• 装飾

    欧米の常識は、日本の非常識 EDRが普及しない日本のセキュリティ事情

    • セキュリティ人材が圧倒的に不足している日本

      テレワークなどを活用した働き方改革によって、PCを社外に持ち出して使うケースが増えている。これに伴い、従来の「境界で守る」というセキュリティも、十分な効果を発揮することが難しくなっている。さらにサイバー攻撃も高度化しており、境界型セキュリティをすり抜ける脅威も増大している。

      このような状況に対応するため重要な課題となっているのが、「エンドポイントセキュリティ」の確立である。セキュリティ脅威はもはや、水際で防げるものではなくなった。PCなどの「エンドポイント」に脅威が到達・感染することを前提に、セキュリティの仕組みを再考しなければならないのである。

      そのために利用が広がっているのが「EDR(Endpoint Detection and Response)」だ。これはエンドポイントへのマルウエア感染を前提にしたセキュリティ製品であり、エンドポイントで脅威を「検知(Detection)」「対応(Response)」することを可能にする。既に欧米ではEDRの導入は常識になりつつある。しかし日本では、まだ十分に普及しているとはいえない状況だ。その背景には、ユーザー企業におけるセキュリティ人材の不足がある。

      エンドポイントセキュリティは境界型セキュリティに比べ、脅威検知の対象がはるかに多くなる。ディフェンスラインが境界だけではなく、社内のすべての構成要素へと拡大するからだ。またEDRが発する「検知」アラートも、すべてが正しいわけではない。脅威検知の世界では、脅威を見逃してしまう「フォールスネガティブ(検知漏れ)」と、実際には脅威でない事象を脅威と判定する「フォールスポジティブ(誤検知)」という現象がつきまとう。安全性を高めるには、フォールスネガティブを最小化しなければならないが、その結果として誤検知が増えてしまうのだ。

      このようなアラートの正誤を判断するのは、人間の作業となる。しかも脅威は日ごとに進化しており、その知識がなければ適切な判断は困難だ。つまりEDRは導入するだけでは不十分で、適切に運用してこそ、その効果が得られるものなのである。

      それではセキュリティ人材が圧倒的に不足している日本で、エンドポイントセキュリティを適切に運用するには、どうすればいいのだろうか。

    • セキュリティ管理者が注力すべきなのはあくまでも「判断」

      セキュリティ人材が不足する中で、エンドポイントセキュリティをいかに統制するか。その時にまず必要なのは、体制の見直しだという。

      デル株式会社
      クライアント・ソリューションズ統括本部クライアント製品本部
      コンサルタント
      竹内 裕治氏

      「まず必要なことは、エンドポイントセキュリティはIT部門だけで実現できるものではない、と認識することです」とデルでコンサルタントを務める竹内 裕治氏は語る。最近では社内に、セキュリティインシデントに対応する「CSIRT(Computer Security Incident Response Team)」という組織を設置する企業が増えているが、IT部門以外も巻き込んだ「クロスファンクショナル」な形でチームを構成すべきだという。

      「実際にセキュリティインシデントが発生した場合、技術的な対応だけではなく社内全体の調整や統制も行わなければなりません。また情報漏えいが発生した場合には、広報などを通じた顧客や報道機関への告知も求められます。これらを迅速に遂行するには、日ごろから関係部署と緊密な連携を取らなければならないのです」(竹内氏)

      その一方で、技術的側面を担うセキュリティ管理者の仕事も、見直すべきだと指摘する。

      セキュリティ管理者の仕事は、大きく4つの内容で構成されている。第1はアラートを受けた際のイベント内容の「特定/判定」、第2は影響範囲の「分析」、第3はどのような対応を行うべきかの「判断」、第4がインシデントへの「対応」である(図1)。

    • 図1●セキュリティ管理者が行う仕事の構成要素


      これらのうち最も重要なのが、どのような対応を行うべきかの「判断」だ。しかし多くのセキュリティ管理者は「特定/判定」に膨大な時間を費やしており、「判断」を迅速に行えない状況に陥っている
    • 「これらのうちセキュリティ管理者が担うべき最も重要な仕事は、第3の『判断』です。これを迅速に行い、次の『対応』へと円滑につなげなければなりません。しかしほとんどのセキュリティ担当者は、『特定/判定』に多くの時間を費やしており、その後のフェーズを十分に行えていない状況です。脅威への対応は時間との勝負。セキュリティ担当者が判断をスピーディーに行える体制を作っておくことも、重要な課題なのです」(竹内氏)

      そこで考えるべきなのが、マネージドセキュリティサービス(MSS)の活用だ。「特定/判定」「分析」を社外の専門家に任せてしまうわけだ。

    • AIと人間の目で「本当に危険なイベント」だけを通知

      これを容易にするため、デルは2019年6月にSecureworksとの協業を発表。企業向けにSecureworksのMSSを提供する体制を整備した。

      SecureWorks Japan株式会社
      主席上級セキュリティアドバイザー
      古川 勝也氏

      「Secureworksではセキュリティコンサルティング、MSS、インシデント対応、脅威インテリジェンスの4つの柱でサービスを展開しており、MSSについてはベンダーニュートラルな立場でサービスを提供しています」と語るのは、SecureWorks Japanで主席上級セキュリティアドバイザーを務める古川 勝也氏。その最大の強みは、顧客企業へのアラートを「本当に危険なイベント」だけに限定できる点だという。

      これを支えているのが、同社が持つ大規模なプラットフォーム(CTP:Counter Threat Platform)とセキュリティアナリストの存在だ。Secureworksでは1日当たり約3,100億件のセキュリティイベントを、AI機能を装備したCTPで自動解析し、その中から危険度の高いものを数千件程度にまで絞り込む。その上でセキュリティアナリストが「人間の目で」総合的に危険度を判断。危険度が高いと判断したイベントについては顧客企業に伝達する仕組みだ(図2)。

    • 図2●Secureworksが提供するMSSのイメージ


      1日当たり3,100億件に上るセキュリティイベントを、AI機能を実装したCTPで自動解析した上で、絞り込まれたものの危険度を人間の目で総合的に判断する。これによって「本当に危険なイベント」だけを顧客に伝達しているという
    • 「Secureworksが世界規模で事業展開しているからです。実際に、日本を含む世界5カ所にあるセキュリティオペレーションセンター(SOC)において、50カ国以上約4,200社の常時監視を行っています。このような『ネットワークエフェクト』によって判定精度を高めています」(古川氏)

      マルチベンダーの幅広い機器をサポートしており、最新機器にも迅速に対応。単独機器の監視だけでは判別が困難な複数の機器にまたがる攻撃も、複数対象の相関分析を行うことで検出し、攻撃者の意図を分析できるようになっているという。またエンドポイントだけではなく、企業ネットワークやクラウド環境までカバーした監視も可能。それらの内容も単一コンソールに統合して見られるようになっている。

      これに加え、日本企業固有のニーズに対応している点も、Secureworksの大きな特徴だ。「グローバル規模で展開されているMSSは時間帯ごとにサポートするSOCの拠点が変わり、夜間は英語対応となるケースが一般的です。しかしSecureworksは全てのSOCが24時間交代制のため、日本国内のお客様には日本語ができるアナリストが夜間でも日本語での対応が可能です」(古川氏)。

    • NGAVとEDRを加えた3つの壁で高い安全性を確保

      SecureworksのようなMSSを活用することで、「特定/判定」と「分析」の負荷は大幅に削減可能になり、セキュリティ管理者は「判断」に集中できるようになる。さらにSecureworksは、インシデントの事前準備および事後の対応を支援する「インシデント管理リテーナー(IMR)」というサービスも提供。これによって全世界で年間1,000件を超えるセキュリティ事故対応の知見を、自社で利用できるようになる。

      なお2019年6月の協業発表では、もう1つ注目すべきポイントがあった。それはデルとSecureworksだけではなく、CrowdStrikeも協業に加わっている点だ。

      CrowdStrikeは、次世代アンチウイルス(NGAV:Next Generation Anti-Virus)、ソリューション「CrowdStrike Falcon Prevent」や、EDRソリューション「CrowdStrike Falcon Insight」を提供する企業。元マカフィーCTO/エンタープライズ担当SVPのジョージ・カーツ(George Kurtz)氏と、元マカフィー 脅威リサーチ担当VPのドミトリー・アルペロビッチ(Dmitri Alperovitch)氏により、2011年に米国で設立された。その最大の特徴は、全世界のエンドポイントから収集したイベントを単一のクラウドに収集し、AIを活用したインテリジェンスと専門家集団によって分析した上で、その知見を全世界で共有できるようにしている点だ。またクラウド型のソリューションなので、導入が容易で拡張性が高い。

      「脅威への第1の壁としてNGAV、第2の壁としてEDR、さらに第3の壁としてMSSを配することで、あらゆる脅威・攻撃からエンドポイントを守ることが可能になります」と竹内氏。またSecureworksのMSSによって、その前段となるEDRの効果も、最大限に引き出せるようになるという(図3)。

    • 図3●社協業で実現されるエンドポイントセキュリティの全体像


      CrowdStrikeの次世代アンチウイルスとEDRで第1と第2の壁を作り、さらにSecureworksのMSSで第3の壁を作ることで、高い安全性を確保できる
    • セキュリティ人材の確保が困難な日本企業にとって、セキュリティを自社だけで守るのは現実的ではない。ここで示したように、適切なテクノロジーと社外サービスを組み合わせることが、成功のカギだといえるだろう。これによってテレワークの安全性確保も容易になり、働き方改革の推進も加速できるようになるはずだ。

    • 日経BP社の許可により、2019年9月30日~ 2019年12月22日掲載 の 日経 xTECH Active Special を再構成したものです。