これからのセキュリティ対策のポイント「Red」「Blue」そして「Purple」――ゲームを活用したシミュレーションで攻撃への理解を深めよ

検知を回避しようとするマルウェアの特定を急ぐために

防御型のセキュリティ「Blue Team」

　続いてDavies氏は、防御側のBlue Teamについて説明。Davies氏は、SIEM製品の管理画面を示し、これは防御における始まりの一歩に過ぎないとした。 デロイトでは、制御システムへのハッキングを念頭とした鉄道モデルとして、ハッキングによってレールの分岐器を不正操作し、列車同士を衝突させるというデモを行う。こうした攻撃も、SIEM製品を使えば、攻撃をステップごとに視覚化することができる。防御においては、いかに攻撃の流れを視覚化し、サイバーキルチェーンをはっきりさせるかがポイントになるという。 　

　組織ではもはやSOCは必須だ。さらに次のレベルとしてDavies氏は「脅威ハンティング」を重要視する。脅威ハンティングとは、文字通りに脅威を捕らえることだ。たとえアラートが上がっていなくても、すでに攻撃が仕掛けられている可能性もある。例えば銀行を狙う攻撃が多くなったときに、自社ではアラートは上がってないが、単に攻撃を視覚化する機能がないだけかも知れない。そこで平時のパターンを可視化しておき、普段と違うパターンを攻撃の兆候として検知できるようにする。

　さらに最近では、組織内に侵入したマルウェアがC＆Cサーバと通信を行う際に、常時接続をしなくなった。これにより検知を回避しようとしているわけだが、異常検知に数学的な手法「線形回帰」を取り込むことで検知が可能だ。通信を監視していると、すべての接続はランダムなドットになる。そこに線形回帰の手法を加えると中間値が得られる。これによって攻撃をより簡単に特定できるわけだ。 　

　Blue Teamには、高度な訓練と幅広いスキルが求められる。いろいろな訓練を受けて、多くのスキルを身につけて成熟していなければならない。