「脱職人。組織的なセキュリティ監視の実現に向けたSplunkの活用」

＜Splunkについて＞

データ分析プラットフォームの会社として、18年前にアメリカで創業している。日本でもSIEMのソリューションとして、幅広くお客さまにご利用いただき、大量の非構造化データを取り扱うことに特化しているプラットフォームとなっている。国内だけでも1日に50テラバイトを超えるデータを、当プラットフォームに集め、分析している。お客さまも多くおり、セキュリティの業務では、構造化データのみならず、トラフィックデータ、認証データ、非構造な形のデータなどの取り扱いに長けたツールとして利用頂いている。

＜ セキュリティ運用を取り巻く背景＞

2020年以降、コロナウィルス感染拡大によって、デジタルトランスフォーメーションが劇的に加速した。デジタルはお客さまに到達するための媒体の中心となり、商用サービスのみならず、自社内のインフラにも変化をもたらした。

DXを前提とした自社のネットワークアーキテクチャも変化しており、ファイアウォールや、IPS、IDS、WAFなどの境界の内側にある情報を守る、境界を前提とした、セキュリティ対策がされていたが、DXやコロナ禍などの背景により、オンプレ業務システムのクラウドサービスへの移行やリモートワークによるオープンネットワークへのシフトが進んでいる。そのため、今後より一層、境界に頼らないクラウドを中心としたセキュリティ対策が重要になってくると考えている。

境界型ネットワークからオープンネットワークに変化することは、社員の方がアクセスしやすい、すなわち攻撃者、ハッカーから見ても、アクセスしやすく、よりエントリーポイントが増えることを意味している。脆弱性をついた攻撃や、バックドア、リスト型攻撃、GitHubからのソースコードの流出、クラウド設定上の不備による、情報流出やクリプトジャッキングなどが挙げられる。

また、内部不正の観点では、リモートワークが普及することにより、見られているという緊張感が弱まるということも一般論として言える。内部犯行者は容易に情報資産へアクセスできる環境であり、内部不正の事案も、後を絶たない状況となってきている。

そのような中で、様々なセキュリティ対策ツールが増える一方で、どのような形でセキュリティ運用自体を、限られたリソースの中で成熟させるかが課題だ。

様々な脅威に対して、あらゆる防御策、エッジのツールを施すことは、投資、実装までに時間、調査分析活動をしていくリソースなど、これらの負担を軽減することは難しい。そのため、いかに簡単に様々なデータのソース、データのポイントから、自社で何が起きているかを即時に導き出せるかが、重要だと考える。

サイバーセキュリティ対策においては、様々なデータのチェックが必要で、非常に手間がかかるため、ログを集めてすぐ分析できるSIEMは、セキュリティにおけるDX時代において、必要なファクター、重要な位置付けであると考える。 　また、データ集め、ログ分析を行うにあたり、セキュリティ運用者および担当者の負担は、ツールが増えていけば、それだけ負担が増えるため、テクノロジーを活用し、運用負担を減らしながら知識とスキルの醸成を行っていく必要がある。合わせて、外部の専門家にアウトソーシングをしていくという選択肢も必要であり、これらを効果的に、ミックスして運用されていくのが望ましいと考える。そのほかにも、自社だけではなくてMSS事業者ともコラボレーションすることは、対策として有効である。セキュリティ運用リソースが十分そろわない組織においても、MSSサービスを一緒に活用しながら、内政力を強化、新しいサイバー攻撃や内部不正に対する感度を高めることも可能である。

＜ DX時代のセキュリティ運用の大前提＞

サイバー攻撃の手法は絶えず変化しており、厄介なことに最初は必ず攻撃側が有利に立って成功してしまうという点だ。「セキュリティ対策100％」を保証するアーキテクチャなどはなく、対策できていない部分は、それによるリスクを理解しておく必要である。

また、新しい攻撃手法をいち早く理解して検知し、リスクのスコアをちゃんと付与してできる状態にしておくべきであり、セキュリティ運用者の方は、継続して脅威の情報を学ぶ姿勢が求められる。限られたセキュリティ人材の方が、辞めた場合、業務が成り立たなくなってしまう属人的な体制から脱却し、組織的かつ定量的なオペレーションへのシフトすることが大事だと感じている。その他にも、説明責任を果たす事は大事な前提となってくる。

具体的に、どのような対策が考えられるかというと、防御・検証しきれない部分はデータを集めてリスクを継続的に監視して、不測の事態に備えることや、リスクを定量化し、脅威や異常の大きさを把握し、行動を起こすこと、可能な限り最新の脅威を理解し、検知する仕組みを実装すること、単調な反復作業は自動化するなどが必要だと感じている。

これらを実現していくことで、ちゃんと説明責任を果たすための環境、準備にもつながる。これらを実現するために、分析主導型のSIEM、SOARのテクノロジーを使用していく事を勧める。

＜ 最新の脅威情報の活用＞

最新の脅威というものを可能なかぎり理解していくうえで、欠かせないフレームワークを紹介する。一般的によく使われる脅威インテリジェンスは、IOC(Indicated of Compromise)と、IOA(Indicated of Attack)と呼ばれている。IOCはファイル自体のハッシュ値、IPアドレスやホスト名、ドメイン名といった静的な値を集めて、それとログを突き合わせ検出をする。IOAはPowerShellが実行されたときのアクティビティ、パスワードダンプの実行などを見たうえで動きを補足することができる。

スレットハンティングを生業にしているアメリカの会社デビット・ビアンコ氏が提唱したピラミッドであるが、利用効果の高いIOCやIOAをマッピングした図になっている。

IOAのPass the Hash、痕跡を消去するようなアクティビティを見ていく際にも、MITREのATT&CKのフレームワークの中でもどういうところを見るか提言があるが、MITRE ATT&CKのフレームワークがキーになっている。Splunkのソリューションに当てはめた際に、IOCは「TruSTAR」という製品を弊社買収し、現在組み込みを行っている。IOAの部分では、Splunkの「Contents Update」という、ルール配信するようなパッケージとRBA(Risk Base Alert)、スコアリングしながらアラートの重み付けができる技術がある。

MITRE ATT&CKフレームワークは、非常に情報量が充実している反面、英語のため活用することが、なかなか難しいというお客さまも多い。MITRE ATT&CKとは、サイバーセキュリティの攻撃のフェーズの中でも、Post Exploitと呼ばれる、侵入されてしまった後に早く検知するための発見方法にフォーカスしている。

MITRE ATT&CKフレームワークは便利だと言われつつも活用しきれない理由として、PowerShellの実行を見張るというルールを使用した際に、攻撃以外のサーバー管理者が行う作業のPowerShellの実行まで過検知してしまうということがいえる。対策として、不審な攻撃とおぼしき振る舞い、あるいはサーバーの担当者のPowerShellの実行をSIEM上で正しく扱うには、スコアを付与し、スコアリング分析をする方法が行われており、24時間以内にリスクスコアが100点を超えた端末から順番に調査をしていく事が可能であり、定量的なその評価とトリアージが可能となる。

＜ 脅威インテリジェンスの一貫した判断軸＞

TruSTARについては、IOCのハッシュ値とかURLとかIPアドレスとかを効率的に扱うためのソリューションになっている。

IOC活用にありがちな運用課題として、脅威インテリジェンスの信頼度の重み付けを自分たちで整理していないと、たびたび過検知が起こり、アラートが多数飛ぶなどが脅威インテリジェンスも発生する。IOCのキュレーションがうまくいかない場合、複数サービスを参照していても活用しきれない課題がある。TruSTARは、そのような複数のインテリジェンスのデータを収集して正規化と優先順位付けを、画面上でローコードにて実現ができる。さらに、自社のスレットインテリジェンスの管理だけではなく、グループ会社共有で使えるレポジトリとして、シェアすることも可能であり、便利である。

また、アナリストの燃え尽き症候群対策として、不審なメールの自動化についても、Splunkの「SOAR」サービスは、セキュリティアラートを受け取った後に、人間が対応する意志決定と行動の部分を自動化支援するサービスになっている。全工程を全自動でやっていない場合、中断時間も含めて3日間かかってしまうケースが多々あるが、Splunk SOARであらかじめワークフローを定義しておくことにより、日中の業務阻害されることなく、自動的にこのフローを回すことができ、夜間休日でも一貫した対応を行うことが可能になる。

◆講演企業情報
Splunk Services Japan 合同会社：https://www.splunk.com/ja_jp