サイバー攻撃から守るべき対象=アセットは何か
サイバー攻撃はまったくフェアではない。攻撃側はたとえ1回でも攻撃が成功すれば目的を果たせるため、100回でも1万回でも攻撃を繰り返してくる。何度失敗してもいいのだ。対して、防御側は攻撃を9,999回ブロックできたとしても、たった1度の失敗が命取りになることもある。加えて、防御側は攻撃を“正確に”理解しないと復旧や封じ込め対策ができない。Splunk Services Japan(以下、スプランク)フィールドソリューション&セキュリティ・ストラテジー セキュリティ・ストラテジスト 矢崎誠二氏は「防御側は攻撃側よりも常にハンディキャップがあると考えるべき」と述べる。
明確な対策のためには、
- 組織が守るべき対象は何か
- 何が脅威となるか
- 脅威を見つけるための検知ポリシーとルール
- どのようなオペレーションで対応するか
上記4点について、明確な答えを定めておくことが重要だ。矢崎氏は「インシデントレスポンスはSOC同様に、『人』『プロセス』『テクノロジー』が重要な要素になる」と説く。
また、インシデントレスポンスを実際にハンドリングするのがCSIRT。トリアージからステークホルダーへの対応まで、様々なプロセスを定義・実行していく。検知までの時間(MTTD:Mean Time To Detect)、封じ込めまでの時間(MTTR:Mean Time To Recovery)、イベント件数などをレポートに記載して評価する役割も担う。
インシデントレスポンスでは、まず先に挙げた「組織が守るべき対象」が本質的かつ重要な要素となる。このときの“対象”とは「組織内のアセット」であり、具体的に何がどれくらいあるのかを把握しておく必要があるという。つまり、「何が(サーバー/ネットワーク/クライアントなど)」「どのくらいの数で、どこにあり(クラウド/オンプレミス)」「なぜ、いつ攻撃されたのか」を理解する必要がある。日常的な“アセット管理”も欠かせず、購入の計画から、いつ購入して、最終的にいつどのように廃棄するのかを定めておくことが欠かせない。
たとえば、アセット管理をスプランク製品で実施しようと考えた場合、うまく適合できるのが米国政府機関のセキュリティ水準向上のために策定された「CDM(Continuous Diagnostics and Mitigation:継続的な診断と緩和)」だ。ハードウェアやソフトウェア、設定、脆弱性の状況について、ホワイトリスト/ブラックリストと突合して確認することができる。
続いて着手すべきは「何が脅威となるか」、言い換えれば“脅威の識別”だ。2023年上半期を振り返ると、国内では特に製造業への攻撃が目立った。矢崎氏は最近の変化として「大々的な漏えいがなくても情報が公開されるようになってきた」と話す。
攻撃者側の変化は“4つの局面”から見てとれる。1点目は“金銭目的”。今ではサイバー攻撃における最大の動機が金銭となってきている。たとえば、「RaaS(Ransomware as a Service)」として情報の売買や攻撃そのものがサービス化されているため、ランサムウェアによる恐喝は劇的に増加した。2点目は“脅威グループ”。Mandiant社による調査では、新たに追跡すべき脅威グループ(アクター)が世界で650以上存在するとされており、そのリスクは増加している。
3点目は“攻撃局面の増加”。コロナ禍以降はリモートワークやクラウド利用増加により、アタックサーフェスが広がっている。そして4点目は“隠蔽性・秘匿性”。攻撃を隠蔽するようなテクニックが公開されており、利用されると攻撃に気づかないケースもある。矢崎氏は数ある攻撃テクニックの中から「何が自組織にとって脅威となるかを選定し、何を監視すべきか判断することも重要」と指摘する。
なお、最近では「アタックサーフェスマネジメント」という概念も出てきている。Webサーバーなど外部に露出した部分の脆弱性や脅威にフォーカスを当て、セキュリティ強化を図っていくアプローチがあることも知っておきたい。
脅威を検知するためのSIEMの仕組み、使いこなすには
組織が守るべき対象を定め、どのような脅威があるのかを判断できたならば、次は“どのようにアプローチするか”を考えるフェーズになる。
ただ、その前に知っておくべきが「予防と検知」に係わる概況だ。NISTのサイバーセキュリティフレームワークでは「特定・防御・検知・対応・復旧」という5つのフェーズが設定されている。従来型のセキュリティでは、外部攻撃からアセットを守るために「特定と防御」という予防策にフォーカスが当てられてきた。しかし、現実はどんなに予防しても防ぎきれないため、「侵入を前提として」いかに素早く検知するかが重要だ。具体的なソリューションでは「SIEM」「UEBA」「SOAR」などが使われている。
たとえば、SIEMはセキュリティログ管理「SIM」とセキュリティイベント管理(SEM)を統合したものだ。SIMはファイヤウォール、プロキシ、データベースのアクセスログなどの“ヒストリカルデータ”を自動的に収集・集約し、長期間保存して分析やレポートに使う。一方、SEMはIDS、WAF、EDRなどのリアルタイムデータからセキュリティ関連イベント(警報、特権アクセスなど)をリアルタイムに特定し、管理コンソールに通知することで相関関係を理解する。つまり、SIEMではSIMとSEMの両方の情報をうまく集約して対応していくことが活用の鍵だ。
SIEMではシステムログ、アセット&アイデンティティ(両者の紐付け)、外部情報を利用する。このとき大量のセキュリティデータを扱うため、高速にアクセスできるかどうかは確認しておきたい。矢崎氏は「高速にアクセスできて、初めて可視化につながります。もし、データへのアクセスが遅ければ、可視化やレポーティングするだけでも大変です」と説明する。
正規化や高速化を実現できると、データを突合して相関関係から対処すべき課題を見つけ出していく。ここでは特にアセットとアイデンティティを紐付ける仕組みが欠かせない。加えて、外部にある脅威インテリジェンスやガイドラインなどをイベントデータに紐付けて情報を補足したり、機械学習を組み込むことで見逃したものを検知できたりするようにしていく。また、アラートが数多く発報されることにもなるため、ここをどれだけ上手く集約できるかが効率的なインシデントレスポンスの実現を左右する。
矢崎氏は「多くの要素がありますが、『次世代型SIEM』と呼ばれるものにはこうした基礎的なファンクションが導入されていますので、うまく管理して使いこなすことが重要です」と話し、中でも注目すべきは“セキュリティコンテンツ”だと指摘。収集したセキュリティ情報から、どのようなイベントが起きているのかを発見するためのコンテンツとなるからだ。
スプランクでは、1,400以上のサーチ(検出できるもの)をグループ化した“アナリティックストーリー”のコンテンツ集がある。たとえばラテラルムーブメント、ランサムウェア、DNS、さらにクラウド特有の問題を見つけるためにサーチ対象をグルーピングしたものだ。MITRE ATT&CKやサイバーキルチェーンなどとマッピングされているため、どういうカテゴリーのどのような攻撃なのかを素早く把握できる。その上でSOARを用いることで、検出した攻撃に対して対処することが可能だ。
脅威検知/調査・対応のためのツールを統合する「Splunk Mission Control」
保護すべき対象が決まり、どのような脅威があるか知り、脅威を検出するアプローチが決まると、いよいよオペレーションをどうするかが問題となる。
矢崎氏が所属するスプランクでは、2023年初頭にTDIR(Threat Detection, Investigation, and Response:脅威検知、調査、対応)ソリューション「Splunk Mission Control」を発表。検知(Detection)は「Splunk Enterpriseセキュリティ」、調査は「Splunk Attack Analyzer」、対応は「Splunk SOAR」が担う。
Splunk Enterpriseセキュリティは、脅威トポロジーの可視化やMITRE ATT&CKのマッピングなど、利便性を向上させる新機能が追加されており、機械学習を用いたクラウドベースのストリーム分析も可能だ。また、Splunk SOARのGUIでロジックを組むことができる。
さらに、Splunk Attack Analyzerは調査部分を担う新製品。これまでデータとデータ、イベントとイベントなどを紐づけて調査はできたものの、URLやバイナリファイル、JavaScriptなどは経験者のスキルに頼る部分が大きかった。そこが同製品を用いることで、たとえば不審なURL付きのフィッシングメールをSplunk Attack Analyzerに渡すだけで分析できるようになっている。
そして、これら3つのツールを統合的に監視するのが「Splunk Mission Control」だ。イベントや分析結果を統合したり、1つのコンソールから複数製品にまたがっての活用が実現できる。矢崎氏は「運用が煩雑になるところを単一のワークスペースを用いることで、自分は何にフォーカスしているのか、次にどこに進めていけばいいのかがハッキリとわかるようになります」と話す。
セキュリティ・ストラテジスト 矢崎誠二氏
一般的に、インシデントレスポンスに関しては、NIST 800-61(コンピュータセキュリティ インシデント対応ガイド)が参考になるだろう。ここでは「準備」「検査と分析」「封じ込め、根絶、復旧」「事件後の対応」という流れで進めるよう示されている。たとえば「検査と分析」という項目だけでも事件の分類、事件の兆候をつかむなど項目が多い。もちろん、既存のツール群を使いこなせばできないことはないが、Splunk Mission Controlのような1つのツールで完結できるメリットは大きいだろう。頻出するインシデントレスポンスの内容をテンプレート化したものも用意されているなど、助けとなるコンテンツも充実している。
まだまだインシデントレスポンスは複雑で難しい領域だ。データを投入したばかりでこれから取り組んでいくユーザーもいれば、コンソールの統合(脅威検知の調査と対応の一元化)のフェーズにたどり着いたユーザーもいる。
矢崎氏は「我々はこれをジャーニーと呼んでいます。基礎的な可視性から最適化されたエクスペリエンスまで、お客様のニーズにあわせた形でスプランクのソリューションを提供できます。アセスメントが必要なら無償で提供できますし、Splunk Enterpriseセキュリティをご利用であればMission Controlは無償利用いただけます。また、6ヵ月間のSOARの無償トライアルもありますので、興味がありましたらお声かけください」と呼びかけて講演を締めた。
