第6回 CSIRT 立ち上げ後にやるべきことは?

企業を狙った標的型攻撃は増大する一途で、マルウェア感染による被害は他人事ではありません。攻撃の技術・手法は巧妙化しており、多層防御をすり抜けてきたマルウェアによる情報漏えいなどのセキュリティインシデントも増えています。このようなセキュリティリスクに企業はどう対処していけばよいのでしょうか。今回は、「マルウェアの侵入は避けられない」という認識の下、侵入した攻撃・脅威の素早い検出、被害軽減に向けた対応策のあり方について考えていきます。

  • CSIRTの立ち上げに向けて、何を、どこまで、どのように行えばよいのか
  • サイバー攻撃を受けた経験を踏まえてITセキュリティ対策を見直したい
  • 脅威の侵入に備えたログ監視はしっかり行われているのか

企業の経営層の方、情報セキュリティ責任者の方が取り組むべき課題と対策を明確にしていく上で参考にしていただければと思います。

マルウェアは「人の脆弱性」を突いてくる

企業は多層防御の観点からサイバー攻撃に対する防御レベルを高めてきましたが、攻撃側は企業の対策を研究した上で、新たな技術や手法で攻撃を仕掛けてきます。例えば、最近のマルウェアは、サンドボックスを検知して活動を一時停止させたり、プロトコルを偽装してIDS/IPSをすり抜けてきたりします。感染後、しばらく息を潜め、急に動き出すものや、気づかれないよう時間をかけて情報を盗んでいくものもあります。数週間、数ヶ月が経ってから情報が抜き取られていることに気づくケースが少なくないのもそのためです。

これらマルウェアの侵入経路の一つとなっているのが、メールやWebアクセスといった社員の日常的な行為です。取引先を想わせる名称を偽装したメールを仕掛けてくる場合もあります。また、設定ミスなどでウイルス対策プログラムが正常に働いていないパソコンがあった場合、そこを糸口に社内への侵入を狙う攻撃があるかもしれません。まさに「人の脆弱性」を狙った攻撃と言えます。教育やルールの徹底などの意識改革により、「人の脆弱性」が持つリスクは減らすことはできても、ゼロにすることはできません。

防御に完璧を尽くす取り組みを継続的に強化していくことは何よりも重要ですが、高度化、巧妙化、狡猾化する攻撃に対して、100%の防御は難しいと言わざるを得ないのも事実です。

企業としてどう対処すればよいのか

大切なのは考え方の転換です。「マルウェアの侵入は避けられない」という認識の下、ITセキュリティに対する考え方を変えることです。マルウェア侵入をいかに早く検知・特定し、情報が搾取される前に対処できるか、いかに被害を最小化できるか。社内のITセキュリティ状況に対する監視体制の強化に向けた取り組みに人と予算を投入していく必要があります。実際、下記グラフに見られるように、「予防」だけではなく「監視」「対応」の対策強化に力を入れる企業が増えてきています。

ITセキュリティの考え方の変化

  • 出典:EMCジャパン株式会社

このような考え方は、社内にITセキュリティインシデントに速やかに対処する組織「CSIRT(Computer Security Incident Response Team)」を整備する企業が増えていることからも見てとれます。経済産業省が策定した「サイバーセキュリティ経営ガイドライン(Ver.1.1)」においてもCSIRTの整備について触れられています。

CSIRT

「100%の防御は難しい」という考え方に立った場合、社内のITセキュリティ状況の監視体制を強めていくことが重要になります。専任の担当チームCSIRTを整備し、社内のパソコン、サーバ、ネットワークで発生するイベントのすべてを常時収集し、監視していく必要があります。万が一、マルウェアの不審なふるまいを検知したら、それがどこから、どのように侵入してきたのか、その後どのサーバに感染し、どのような情報を抜き取ろうとしたのか、迅速かつ的確に把握しなければなりません。対策を開始するまでのリードタイムが短ければ短いほど被害を最小限に抑え、二次被害、三次被害を減らすことが可能です。とはいえ、多数の端末を運用している企業では、監視対象となるログやデータは多様で膨大であり、分析には高度な技術や知識も求められます。イベントを監視するために必要なログやネットワークパケットについて、ログ情報、パケット情報の収集・分析、攻撃・脅威の検出、追跡を含めた対応まで、一連の作業をスタッフだけで行うには限界があるため、ソフトウェアの活用を検討するべきでしょう。

企業で広がるSIEMという選択

SIEM

では、人的な監視力、検知力、分析力を補うには、どのようなソフトウェアが必要でしょうか。検討していただきたいのがSIEM(Security Information and Event Management)です。社内の発生しているイベントを集中的に収集・管理し、ITセキュリティ状況のリアルタイム監視、リスクの早期抽出、インシデント発生時の速やかな対応に役立てることができます。

SEIMの機能と役割

セキュリティ情報の収集・イベント管理
  • 社内で発生しているイベントをパソコンやサーバ、ネットワークから検出し、大量のイベントを正規化することで効率の良い分析を可能にするデータベースを構築します。
  • このデータベースをもとに、セキュリティ状況の把握、リスクの兆候、リスク要因の抽出が速やかに行えます。
  • セキュリティベンダーが公開しているマルウェア情報等と突き合わせることで潜在しているマルウェアを浮かび上がらせることもできます。
  • イベントを組み合わせることで読み取れるリスクもあります。相関分析により、ログ情報だけでは把握できないリスク要因を捉えることができます。
  • 過去のデータベースから予兆となるイベントを特定し、アラートで通知することも可能です。
インシデント対応
  • セキュリティインシデント発生時には、原因の特定、影響を受けた端末の範囲や、被害を受けたデータの範囲の特定が迅速に行えます。
  • マルウェア感染した端末や、マルウェアが潜伏している端末を、マルウェアのふるまいから捜査・追跡することが可能です。
  • これにより、対策開始までのリードタイムを出来る限り短くすることができ、被害を最小限に抑える取り組みが可能です。

SIEMによるシステム的対策と、スタッフによる人的対策を連携させることにより、攻撃・脅威の監視・検知からインシデント発生時の対応まで、担当チームの作業の効率化、アクションの迅速化が図れます。

「マルウェアの侵入は避けられない」との認識の下、ITセキュリティのさらなる強化へ。企業にとってSIEMは欠かせないソフトウェアと言えるでしょう。

分析力と対応力で注目のSIEM

様々なSIEM製品がある中、分析力と対応力で注目したいのがEMCジャパン株式会社の統合型プラットフォーム「RSA NetWitness Suite」です。

「RSA NetWitness Suite」は、ログ情報に加え、ネットワークパケット情報およびエンドポイント情報までカバー。社内のITセキュリティ状況を可視化し、関連付けて分析することで、ログ中心のアプローチでは見逃しかねない攻撃や脅威のタイムリーな検知・発見、インシデント発生時の素早い分析と対応を可能にしてくれるものです。SIEMを強力なアクションツールに変えるソリューションと言えるでしょう。

「RSA NetWitness Suite」とは?

ログ情報やパケット(ネットワークセッション)情報を収集し、インテリジェンスを活用した分析を行う統合型プラットフォーム

従来のセキュリティ機器ではわからなかった情報を可視化して対応すべき行動を決定できる

RSA NetWitness Suiteのインシデント対応コンセプト

RSA NetWitness Suiteが可能にすること
  • 攻撃を特定して調査する完全な可視性を得る
  • 最も高度な攻撃でも、ビジネスに影響する前に検出して分析する
  • 最重要のインシデントに目標を定めてアクションをとる
RSA NetWitness Suiteの特長
  • 単一のインフラストラクチャで、ログ、ネットワークパケット、NetFlow、エンドポイントなどの可視性を提供
  • ログ、ネットワーク、エンドポイントを関連づけて、他のSIEMソフトウェアでは見逃してしまう問題を検出
  • すぐに使えるレポート、インテリジェンスフィールドとルールでインシデント検出をただちに開始
  • インシデントの選別、迅速な調査、コンプライアンスレポートに対応した直感的なツール
  • セキュリティオペレーションプログラムをエンドツーエンドで管理できる唯一のプラットフォーム
  • 出典:EMCジャパン株式会社 資料より

脅威可視化ソリューション「RSA NetWitness Suite」の詳細を見る

SIEM導入支援

NECソリューションイノベータでは、SIEMソフトウェアのご紹介、導入のご相談にお応えします。ITセキュリティの監視体制を見直したいお客様や、CSIRTの本格稼働に向けて有効なITシステムを考えたいお客様、是非、お気軽にご相談ください。

お客様の「RSA NetWitness Suite」導入をお手伝いします

詳しい資料をご用意し、概要や特長、事例などをご紹介します。お気軽にお問い合わせください。

掲載日:2017年3月31日

情報セキュリティコラムThe ANGLE情報漏えい対策の視角

セミナー・イベント情報

現在ご案内中のイベント・セミナーはございません。

資料ダウンロード

企業の情報漏えい対策に役立つ情報をPDF形式の資料として無償でダウンロードしていただけます。

漏えいリスクから企業の情報資産を守る

情報漏えい対策ソリューションリーフレット

情報漏えい対策ソリューションリーフレット

本サイトに掲載しているソリューションをA4裏表でコンパクトにまとめたご紹介リーフレット。

(A4・全2ページ)

情報セキュリティ対策の特集/業界トレンド情報をご提供

ホワイトペーパー

  • IT部門 意思決定者を対象とした調査結果レポート

    IT部門 意思決定者を対象
    とした調査結果レポート

    (A4/全8ページ)
  • 「終わりなきITセキュリティ対策」に必要な2つの視点とは

    「終わりなきITセキュリティ対策」
    に必要な2つの視点とは

    (A4/全4ページ)
  • 21世紀のセキュリティにAIが果たす役割

    21世紀のセキュリティに
    AIが果たす役割

    (A4/全6ページ)

情報漏えい対策ソリューション

製品ご紹介リーフレット

本サイトでご紹介している製品のご紹介リーフレットを無料でまとめてダウンロードしていただけます。導入ご検討の際にぜひご活用ください。

  • Check Point Media Encryption リーフレット

    Check Point Media Encryption(A4・全2ページ)

  • Check Point Full Disk Encryption リーフレット

    Check Point Full Disk Encryption(A4・全2ページ)

  • NonCopy2 リーフレット

    NonCopy2(A4・全2ページ)

  • 4thEye Professional リーフレット

    4thEye Professional(A4・全2ページ)

  • Tripwire Enterprise リーフレット

    Tripwire Enterprise(A4・全2ページ)

  • CylancePROTECT リーフレット

    CylancePROTECT(A4・全2ページ)

  • Webコンテンツ保護・情報漏えい対策ソリューション リーフレット

    Webコンテンツ保護・情報漏えい対策ソリューション(A4・全4ページ)

漏えいリスクから企業の資産を守る

情報漏えい
対策ソリューション

NECソリューションイノベータの情報漏えい対策ソリューションは、
「内部からの情報漏えい」と「外部からの悪意ある攻撃」2つのリスクに着目し、
お客様の環境、ご要望に沿ったセキュリティ強化対策を、導入のご相談から運用に至るまでワンストップでご提供。お客様の情報資産を安全かつ強固にお守りします。

情報漏えい対策をお考えの企業様へ

お問い合わせ・ご相談フォーム

「すでにセキュリティ対策はしているつもりだが、対策に漏れがないか不安だ」
「セキュリティをより強固にするため複数の施策を組み合わせたいが、機能の重複などがあって迷っている」
など、情報漏えい対策についてのご質問・ご相談などございましたら、何でもお気軽にお問い合わせください。