ここで紹介するセッションのテーマは「マイクロソフトが考えるXDRおよびSIEMによる脅威検知・対処の在り方」。日本マイクロソフトのクラウド&ソリューション事業本部 テクノロジーソリューションプロフェッショナルを務める朝倉麻衣氏がセッションを担当した。
XDRおよびSIEMが求められる背景
2021年にIPAが発表した内容「情報セキュリティ組織10大脅威2021」を引用し、重要度の高い脅威の第1位にランサムウェア攻撃を取り上げた。また、実際の被害報告として、警察庁が発表した「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、ランサムウェアによる被害が2021年上半期の発生件数が前年の下半期に比べて3倍上回ったという。
侵入経路で多かったのはリモートデスクトップからの侵入、メールの添付ファイルからの侵入などだが、手段は多岐にわたっている。被害は、大企業・中小企業を問わず発生しており、その脅威は身近に迫っている。この状況に対処するには、現代のIT環境の変化を考慮する必要がある。
現代のIT環境において最も大きな変化は、クラウド化が進んだことにより、システムの利用者や機器の所有の範囲が広がったことである。安全な場所と、そうでない場所を切り分ける境界防御の考え方が通用しなくなってきている。
こうした環境の変化により、セキュリティ対策の新しい考え方として「ゼロトラスト」が急速に広まっていったのである。動画では、マイクロソフトが考えるゼロトラストの3つの原則を紹介する。さらに、現代のインシデント検知の難しさを指摘し、検知のあるべき姿を提唱している。ぜひウェビナー本編を確認してもらいたい。
マイクロソフトが考えるXDRおよびSIEMでの脅威検知・対処の在り方
マイクロソフトは、最新の脅威検知・対処の在り方として、「SIEM(Security Information and Event Management)」と「XDR(Extended Detection and Response)」を用いる方法を提唱する。SIEMは、ファイアウォールやプロキシなどのログを一元的に集約し、不正の検出や分析を行う機能である。XDRはメールやデバイスなど各環境で検出される複数のアラートを紐づけて1つのインシデントとして脅威を検知する他、企業のユーザ環境やインフラ環境の保護を行う。両者を用いて、組織全体のセキュリティインシデントを管理できる仕組みを構成することで、効率的で有効性の高いセキュリティ運用を実現できると考えている。
デモンストレーションは、まずMicrosoft Sentinelのポータル画面からスタート。テンプレートを用いて、分析のルールを作成し、インシデントの通知方法を設定する場面を実演した。Microsoft Sentinelからの通知を受け取り、インシデント内容を確認。すると、ランサムウェアに関するアラートで「複数の攻撃フェーズを含むインシデントが検出」されたという内容で、デモは展開していく。
その後、Threat Investigationという Microsoft Sentinelの調査機能を用いてインシデントに関係するファイルや端末の相関関係を図示し、インシデントの概要を追跡する実演を行った。さらに詳細な調査はXDRで行うとして、Microsoft Sentinel に表示された「Microsoft 365に関する調査」というリンクをクリック。アラートの詳細を確認した。
Microsoft 365 Defenderで、「危険度の最も高いふるまいの検出」について確認すると、プロセスの実行タイムラインが表示され、ランサムウェアに関係するファイルが「いつどこで作成されたか」が分かる。この追跡の様子も実演されている。
この他、外部のネットワークに対してデータ転送が行われたというアラートを詳細に追跡、「このプロセスを行ったプログラムは何か」、「どのような働きをしたか」、「いつどこから入ってきた」のかまで追跡できる様子を実演。最後には、被害のあったデバイスをシステムから分離する操作までを紹介している。
マイクロソフトはSIEMで企業全体の脅威を可視化
マイクロソフトの考えるゼロトラストの原則には、「侵害を想定する」という重要な考えがある。
SIEMで企業全体の脅威を可視化し、XDRと組み合わせることによって最新の脅威に対し素早く効率的に対処する方法を提唱している。このウェビナーでは、その考え方と具体的な方法を、デモを交えながら詳しく紹介しているため、ぜひチェックしておきたい。