これからのセキュリティ対策のポイント「Red」「Blue」そして「Purple」――ゲームを活用したシミュレーションで攻撃への理解を深めよ
検知を回避しようとするマルウェアの特定を急ぐために
防御型のセキュリティ「Blue Team」
続いてDavies氏は、防御側のBlue Teamについて説明。Davies氏は、SIEM製品の管理画面を示し、これは防御における始まりの一歩に過ぎないとした。 デロイトでは、制御システムへのハッキングを念頭とした鉄道モデルとして、ハッキングによってレールの分岐器を不正操作し、列車同士を衝突させるというデモを行う。こうした攻撃も、SIEM製品を使えば、攻撃をステップごとに視覚化することができる。防御においては、いかに攻撃の流れを視覚化し、サイバーキルチェーンをはっきりさせるかがポイントになるという。
組織ではもはやSOCは必須だ。さらに次のレベルとしてDavies氏は「脅威ハンティング」を重要視する。脅威ハンティングとは、文字通りに脅威を捕らえることだ。たとえアラートが上がっていなくても、すでに攻撃が仕掛けられている可能性もある。例えば銀行を狙う攻撃が多くなったときに、自社ではアラートは上がってないが、単に攻撃を視覚化する機能がないだけかも知れない。そこで平時のパターンを可視化しておき、普段と違うパターンを攻撃の兆候として検知できるようにする。

さらに最近では、組織内に侵入したマルウェアがC&Cサーバと通信を行う際に、常時接続をしなくなった。これにより検知を回避しようとしているわけだが、異常検知に数学的な手法「線形回帰」を取り込むことで検知が可能だ。通信を監視していると、すべての接続はランダムなドットになる。そこに線形回帰の手法を加えると中間値が得られる。これによって攻撃をより簡単に特定できるわけだ。
Blue Teamには、高度な訓練と幅広いスキルが求められる。いろいろな訓練を受けて、多くのスキルを身につけて成熟していなければならない。
この記事は参考になりましたか?
- Security Online Day 2018 イベントレポート連載記事一覧
-
- サイバークライシスに対処する準備ができていますか? 「サイバーウォーゲーミング」でレジリエ...
- これからのセキュリティ対策のポイント「Red」「Blue」そして「Purple」――ゲーム...
- 適切なサイバーセキュリティ対策の確立に向けた努力を――名和利男氏が解説する「机上演習(TT...
- この記事の著者
-
吉澤 亨史(ヨシザワ コウジ)
元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア