- 2019/03/12
- EDR
これからのセキュリティ対策は「ツール間の連携」が鍵を握る
Post by : Yukimi Sohta
最新のリスクに対処するには製品間の連携が必須
今日のサイバー攻撃の種類や手口は、実に多様化しています。代表的なものを挙げるだけでも標的型攻撃、ゼロデイ攻撃、DDoS攻撃、パスワードリスト攻撃、フィッシング詐欺、ランサムウェア攻撃などなど……。これらにさらに、内部犯行やソーシャルエンジニアリングの手口などを含めると、実に多種多様な手口や手法が存在します。
これらすべてに対して単一のセキュリティツールだけで対処を行うのは、とても不可能です。実際には、既知のマルウェアに対応するためのツール、未知の攻撃やゼロデイ攻撃を検知するためのツール、DDoS攻撃を検知して対処するための専用機器、フィッシング詐欺を防ぐための脅威インテリジェンスの利用、さらには情報の流出や不正サイトとの通信を水際で防ぐ出口対策などなど……さまざまなツールを使い分けなければ、今日の多様なセキュリティリスクには対処できません。
一説によれば、企業のSOCチームが運用しているセキュリティツールの種類は、平均で25にも及ぶと言われています。セキュリティ担当者は、これらさまざまなツールから上がってくるアラートや、それぞれのログの内容を調査・分析することでセキュリティリスクの有無を判断したり、インシデントが発生した際にその原因追及や影響範囲の特定を行います。
しかし今日のサイバー攻撃の手口は高度化・巧妙化しているため、単独のツールが提供する情報だけではなかなかその痕跡をつかむことができません。複数のツールの情報を互いに突き合わせることで、初めて現在の状況がおぼろげに浮かび上がってきます。そのため今日では、異なるセキュリティツール間の連携や、SIEMやSOARのように複数のセキュリティ製品から情報を一元的に収集して分析することで、これまで可視化できなかった新たな知見を見いだす取り組みが進んでいます。
広範な製品連携が可能なサイバーリーズン製品
弊社の製品でも、こうした製品間連携の機能強化を進めています。例えば、SIEMとの連携もその1つです。弊社のEDR製品「Cybereason EDR」は、エンドポイントから収集したログ情報をクラウド上に集め、AIを使った分析を通じてエンドポイント上で進行しているセキュリティリスクを可視化します。こうした仕組みだけでもかなり広範囲なリスクを検知できますが、これらの情報を他のセキュリティ製品のログ情報と突き合わせて分析することで、さらなる知見を引き出せるかもしれません。
そこでCybereason EDRは、SIEMと連携してログ情報をSIEMに引き渡すためのインタフェースを備えています。具体的には、Malopの作成・更新時にMalopに関する重要な情報をSIEMに自動的に送信したり、SIEM側から呼び出せるデータ取得用APIを公開することによって、SIEMと容易にデータを連携させることができます。
またCybereason EDRは、SOARとの連携も可能になっています。SOARとは“Security Orchestration, Automation and Response”の略称で、現在米国で注目を浴びている新しいタイプのセキュリティソリューションです。さまざまなセキュリティ機器や脅威インテリジェンスから情報を集め、単一のプラットフォーム上で可視化・分析すると同時に、それまで多くの人手を費やしてきた分析やインシデントレスポンスの作業をワークフロー化し、自動実行することを目指したものです。
Cybereason EDRは、SIEMと同じくAPIを介してSOARにもデータを引き渡すことができます。これによって、SOARを使ったセキュリティ対策の高度化・自動化の取り組みを強力にバックアップできます。
このように、Cybereason EDRから他の製品にデータをフィードバックできるほか、逆に脅威インテリジェンスを提供しているベンダーのサービスからデータを収集することもできます。独自にエンドポイントから収集したデータに、外部から取得した脅威インテリジェンスの情報を掛け合わせることによって、より精緻に脅威の存在をあぶり出せるようになります。
代表的なSIEM製品・SOAR製品との連携を実現
既に弊社では、世界中の主要なSIEM製品ベンダー、SOR製品ベンダー、脅威インテリジェンス提供元とアライアンスを結び、製品・サービス間の連携をサポートしています。具体的には、SIEMの代表的な製品である「IBM Qradar」や、次世代SIEMプラットフォームを標榜する米Exabeam社の製品との連携が既に実現しています。
また、近年国内においても導入事例が増えているSIEM製品「Splunk」を開発・提供する米Splunk社ともテクニカル・アライアンスパートナーシップを結んでおり、Cybereason製品が検知したアラートをSplunkに自動インポートする機能を実現しています。
SOARについても、代表的な製品ベンダーである米Demist社の製品およびSplunkのSOAR製品「Phantom」との連携実績があります。これらの製品とはAPIを介して容易に連携が可能で、Cybereason製品が検知したMalopをトリガーに、SOARのオーケストレーションによるインシデントレスポンス作業と修復をリアルタイムに実行、自動化することができます。
今後もより多くのSIEM製品やSOAR製品、脅威インテリジェンスサービスと連携して価値の高いセキュリティソリューションを提供すべく、さらにアライアンスの取り組みを強化していく予定です。最新のアライアンス状況は随時Cybereason Inc.のサイト(英語)で公開していますので、ぜひチェックしてみてください。
ホワイトペーパー「すべての組織が狙われている」
企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606