SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2023 秋の陣 レポート(AD)

煩雑化するインシデントレスポンス、“4つの観点”からSplunkのセキュリティスペシャリストが提言

「SIEM」や「SOAR」を使いこなすには

 インシデントレスポンスとは、何らかのイベントとして捉えられるサイバー攻撃に対応すること。とはいえ、何をどこまでやれば適切かつ十分なインシデントレスポンスと言えるか。セキュリティスペシャリストとして官民問わずサイバーセキュリティの高度化に向けて奔走しているSplunk Services Japan 矢崎誠二氏が“あるべき運用の姿”を解説する。

サイバー攻撃から守るべき対象=アセットは何か

 サイバー攻撃はまったくフェアではない。攻撃側はたとえ1回でも攻撃が成功すれば目的を果たせるため、100回でも1万回でも攻撃を繰り返してくる。何度失敗してもいいのだ。対して、防御側は攻撃を9,999回ブロックできたとしても、たった1度の失敗が命取りになることもある。加えて、防御側は攻撃を“正確に”理解しないと復旧や封じ込め対策ができない。Splunk Services Japan(以下、スプランク)フィールドソリューション&セキュリティ・ストラテジー セキュリティ・ストラテジスト 矢崎誠二氏は「防御側は攻撃側よりも常にハンディキャップがあると考えるべき」と述べる。

 明確な対策のためには、

  1. 組織が守るべき対象は何か
  2. 何が脅威となるか
  3. 脅威を見つけるための検知ポリシーとルール
  4. どのようなオペレーションで対応するか

上記4点について、明確な答えを定めておくことが重要だ。矢崎氏は「インシデントレスポンスはSOC同様に、『人』『プロセス』『テクノロジー』が重要な要素になる」と説く。

 また、インシデントレスポンスを実際にハンドリングするのがCSIRT。トリアージからステークホルダーへの対応まで、様々なプロセスを定義・実行していく。検知までの時間(MTTD:Mean Time To Detect)、封じ込めまでの時間(MTTR:Mean Time To Recovery)、イベント件数などをレポートに記載して評価する役割も担う。

 インシデントレスポンスでは、まず先に挙げた「組織が守るべき対象」が本質的かつ重要な要素となる。このときの“対象”とは「組織内のアセット」であり、具体的に何がどれくらいあるのかを把握しておく必要があるという。つまり、「何が(サーバー/ネットワーク/クライアントなど)」「どのくらいの数で、どこにあり(クラウド/オンプレミス)」「なぜ、いつ攻撃されたのか」を理解する必要がある。日常的な“アセット管理”も欠かせず、購入の計画から、いつ購入して、最終的にいつどのように廃棄するのかを定めておくことが欠かせない。

 たとえば、アセット管理をスプランク製品で実施しようと考えた場合、うまく適合できるのが米国政府機関のセキュリティ水準向上のために策定された「CDM(Continuous Diagnostics and Mitigation:継続的な診断と緩和)」だ。ハードウェアやソフトウェア、設定、脆弱性の状況について、ホワイトリスト/ブラックリストと突合して確認することができる。

 続いて着手すべきは「何が脅威となるか」、言い換えれば“脅威の識別”だ。2023年上半期を振り返ると、国内では特に製造業への攻撃が目立った。矢崎氏は最近の変化として「大々的な漏えいがなくても情報が公開されるようになってきた」と話す。

 攻撃者側の変化は“4つの局面”から見てとれる。1点目は“金銭目的”。今ではサイバー攻撃における最大の動機が金銭となってきている。たとえば、「RaaS(Ransomware as a Service)」として情報の売買や攻撃そのものがサービス化されているため、ランサムウェアによる恐喝は劇的に増加した。2点目は“脅威グループ”。Mandiant社による調査では、新たに追跡すべき脅威グループ(アクター)が世界で650以上存在するとされており、そのリスクは増加している。

[画像クリックで拡大]

 3点目は“攻撃局面の増加”。コロナ禍以降はリモートワークやクラウド利用増加により、アタックサーフェスが広がっている。そして4点目は“隠蔽性・秘匿性”。攻撃を隠蔽するようなテクニックが公開されており、利用されると攻撃に気づかないケースもある。矢崎氏は数ある攻撃テクニックの中から「何が自組織にとって脅威となるかを選定し、何を監視すべきか判断することも重要」と指摘する。

 なお、最近では「アタックサーフェスマネジメント」という概念も出てきている。Webサーバーなど外部に露出した部分の脆弱性や脅威にフォーカスを当て、セキュリティ強化を図っていくアプローチがあることも知っておきたい。

次のページ
脅威を検知するためのSIEMの仕組み、使いこなすには

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2023 秋の陣 レポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:Splunk Services Japan 合同会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18579 2023/10/23 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング