「エンドポイントだけでは不十分」──インシデントの全体像を把握するために、複数製品の相関分析は必須
SOCで統合監視を実現へ。その最適解をマクニカが伝授

サイバーセキュリティの複雑性が増す中で、セキュリティ運用サービスの「SOC(Security Operation Center)」が注目されている。SOCのメリットを最大限に活用するためには、いくつかのポイントがあると話すのはマクニカ セキュリティサービス事業部の沼田宗時氏。「Security Online Day 2023 秋の陣」で、沼田氏は「SOCの最適解と事業者選定ポイント」と題して、統合監視が求められる背景や有効な監視体制について説明した。
侵入後、横展開が始まるまでは“わずか84分”
最初に沼田氏はサイバー攻撃の現状に触れた。
ランサムウェアに限って見ても、警察庁に報告されたものだけでも2020年下半期は21件だったのが2022年上半期には114件となるなど、件数は右肩上がりで増加している。
件数の増加だけではない。ランサムウェア攻撃は高度化し、複雑化している。沼田氏は「84分」というCrowdStrikeが出した数字を紹介した。最初に侵入してから端末を侵害し、周囲を偵察して他の端末に移る“ラテラルムーブメント”を行うまでの時間だ。「横展開が行われているということは、権限昇格なども行われてかなり危険な状態になっている」と沼田氏。わずか84分で高い脅威レベルになっていると言えそうだ。
これに加え、夜間や休日など業務時間外に攻撃されるインシデントの比率が増えているというデータも紹介する。「もはやセキュリティ製品の監視は、業務の片手間でできるものではない。24時間365日体制のSOCによる監視が必須と言える」(沼田氏)。
ランサムウェア対策は「EDRだけでは不十分」
では、最近のランサムウェア攻撃はどのようになっているのか。沼田氏はランサムウェア攻撃の流れを説明した。
まず傾向として「様々な入口から侵入を行い、ネットワークの深くまで侵入して環境内をしっかり偵察する。そのため、インパクトが大きい重要なサーバーが被害に遭っている」と説明する。
流れとしては、メールや外部に公開されたVPNなどの脆弱性を利用して「侵入」し、最初に侵害した端末で探索ツールなどを使って内部を「探索」、侵害した端末を継続的に利用できるように「永続化」する。さらに、再度重要サーバーなど、さらなる足場を求めて、侵害範囲を広げる活動を行う(「再探索」)。ここが「ブレイクアウトタイム」となり、先述のように84分となる。
その後はファイルサーバーなどから情報を盗み出し、外部にアップロードするなどのことを行う(「情報搾取」)。そうした後、最後にサーバーを暗号化したり、バックアップの破壊活動を行う(「目的実行」)。
そのようなランサムウェア攻撃に対応するためには、どのようなセキュリティ製品の監視が必要なのか。沼田氏は以下の「各セキュリティ製品の監視範囲」を用いて、EDR(Endpoint Detection and Response)やIPS(不正侵入防止システム)、NDR(Network Detection and Response)からProxyやAD(Active Directory)などのネットワークや認証関連の対象を説明した。
つまり、6ステップすべてをカバーするためにはエンドポイントのみならず、ネットワークや、認証系などの情報も監視する必要がある、と沼田氏はまとめる。
この記事は参考になりましたか?
- この記事の著者
-
末岡 洋子(スエオカ ヨウコ)
フリーランスライター。二児の母。欧州のICT事情に明るく、モバイルのほかオープンソースやデジタル規制動向などもウォッチしている。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
提供:株式会社マクニカ
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア