サイバー攻撃が増加し、手法も高度化するにつれ、「防御策も重要だがそれだけでは防ぎきれない」事実も明らかになってきた。そこでこの数年多くの企業が、Security Operation Center(SOC)やComputer Security Incident Response Team(CSIRT)の構築に取り組み始めている。
SOCの主な役割は、エンドポイントやネットワークに脅威の兆候がないかを監視し、アラートの内容を精査することだ。ここで疑わしい事象が浮上したら、インシデント対応に当たるCSIRTと連携して対処し、早期発見・対応に務める。万一侵入されたとしても侵害が広がる前に食い止めることで、被害を最小化し、事業継続を確保するという考え方に基づくものだ。
ただ、SOCの最前線で対応に当たるセキュリティ運用者の負担は年々増している。というのも、セキュリティ担当者が見るべきポイントは1つではなく、アラートのソースが増えれば増えるほど、分析の手間も増すからだ。ネットワークの防御を実現するファイアウォールやIDS/IPS、メールのフィルタなどに加え、PCに導入されたエンドポイントプロテクション製品、あるいはEDR製品に至るまで、種類も範囲も幅広い対象から上がってくるアラートを、24時間365日体制で監視しなければならない。
ITシステムだけを対象にしたSOCでもこの状態だ。この先監視対象にIoTやOTシステムも加わってくれば、SOCの負荷はますます高まることになるだろう。一方で、セキュリティ監視に関する知見を持つエンジニアは、国内はもちろん、世界的にも不足が続いている。そんな中では「SOCの働き方改革」が必要だと、マイクロソフトは訴えている。
人の頑張りに頼るのではなく、ツールを駆使してセキュリティ運用の効率化を
では、SOC運用はどのように変革していくべきだろうか。ここで生きてくるのが、さまざまなツールの力だ。
長年、SOCに代表されるセキュリティ運用は、現場のエンジニアの知見と手作業に頼るところが多かった。優れた運用担当者が、ファイアウォールやプロキシサーバのログの中から「ここがおかしい」と感じた部分を掘り下げ、エンドポイントの挙動などを突き合わせ、マルウェア感染に起因する外部との不正な通信などを突き止めてきた。だが前述の通り、こうしたスキルを持つエンジニアはそう多くはない。
ここを肩代わりするツールとして徐々に導入が広がっているのが「SIEM」(Security Information and Event Management)と呼ばれるログの統合分析基盤だ。さまざまなネットワークセキュリティ機器やエンドポイント、さらには認証基盤などのログやイベント、アラートを集約し、相関付けながら分析を行っていく。人があれこれコンソールを見比べなくても、システムの状況を包括的に、また横断的に可視化でき、サイバー攻撃によって引き起こされたさまざまな「点」を一つの「線」としてとらえることができる。
SIEMによって脅威の兆候を捕まえたなら、次はCSIRTとともにしかるべき対処を取ることになる。たとえば、あるPCがマルウェアに感染して外部と通信していることがわかったならば、そのPCをネットワークから遮断するとともに、当該マルウェアに感染した端末が他にもないかを検索する。そして、通信先のIPアドレス情報を他のセキュリティ製品に反映させ、社内の他の端末が同じ被害に遭わないよう予防する——といった一連の対応を取ることになる。
こうしたいざというときの対応策をマニュアルとしてまとめている企業は多いだろうが、「SOAR」(Security Orchestration, Automation and Response)と呼ばれる仕組みを活用することで、あらかじめ定めた「プレイブック」に従って一連の対応を自動的に実施できる。ランサムウェアに代表される最近の攻撃は、スピーディに対処しなければあっという間に被害が広がってしまう。SOARを用いて対応を自動化することで、時間との闘いでもあるマルウェア対処を迅速に、効率的に行うことができる。
そしてもう一つ、SIEMを補う存在として、機械学習技術などを用いてユーザー一人一人の単位で振る舞いを解析し、平常時と異なる動きを検出する「UEBA」(User and Entity Behavior Analytics)に注目が集まっている。あるユーザーの端末から、普段はめったに使わないデータベースに深夜にアクセスがあった——といった、平時の動きから逸脱した事象を検知するとアラートを出す仕組みだ。フィッシングなどによって認証情報を盗み取られたり、マルウェアに乗っ取られて不正行為を働く動きもあぶり出せる。
人間の力は素晴らしいが、その頑張りだけに頼った運用は持続可能とはいえない。うまく技術を活用することでさまざまなサイバー脅威に効率的に、確実に対応していくことができるだろう。
ITとOTの境目を越えてくる脅威には、ITとOTを俯瞰的に監視する体制で対処を
このSIEMとSOAR、UEBAを統合したソリューションの1つが「Microsoft Sentinel」だ。MicrosoftはこのソリューションをITの領域だけでなく、IoT/OTといった領域にも適用することで、企業を脅かす幅広い脅威から保護しようと試みている。
背景には、IT環境とOT環境の境目を越えて侵入してくる脅威の存在がある。たとえば2017年、中東の石油化学プラントに対して攻撃を仕掛けたマルウェア「Triton」は、最初にIT環境に侵入し、権限を奪った上でOTネットワークへのアクセスを試み、プラントをコントロールするPLCの機能を無効化させようとした。
もしこうした攻撃が成功すれば、プラントや工場の正常な稼働が妨げられる。この結果、起業が多大な経済的損害を被るのはもちろんだが、火災や爆発などの事故が引き起こされ、人命や社会にまで深刻な影響を及ぼす恐れもあるだろう。
こうした事態を防ぎ、また仮にITシステムに侵入されたとしてもIoT/OTへの侵害といった深刻な事態に陥る前に食い止めるには、ITとOTの両方の環境にまたがって全体を監視し、攻撃を検出していく仕組みが欠かせない。つまり双方を俯瞰する形でSIEMとSOAR、UEBAを活用することが、少ない人員でも効率的にセキュリティ運用を回し、被害が顕在化する前に食い止めるポイントと言えるだろう。
このセッション「組織全体の脅威を可視化するMicrosoft Sentinelとは〜PCからIoTまで〜」ではMicrosoft Sentinelを軸に、IT環境とOT環境の双方をモニタリングして攻撃の可能性が高い動きを見つけ出し、優先順位を付けた上で自動的に対処していく道筋を、サンプル画面を交えながら紹介している。セキュリティ運用負荷の増大に悩んでいる企業はもちろん、これから本格的にOTセキュリティ体制の整備に取り組む企業にとっても参考になるだろう。
