脅威インテリジェンス駆動型セキュリティプラットフォームとXDRで最新のセキュリティ脅威から企業を守るために

菊地 吾朗 氏
【講演者】
Anomali Japan株式会社
カントリーマネージャー
菊地 吾朗 氏

はじめに

弊社は、脅威インテリジェンス、XDRの分野でグローバルに活動している企業である。特に、ISAO・ISACとの結びつきが非常に強く、パートナー企業と提携しながらクライアントに情報提供を行っている。我々が提供している情報は、大きく分けて2つである。1つは外部の情報源によるOSINT(オープンソースインテリジェンス)である。こちらは我々が信頼性と正確性を判断した上で、みなさまにお届けしている。もう1つは、弊社のスレッドリサーチ部門が提供するプレミアムフィードである。

さらに、弊社のソリューションでは、これらの情報をただ提供するだけでなく、SIEMやファイアウォール、SOARなどに対して脅威インテリジェンスを自動的に共有する機能も有している。これらのソリューションを通して、持つことは簡単だが活用するのが難しい脅威インテリジェンスを非常に簡単に使っていただけるようにしている。

さらに、脅威インテリジェンスの提供だけにとどまらず、XDRの提供も行っている。これらのソリューションによりみなさまのリスクを見つけ、早い業務復帰を支援するのが我々の最終的なゴールである。

最新のセキュリティ環境の課題とは

グローバルのお客様への調査結果によれば、セキュリティ投資を増額した企業は増加している。その理由としてあげられるのがコロナ禍による働き方が多様化したことやクラウドの利用である。IT機器の外部への持ち出しや社外からのデータアクセスへの増加、クラウド上にあるデータの共有の進展といったビジネス上の変化に伴って脅威が増え、セキュリティ対策の強化に力を入れる企業は増加した。にもかかわらず、セキュリティインシデントは減少していない。規模にあったセキュリティ投資をし、策定したガイドラインに沿った対策をしても、被害にあってしまう企業があるのだ。

では、なぜ被害が止まらないのか。その答えを知るためには、攻撃者の立場から物事を考える必要がある。攻撃者にしてみれば、目的を達せられない進入はやるはずがない。セキュリティのフレームワークがあっても、きちんとしたセキュリティ機器を使っていても、攻撃者の狙いやすいポイントというものはできてしまうものである。狙う側はあくまで企業・団体の穴を狙い、できる限り見つからない活動をしていると考えるべきだ。

我々のソリューションが目指すもの

そこで、私たちのソリューションが目指しているのが、脅威インテリジェンスのプラットフォームを通じて投資済みのセキュリティ強化を図ることであり、侵害が起きたときの復旧サポートである。

まず投資済みのセキュリティ強化についてであるが、我々は最新のセキュリティ機器に対して脅威インテリジェンスを自動的に配り、また分析の視点も含めて提供している。これによって最新の脅威インテリジェンスに基づく脅威の発見・停止が可能になる。なお、これらの脅威インテリジェンスはグループ会社や利害関係のある企業とシームレスに共有することが可能だ。

そして、復旧のサポートについては、最新の脅威インテリジェンスを活用し、侵害の痕跡から対応の順番を優先付けした上で、復旧に必要な情報を適切に提供することができる。

脅威インテリジェンスの活用と得られる効果

ここでは我々の脅威インテリジェンスに何ができるのかについて、もう少し深堀りしてご紹介したい。

まず前提として、脅威の概要について考えてみよう。具体的には、どんな攻撃者がいるのかということだ。我々としては、攻撃者には大きく分けて2タイプあると考えている。1つはランサムウェアなどを使って企業に身代金を要求するタイプ、もう1つは国や団体にダメージを与えることで依頼主から何らかの見返りを得ようとするタイプである。いずれのタイプの攻撃者も日々、既存のセキュリティで見つからない新しい手法を見つけだすことを考えている。つまり、攻撃しても検出されてしまうアクターのような、攻撃者にとって意味のない攻撃はしないということだ。

では、どうやって守るのか。ここで登場するのが脅威インテリジェンスということになる。脅威インテリジェンスを活用すると、アクター、TTP、侵害の痕跡の特定、キャンペーンなどの情報が明確になり、現状のリスクを把握できるようになる。すでにセキュリティ投資を行っている企業であれば、脅威情報を分析するだけで脅威に対して適切な打ち手を打つことも可能だ。

しかし、脅威インテリジェンスを活用するのは容易なことではない。実際には脅威インテリジェンスを持っていても、活用できないという企業も多いのではないだろうか。

そこで、私たちのソリューションではファイアウォールやプロキシ、SOARなどに自動的に連携し、それぞれの機器に必要な脅威インテリジェンスを自動的に渡すことで、特に企業側が何かアクションを起こさなくても最新の脅威から企業を守ることを可能にしている。我々のプラットフォームの特徴は、我々自身が提供する脅威インテリジェンスのみならず、セキュリティベンダー他社の提供する脅威インテリジェンスやISACなどから届く情報を簡単に取り込み、「脅威インテリジェンスのプラットフォーム」として一元的に管理できる点にある。非構造化データも構造化された脅威インテリジェンスにワンクリックに取り込めるため、利用者側の負担は少ない。また、有償の脅威インテリジェンスについては、プラットフォーム上からトライアルを実施することが可能である。

外部組織との連携

脅威から自社を保護するのに欠かせないのが、業界内での情報共有である。我々はもともとISACやISAOとの関係が深い企業である。我々はこれらの組織と積極的に連携を行っている。特に、FS-ISACとの関係は非常に強い。さらに、我々は金融業者の情報交換の場としての「トラステッドサークル」を提供しており、脅威インテリジェンスを金融業界で共有する試みも行っている。ここで得られた情報がISACにも共有され、組織を越えた強固なセキュリティネットワークの形成に寄与している。

XDRの活用で安心して業務復帰を

XDRについては、すでに導入されている企業もあると思うが、ここでは私たちが目指すXDRのあり方についてご紹介したい。

一般的にいわれるセキュリティ企業の役割としては、攻撃を発見してリスクを明確化し、削除するための支援をするということがある。しかし、業務復旧・復帰ということを考えるのであれば、それでは不十分だ。

脅威となりうるすべての活動を発見・特定し、リスクとなるものをすべて排除しなければ安全な業務復帰はできないだろう。最新の脅威インテリジェンスを備えていたとしても、攻撃者がそれをかいくぐってくる可能性は当然ある。つまり、現時点で見つけられない脅威もあるということだ。こうした場合に重要なのは現在だけではなく、過去の侵害の痕跡をも検出することで、見つけなければならない脅威やリスクを可能な限り排除していくことだと我々は考えている。

企業にとって何よりも必要なことは、脅威による業務影響を最小限に抑える、万が一業務に影響があったとしても最大限早く見つけだして業務復帰をすることである。我々セキュリティ企業の役割は脅威の検出・検疫にとどまらず、すべてのリスクを見つけだし、復旧のプロセスも含めて提案することだと考えている。XDRをはじめとするソリューションを通して、みなさまのセキュリティ向上、さらに万が一の際の業務復旧をサポートできれば幸いだ。

◆講演企業情報
Anomali Japan株式会社:https://www.anomali.com/jp