Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

これからのセキュリティ対策のポイント「Red」「Blue」そして「Purple」――ゲームを活用したシミュレーションで攻撃への理解を深めよ

edited by Security Online   2018/11/07 06:00

検知を回避しようとするマルウェアの特定を急ぐために

防御型のセキュリティ「Blue Team」

 

 続いてDavies氏は、防御側のBlue Teamについて説明。Davies氏は、SIEM製品の管理画面を示し、これは防御における始まりの一歩に過ぎないとした。 デロイトでは、制御システムへのハッキングを念頭とした鉄道モデルとして、ハッキングによってレールの分岐器を不正操作し、列車同士を衝突させるというデモを行う。こうした攻撃も、SIEM製品を使えば、攻撃をステップごとに視覚化することができる。防御においては、いかに攻撃の流れを視覚化し、サイバーキルチェーンをはっきりさせるかがポイントになるという。  

 組織ではもはやSOCは必須だ。さらに次のレベルとしてDavies氏は「脅威ハンティング」を重要視する。脅威ハンティングとは、文字通りに脅威を捕らえることだ。たとえアラートが上がっていなくても、すでに攻撃が仕掛けられている可能性もある。例えば銀行を狙う攻撃が多くなったときに、自社ではアラートは上がってないが、単に攻撃を視覚化する機能がないだけかも知れない。そこで平時のパターンを可視化しておき、普段と違うパターンを攻撃の兆候として検知できるようにする。

 

 さらに最近では、組織内に侵入したマルウェアがC&Cサーバと通信を行う際に、常時接続をしなくなった。これにより検知を回避しようとしているわけだが、異常検知に数学的な手法「線形回帰」を取り込むことで検知が可能だ。通信を監視していると、すべての接続はランダムなドットになる。そこに線形回帰の手法を加えると中間値が得られる。これによって攻撃をより簡単に特定できるわけだ。  

 Blue Teamには、高度な訓練と幅広いスキルが求められる。いろいろな訓練を受けて、多くのスキルを身につけて成熟していなければならない。


著者プロフィール

  • 吉澤 亨史(ヨシザワ コウジ)

    元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております。

バックナンバー

連載:Security Online Day 2018 イベントレポート

もっと読む

All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5