SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

ファイアアイ三輪信雄のCTOニューズレター

マンディアント社を買収しました

004


 ファイア・アイCTOの三輪です。このたび、当社はマンディアント社を買収し、マンディアントが提供していたサービスを日本でも販売し始めました。マンディアント社のサービスはインシデントレスポンスにフォーカスしたものなので、米国における先進的な取り組みを日本でも利用することができます。今回はそんな話題を絡めながら、インシデントレスポンスの自動化、効率化について書いてみようと思います。

 インシデントレスポンスの自動化・効率化

 例えば、ファイア・アイのようなマルウェアの検知装置を導入した場合、課題となるのは、遠隔地で発見された端末の処置です。

 従来であれば、遠隔地で発見されたマルウェア感染が疑われる端末は、抜栓して電源を切った後、安全な輸送方法で本社に送り、本社で解析作業を行う、ということが一般的に行われているでしょう。

 これでは、同様のマルウェアが他の端末でも活動しているかもしれない、などの調査が遅れて、その間に大量のデータが外部に送信されてしまうかもしれません。マルウェア感染の対応の現場では、極端な話、分単位での切り分けと分析、対処が求められるのです。

 もし、日本に本社があって、東南アジアの拠点でマルウェア感染があった場合に、これまでのセンドバック方式では有効な対策は打てません。こうした遠隔地では、CSIRTなどが機能する本社と同じレベルの対応が出来ないのです。これは、国内であっても同じことが起き得ます。

 マルウェア感染で、初期段階に行わなければいけないインシデントレスポンスは、感染端末の隔離と、隔離した端末以外の端末への2次感染の有無の調査です。

 こうした対応を行うことがマンディアント製品を使うことによって可能になります。米国では、オフィスが飛行機を乗らないと行けないくらい離れていることが当たり前なので、こうした遠隔地のインシデント対応ができる製品が生まれたのでしょう。

 パソコンへのマルウェアの感染は、完全に防ぐことは難しいものです。利便性を犠牲にすることによって感染の確率を下げることが出来るが、多くの組織では、ユーザの声が強いために、マルウェアの感染は想定内にしていることも多いでしょう。

 例えば、USBメモリの利用や添付ファイルの利用など、マルウェアの感染の原因となるものでも、制限は難しいです。しかし、こうしたところからマルウェアは入り込んできてしまいます。また、海外拠点では、現地調達のパソコンが使われることも少なくありません。そうした場合にも簡単にマルウェアは入り込んで来ます。

 こうしたマルウェア感染は、大きな組織であれば日常茶飯事であり、デイリーインシデントレスポンスとして対応していることでもあります。こうした日々のインシデントレスポンスを効率よく行うことが可能になるのです。

 マンディアント製品を使えば、遠隔地でマルウェアの感染によるコールバック(C&Cサーバとの通信)が検知された場合に、そのPCから送り出されたファイルが何であるのか、を知ることは隔離の判断に欠かせないものです。

 さらに、ファイルの変更履歴を調べて、感染経路が何であったのかを突き止めることもできます。そして、コールバックを行っていた実行ファイルやDLLファイルを特定して、そのファイルをコピーして本社のCSIRTで解析が可能となり、同様のファイルが他のPCに存在しないのかを全社のPCに対して調査をかけることが出来ます。

 つまり、インシデントレスポンスを省力化、効率化させることが出来るので、結果としてマルウェア感染の被害の広がりを最小限に抑えることが出来るのです。

 マンディアントは製品に加えて、高いインテリジェンス情報を元にしたサービスが持ち味であるので、今後日本でも展開されることが期待されています。

インシデントレスポンスの自動化がトレンド

 

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
ファイアアイ三輪信雄のCTOニューズレター連載記事一覧

もっと読む

この記事の著者

三輪 信雄(ミワ ノブオ)

日本の情報セキュリティビジネスの先駆けとして事業を開始し、以降情報セキュリティ業界をリードしてきた。ITセキュリティだけでなく物理セキュリティについても知見があり、技術者から経営者目線まで広い視野を持つ。政府系委員も数多くこなし、各種表彰、著書・講演も多数。2009年から総務省CIO補佐官を務める。
S&J株式会社 代表取締役

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/5832 2014/05/09 15:16

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング