SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

Security Online Day 2023 秋の陣 レポート(AD)

「エンドポイントだけでは不十分」──インシデントの全体像を把握するために、複数製品の相関分析は必須

SOCで統合監視を実現へ。その最適解をマクニカが伝授

 サイバーセキュリティの複雑性が増す中で、セキュリティ運用サービスの「SOC(Security Operation Center)」が注目されている。SOCのメリットを最大限に活用するためには、いくつかのポイントがあると話すのはマクニカ セキュリティサービス事業部の沼田宗時氏。「Security Online Day 2023 秋の陣」で、沼田氏は「SOCの最適解と事業者選定ポイント」と題して、統合監視が求められる背景や有効な監視体制について説明した。

侵入後、横展開が始まるまでは“わずか84分”

 最初に沼田氏はサイバー攻撃の現状に触れた。

 ランサムウェアに限って見ても、警察庁に報告されたものだけでも2020年下半期は21件だったのが2022年上半期には114件となるなど、件数は右肩上がりで増加している。

 件数の増加だけではない。ランサムウェア攻撃は高度化し、複雑化している。沼田氏は「84分」というCrowdStrikeが出した数字を紹介した。最初に侵入してから端末を侵害し、周囲を偵察して他の端末に移る“ラテラルムーブメント”を行うまでの時間だ。「横展開が行われているということは、権限昇格なども行われてかなり危険な状態になっている」と沼田氏。わずか84分で高い脅威レベルになっていると言えそうだ。

 これに加え、夜間や休日など業務時間外に攻撃されるインシデントの比率が増えているというデータも紹介する。「もはやセキュリティ製品の監視は、業務の片手間でできるものではない。24時間365日体制のSOCによる監視が必須と言える」(沼田氏)。

ランサムウェア攻撃の動向
クリックすると拡大します

ランサムウェア対策は「EDRだけでは不十分」

 では、最近のランサムウェア攻撃はどのようになっているのか。沼田氏はランサムウェア攻撃の流れを説明した。

 まず傾向として「様々な入口から侵入を行い、ネットワークの深くまで侵入して環境内をしっかり偵察する。そのため、インパクトが大きい重要なサーバーが被害に遭っている」と説明する。

 流れとしては、メールや外部に公開されたVPNなどの脆弱性を利用して「侵入」し、最初に侵害した端末で探索ツールなどを使って内部を「探索」、侵害した端末を継続的に利用できるように「永続化」する。さらに、再度重要サーバーなど、さらなる足場を求めて、侵害範囲を広げる活動を行う(「再探索」)。ここが「ブレイクアウトタイム」となり、先述のように84分となる。

 その後はファイルサーバーなどから情報を盗み出し、外部にアップロードするなどのことを行う(「情報搾取」)。そうした後、最後にサーバーを暗号化したり、バックアップの破壊活動を行う(「目的実行」)。

 そのようなランサムウェア攻撃に対応するためには、どのようなセキュリティ製品の監視が必要なのか。沼田氏は以下の「各セキュリティ製品の監視範囲」を用いて、EDR(Endpoint Detection and Response)やIPS(不正侵入防止システム)、NDR(Network Detection and Response)からProxyやAD(Active Directory)などのネットワークや認証関連の対象を説明した。

各セキュリティ製品の監視範囲
クリックすると拡大します

 つまり、6ステップすべてをカバーするためにはエンドポイントのみならず、ネットワークや、認証系などの情報も監視する必要がある、と沼田氏はまとめる。

次のページ
インシデントの全容理解のために複数製品の相関分析は必須

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
Security Online Day 2023 秋の陣 レポート連載記事一覧

もっと読む

この記事の著者

末岡 洋子(スエオカ ヨウコ)

フリーランスライター。二児の母。欧州のICT事情に明るく、モバイルのほかオープンソースやデジタル規制動向などもウォッチしている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:株式会社マクニカ

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18531 2023/11/16 11:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング