけの力で、パロアルトネットワークスさんのように長年の蓄積があるベンダーに匹敵するナレッジを蓄積するのは困難です。ユーザー企業がセキュリティ運用、とりわけセキュリティインシデント発生時などの対応を、効率的かつ確実にオペレーションできるようにするには、高度な脅威インテリジェンスを有するパロアルトネットワークスさんのようなパートナーが必須だと考えていました。
怒賀それが今回の協業につながったということですね。
広瀬両社ともクラウドにプラットフォームを持っているため、情報を連携させる上でも親和性が高いのです。今回の協業で構成情報と脅威情報の連携や、ワークフロー・オーケストレーションによるセキュリティ運用の効率化を提案できるようになりました。
ServiceNow Japan
ソリューションコンサルティング統括本部
シニア・ソリューションコンサルタント
田中 慎太郎氏
田中ServiceNowが提供するプラットフォームは、様々な情報を取り入れて有効に活用するための枠組や箱のようなものです。パロアルトネットワークスさんは、その箱の中身となる、充実した情報を持つ重要パートナーの一つだと考えています。
怒賀今回の両社の連携では、具体的にどのようなことが可能になるのでしょうか?
田中セキュリティ対応に必要なアクションが一カ所でできるようになることです。また、セキュリティチームは各組織への連絡などにメールやFAX、電話などの手段を用い、それらの情報をExcelで管理していることが多いのですが、こうした手法が対応の効率性を下げる要因になっています。そこをワークフローに置換してマネジメントし、可能な限り自動化することが重要です。そして、イベント検知から始まる一連のフローを、インフラへの操作も含めたアクションまで全て自動化できるようになります。
自動化は、時間やコストだけでなく確実性を高めるためにも役立ちます。たまにしか発生しない出来事に対して、非常時にきちんとルール通りに実行できるかどうか、例えばエスカレーションする範囲を間違えないかどうかが、企業の浮沈をも左右しかねません。
