ブログ(製品・サービス関連)

役立つMDR選び5つのポイント - Part 1

セキュリティ対策における最大の目的は何だろう?情報漏えい対策、機会損失、信頼失墜、株価への影響、取引先に及ぼす影響など、業種業態によってさまざまだろう。しかし、共通するポイントが一つだけある。それは「影響範囲を最小限にとどめること」だ。

対応の遅れは損害に直結する。例えば、FireEye Mandiant が行うレッドチーム演習で、管理者権限を奪取するのに必要な時間は平均3日といわれている。つまり、侵入されてからどれだけ迅速に対応が可能かという時間勝負である。万が一侵害が発生しても、それを早期に終息させることにより、上記をはじめとする様々な影響を回避することができる。

そのためには、侵害を早期発見、早期対処が重要になる。インシデントレスポンスは一つの方法ではあるが、これは状況が深刻化してからの最終手段法だ。インシデントレスポンスに至らずに済ますための方法を考慮しておくべきだろう。ここ数年話題になっているManaged Detection and Response (MDR)はそのための方策の一つといえる。

MDRとは、従来のセキュリティ対策を回避して侵入してきた脅威に対応するためのサービスであり、組織における脅威の検知やインシデントレスポンス体制を強化するものである。侵入が発生したあとの痕跡をもとに調査を行うことから、痕跡を記録するためのツールとして主にEDRが用いられる。

MDRには、侵入してきた脅威を検出するだけでなく、攻撃者の正体、動機、目的、時期、攻撃手法などに対する深い検証能力と適切で迅速な対応能力が求められる。したがって、MDRといわれるサービスでもそのサービス内容、サービス・レベルはサービス提供者の能力によってさまざまだ。

そんなMDRを選定するにあたって、MDRにどのような能力が求められるのか。本ブログでは以下の5つの能力を中心に解説する:

  1. 迅速なレスポンスを実施する能力があるか
  2. 「何が見つかったか」ではなく「何をすべきか」の情報提供が可能か
  3. プロアクティブなハンティングを行う能力があるか
  4. 得られた知見を検知や運用に還元し、検知を効率化するエコシステムがあるか
  5. 十分な攻撃者インテリジェンスを持っているか

この5つのポイントについて、2回に分けて解説していく。今回は1および2について触れる。
 

1. 迅速なレスポンスを実施する能力があるか

今回のブログのテーマにある通り、対応の遅れは損失に直結する。では具体的な対応とは何か?MDRサービスでは、エンドポイント・セキュリティが発したアラートの優先度を判断し、深刻度の高いものに対する調査を行って影響範囲を特定、侵害を受けた端末の隔離などの対応を行う。この対応を迅速に行い、かつ、適宜お客様に状況報告ができるかどうかが重要になる。MDRで検出する脅威はパターンなどで見つけられるものではないから、アナリストがマニュアルで痕跡を見つけ出す必要がある。そのためには、侵害痕跡と思われるものの中から、本物の痕跡を見極める高い能力が求められる。この能力は主に経験によって養われるものであり、いわば「匠の技」的な性質を持つ。例えば難読化されたコードの中からエクスプロイトと思われるものの場所のあたりをつけて、素早く見つけ出していくためには、多くの調査の経験が求められるのだ。この能力に乏しいMDRベンダーは、攻撃の特定までに時間を要し、結果、早期対応のタイミングを逃すことになる。

侵害発生時、対象となった組織(=お客様)は混乱した状況にあるからこそ、いま何が起こっているのかを明確にし、お客様側に余計な負担や労力をかけず、事態を収束できる能力が求められる。深刻な侵害と判断されれば即時に、インシデントレスポンスに移行できるかどうかも重要なポイントとなる。

2.「何が見つかったか」ではなく「何をすべきか」の情報提供が可能

MDRの中には、アラートの解説をレポートとしてまとめたものを主サービスとしているところもある。アラートが何を意味するかも非常に重要な情報ではあるが、それがインシデントに起因するものである場合、それがどういう攻撃によるものか、関連する脅威としてどういったものが考えられるのか、などの予後に役立つ情報こそが、プロアクティブな防御に役立っていく。用いられた攻撃手法や関与が疑われる攻撃者などの情報も含まれていることが望ましい。

本ブログでは、MDRとして求められる能力として、迅速な対応と情報提供能力について解説した。後半では、プロアクティブ・ハンティングと、今回解説した能力を支える脅威インテリジェンスについて説明していく。

 

関連リンク