インシデントの全容理解のために複数製品の相関分析は必須
実際のインシデント事例として、VPNの脆弱性を悪用して侵入して最初の端末を侵害、その後EDRが入っていない別のサーバーに移動して特権アカウントを取得して侵害ツールをダウンロードするという例を紹介した。
最初に侵害したPCにはEDRが入っていたため、侵害ツールのダウンロードを検知してブロックできた。しかし、EDRが入っていないサーバー(Server1)については検知されずに特権アカウントを使ってADに侵入された。いくつかのファイルを圧縮してアップロードし、最終的にランサムウェアが実行された。ADにはEDRが入っていため、検知・ブロックができたという。
監視状況としては、EDRのみSOCの外部サービスを使って監視していた。そのため、EDRが入っている最初のPCと最後のADについてはアラートが上がったが、EDRが入っていないサーバーでは状況を追うことができず、インシデントの全体像を把握するためには、SOCベンダーからの報告をもとに自社でアクセスログを確認しながら調査を行う必要があったという。ネットワークについては調査ができたものの、ADはログ量が多く、調査手法が確立されていなかったことで調査が難航した。
そのため、この事例では最終的にSOCで複数製品の統合監視を行うことにした。これにより、調査がすべてSOCベンダーで行われ、セキュリティ担当者は結果報告を受けるのみという体制になったそうだ。
このようなことから、昨今の脅威に対してインシデントの全体像を把握するためには複数製品の相関分析は非常に有効であるため、SOCでの統合監視が重要になる、と沼田氏。これにより、自社で個別に調査をしていた工数が削減され、セキュリティの専門家に監視を任せることでセキュリティの強化も実現できる。
なお、経済産業省の「サイバー・フィジカル・セキュリティ対策フレームワーク(COSF)」をはじめ、医療関連では厚生労働省、日本自動車工業会の「自工会/部工会・サイバーセキュリティガイドライン」など、規制の面でも統合的な監視を求める動きが出てきていることも紹介した。
有効策のSOC、事業者選びにおける失敗に注意
SOCで統合監視を実現するのは、今日のサイバーセキュリティ対策として有効な策と言える。沼田氏は実際の導入事例も紹介した。
この企業は従業員数約3,000人の製造業で、それまで複数のセキュリティ製品を導入していたものの、運用に関する知識が社内にはなかったという。個別にSOCベンダーに依頼していたが、SOCベンダー側で相関関係を分析できず、工数もかかるという課題を抱えていた。
そこで統合監視サービスを導入することに。SOCベンダー1社で複数のセキュリティ製品を相関分析した上で報告するため、不要なやり取りが減るなど工数が削減。発生した事象の詳細やとるべき対策が明確になることで、対応のスピードも改善したという。
では、SOC事業者の選定にあたって注意すべき点はどのようなものがあるのか。沼田氏はまず、選定のよくある失敗例として、次の3つを挙げる。「監視対象の機器が限定的」「アウトプット内容が貧弱」「万一の際にIR(インシデントレスポンス)対応ができない」。IRサービスがない場合は別のIRベンダーに依頼をしなければならず、情報連携などに時間を要するために対応が遅れることになる。
