インシデントレスポンスの自動化・効率化
例えば、ファイア・アイのようなマルウェアの検知装置を導入した場合、課題となるのは、遠隔地で発見された端末の処置です。
従来であれば、遠隔地で発見されたマルウェア感染が疑われる端末は、抜栓して電源を切った後、安全な輸送方法で本社に送り、本社で解析作業を行う、ということが一般的に行われているでしょう。
これでは、同様のマルウェアが他の端末でも活動しているかもしれない、などの調査が遅れて、その間に大量のデータが外部に送信されてしまうかもしれません。マルウェア感染の対応の現場では、極端な話、分単位での切り分けと分析、対処が求められるのです。
もし、日本に本社があって、東南アジアの拠点でマルウェア感染があった場合に、これまでのセンドバック方式では有効な対策は打てません。こうした遠隔地では、CSIRTなどが機能する本社と同じレベルの対応が出来ないのです。これは、国内であっても同じことが起き得ます。
マルウェア感染で、初期段階に行わなければいけないインシデントレスポンスは、感染端末の隔離と、隔離した端末以外の端末への2次感染の有無の調査です。
こうした対応を行うことがマンディアント製品を使うことによって可能になります。米国では、オフィスが飛行機を乗らないと行けないくらい離れていることが当たり前なので、こうした遠隔地のインシデント対応ができる製品が生まれたのでしょう。
パソコンへのマルウェアの感染は、完全に防ぐことは難しいものです。利便性を犠牲にすることによって感染の確率を下げることが出来るが、多くの組織では、ユーザの声が強いために、マルウェアの感染は想定内にしていることも多いでしょう。
例えば、USBメモリの利用や添付ファイルの利用など、マルウェアの感染の原因となるものでも、制限は難しいです。しかし、こうしたところからマルウェアは入り込んできてしまいます。また、海外拠点では、現地調達のパソコンが使われることも少なくありません。そうした場合にも簡単にマルウェアは入り込んで来ます。
こうしたマルウェア感染は、大きな組織であれば日常茶飯事であり、デイリーインシデントレスポンスとして対応していることでもあります。こうした日々のインシデントレスポンスを効率よく行うことが可能になるのです。
マンディアント製品を使えば、遠隔地でマルウェアの感染によるコールバック(C&Cサーバとの通信)が検知された場合に、そのPCから送り出されたファイルが何であるのか、を知ることは隔離の判断に欠かせないものです。
さらに、ファイルの変更履歴を調べて、感染経路が何であったのかを突き止めることもできます。そして、コールバックを行っていた実行ファイルやDLLファイルを特定して、そのファイルをコピーして本社のCSIRTで解析が可能となり、同様のファイルが他のPCに存在しないのかを全社のPCに対して調査をかけることが出来ます。
つまり、インシデントレスポンスを省力化、効率化させることが出来るので、結果としてマルウェア感染の被害の広がりを最小限に抑えることが出来るのです。
マンディアントは製品に加えて、高いインテリジェンス情報を元にしたサービスが持ち味であるので、今後日本でも展開されることが期待されています。
