アタックへは「ブロック&レシーブ」を強化、検知ソリューションを知る――GRCS@ITセキュリティセミナー2018.6-7

@ITは、2018年6月5日、大阪で「@ITセキュリティセミナー」を開催した。本稿では、GRCSの講演「アタックへの対策はブロックだけでなくレシーブの強化が必須!最新の検知ソリューション丸ごとご紹介」の内容をお伝えする。

» 2018年07月10日 08時00分 公開
[宮田健@IT]
GRCS クラウドサービス開発部 執行役員兼CSO 徳永拓氏

 @ITは、2018年6月5日、大阪で「@ITセキュリティセミナー」を開催した。本稿では、GRCSの講演「アタックへの対策はブロックだけでなくレシーブの強化が必須!最新の検知ソリューション丸ごとご紹介」の内容をお伝えする。

 GRCS クラウドサービス開発部 執行役員兼CSO(Chief Strategic Officer)の徳永拓氏は、講演冒頭で「現在のサイバー攻撃に対抗するには、ブロックよりもレシーブ(インシデントの“検知”)に投資を増やすべきだ」と述べる。

 ネットワーク内部の検知は「ログの相関分析」「ネットワークの通信内容をチェック」「プロセスの挙動検知によるEDR(Endpoint Detection and Response)」に分けられるが、ログの相関分析ソリューションである「SIEM(Security Information and Event Management)」はカスタマイズ性が高くフォレンジックにも活用できるものの、コスト高でスキルも必要であり負担が大きい。徳永氏は、「むしろネットワーク通信内容からの検知が、導入の速さにおいても有利だ」と述べる。

 同社が販売する「Darktrace」は機械学習により通常時の通信状態を把握し、その上でこれまでとは異なる利用パターンや、ラボが研究した攻撃モデルに一致するものを検出する。

 徳永氏は、その他にも、出口検査に特化したネットワーク検知製品「Redsocks MTD」や、隔離した「マイクロVM」内でマルウェアを実行させ、挙動を分析するエンドポイント検知製品「Bromium Secure Platform」などを紹介。また、これらと同社のSIEMソリューション「SIEM.AI MT」などを組み合わせることにより、企業内ネットワークを可視化することが重要だとした。

ネットワーク内部での検知方法は、SIEM、ネットワーク精査、EDRなどがあるが、長所と短所を見極めた導入が重要だ(出典:GRCS)

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。