自組織のネットワーク監視・脅威検知を外部のエキスパートに任せ、インシデント対処の効率性や的確性を増していく──。日本企業を狙った標的型サイバー攻撃をはじめとする外部からの攻撃が近年、巧妙化・高度化の一途をたどる中、専門家の知見を活用する監視/運用支援サービスが注目を集めている。監視/運用支援サービスはどのような効果が期待できるのか。その効用を説く。
エキスパートの支援で効率化
組織内部のネットワークに潜在する脅威をとらえ、適切な対処へとつなげることは、標的型サイバー攻撃による実害発生リスク、あるいは被害拡大のリスクを引き下げるための重要なプロセスだ。そのプロセスを確立するための脅威センサとして、トレンドマイクロの「Deep DiscoveryTM Inspector」(以下、DDI)を導入する企業が増えていることでは本連載でも幾度か触れたとおりだ。
DDIの特長の一つとして、脅威の状況を危険度に応じて可視化する機能を備え、検知した脅威をわかりやすくユーザーに提示する点がある(下図、DDIダッシュボード画面の例)。ユーザーは、DDIの発する情報から自組織にとって最も緊急性が高い事象を即座に選び、適切な対処に結びつけることができる。
※クリックすると拡大画像が見られます
本連載3回目でYahoo! JAPAN高 元伸氏も指摘しているように、上記のDDIのようにセキュリティ製品を利用することで、人が対処すべき範囲を狭め、負担を軽くすることは、脅威が複雑化する今、まさにセキュリティ対策に求められていることといえるだろう。
こうした検知・可視化、対処のプロセスは、自組織にセキュリティ専任の担当者が多くいれば難しいことではないはずである。だがセキュリティ専任の担当者がいないような場合、そのようなプロセスを回していくのは、どうしても非効率になりやすい。
さらに、サイバー攻撃に対しては、24時間365日の体制で監視するのが理想と言えるが、このような体制もセキュリティ専任の担当者がいない、あるいはその数に限りがある組織で築くのは不可能に近い。
そんなユーザーの不安や課題の解決を支援する、即効性の高い手段と言えるのが、トレンドマイクロのパートナー企業が提供するDDIの監視/運用支援サービスだ。エキスパートが持つ知見を活用することで、ユーザー組織は防衛体制を効率化できるのである。 エキスパートが“伴走”することでユーザー企業は効率的なセキュリティ体制を構築できるとも言える。
対処の初動がすばやく的確に
田中 健太郎氏
トレンドマイクロ株式会社
プロダクトマーケティング本部
ネットワークセキュリティグループ
シニアスペシャリスト
監視/運用支援サービスでは、DDIのログを受け取り、分析する。ログをセキュリティエキスパートが24時間365日体制で分析し、危険度の高い脅威が発見された場合には、影響度を含めて即座にユーザー組織に報告する。
「その大きな特徴は、セキュリティのエキスパートがユーザー組織の代わりにログを分析し、即刻の対処が必要な脅威情報をアラートとして(場合によっては初動のアドバイスとともに)スピーディに通報することで、ユーザー組織はすばやい初動体制を展開できるようになります。重要なインシデントに対する初動の遅れ、それによる被害拡大のリスクを未然に回避することが可能になり、自らのログの見逃しや読み違いによって実害を招く不安からも解放されるのです」と、トレンドマイクロの田中 健太郎氏(プロダクトマーケティング本部 ネットワークセキュリティグループ シニアスペシャリスト)は説明する。
監視/運用支援サービスは、ユーザー組織に導入されているDDIからログを収集、その相関分析によってアラートの精度を高めるといったことも提供している。
「例えば、DDIによって、あるクライアントPCがC&C通信を試みたことが検知されたとしましょう。DDIでPCに侵入した脅威の兆候を検出することができましたがその危険度は一意ではなく、このC&Cサーバとの通信の成否によって脅威の本当の深刻度は異なってきます。そこで、プロキシサーバのログを合わせて照合し、通信の成否も含めて分析してアラートの精度を高めていく。こうした相関分析は、エキスパートでなければなかなか成しえないことです。また、エキスパートならば、大量のログの中から脅威の徴候を見出すこともできるのです」