今どきの攻撃者は「正面」からシステムに侵入する 有識者が指摘するログ管理とSIEMの重要性：「普段と違う動き」は危険の証

「クレデンシャルを使った侵入」の増加などに伴い、サイバー攻撃のリスクは高まる一方だ。企業を守るためには「脅威を検知し、対処するセキュリティ」は不可欠だが、新たな課題が生まれている。それは「セキュリティ製品から出力される膨大なアラート」だ。

[PR／＠IT]

PR

　昨今、さまざまなサイバー攻撃による被害が報じられている。外部から不正侵入を受けてシステムが正常に動作しなくなったり、「盗み出した情報を公開する」と脅されたりする被害はその最たるものだ。

　米国のサイバーセキュリティ企業、ExabeamのCEOを務めるマイケル・デシーザ（Michael DeCesare）氏は「現在発生しているサイバー攻撃のほとんどは、盗み取られたクレデンシャル情報（IDやパスワードなど認証に使われる情報）を悪用したものです。攻撃者はダークウェブでそれらの情報を購入し、正面から堂々とシステムに侵入し、短時間でラテラルムーブメント（攻撃の横展開）をします」と指摘している。

Exabeamのマイケル・デシーザ氏

　さらにコロナ禍によって、この数年で働き方は大きく変化した。クラウド移行やテレワークが進み、自宅など社外から業務システムにアクセスすることは珍しくなくなった。

　この結果、「テレワークでは、脅威をどう制御するかというセキュリティ上の問題が生じるようになりました」と、同社のCRO（最高収益責任者）のクリス・シージオ（Chris Cesio）氏は警鐘を鳴らす。「社内か社外か」で制御していた従来のセキュリティ対策が適用できず、従業員をだましたり、マルウェアに感染させたりしてクレデンシャルを盗み取るサイバー攻撃のリスクが高まっている。

　また残念ながら、何らかの悪意を持った従業員による内部不正のリスクも否定できない状況だ。

　「Exabeamが日本市場に参入した5年ほど前までは、どの顧客も『内部不正の心配はありません。なぜなら、われわれは従業員を信頼しているからです』と話していました。しかしテレワークが始まり、普及すると『従業員が自宅やリモート環境でどのように働いているかが把握できない、不安だ』といった意見が多くなりました」（シージオ氏）。これは日本のみならず、世界中に共通する課題だ。

日々飛び交う大量のアラートに忙殺されるセキュリティ運用の現場

Exabeamのクリス・シージオ氏

　では、こうしたリスクへの対処策は何だろうか。まず考えられるのは、ネットワークやエンドポイントにセキュリティ製品を導入し、不審な動きがないかどうかを常に監視することだ。脅威を早期に検知し、素早く対応することで被害を最小限に抑えるといったアプローチで、既に「EDR」（Endpoint Detection and Response）などを導入し、取り組んでいる企業もある。Exabeamは、こうしたアプローチを脅威（Threat）、検知（Detection）、調査（Investigation）、対応（Response）の頭文字を取って「TDIR」と呼んでいる。

　ただ、ここには新たな課題もある。あまりに多くのアラートが発生し、解析が間に合わないのだ。「大手企業ともなると、1つのEDR製品だけで1日に5TBものデータが生まれます。セキュリティアラートに関するデータは指数関数的に増加しています」（デシーザ氏）

Exabeamのギャレス・コックス氏

　あまりに大量のアラートが飛び交う結果、本来注目すべき重要な情報が埋もれてしまい、気付いたときには手遅れになってしまうといった事態も起こりかねない。ExabeamのAsia Pacific Japan責任者のギャレス・コックス（Gareth Cox）氏は「ある従業員4万人規模の企業では、1カ月で13万4000件ものアラートが出ていました。それに対し、精査する担当者は5人だけ。現実的にはとても対処は不可能な状況でした」と例示している。

　「SOC」（Security Operation Center）でセキュリティ運用監視に当たるセキュリティ担当者は、日々アラートに追われ、「軽度のものか、それともエスカレーションすべき深刻な事態か」を確認する作業に追われている。ただでさえセキュリティ人材不足が叫ばれる中、貴重なリソースがこうした比較的単純な業務に忙殺されている状態だ。

クラウドスケールでユーザーの振る舞いを分析し、脅威や内部不正を早期に検出

　Exabeamは、こうした課題を解決するため、クラウドベースの「SIEM」（Security Information and Event Management）／「UEBA」（User and Entity Behavior Analytics）製品を提供している。

Exabeam SIEM

　「『どんな環境からログインし、1日に何通のメールをやりとりし、どんなアプリケーションを利用するか』といった“日々のアクティビティー”はユーザーごとに異なります。Exabeam製品では全てのユーザー、全てのデバイスのデータを格納し、ユーザーごとにベースラインを作成。普段と少しでも違う行動があればサイバー脅威や不正、クレデンシャルの盗難による“なりすまし”の可能性があると判断し、フラグを立てます」（デシーザ氏）

　こうした製品では誤検知や過検知が気になるが、Exabeamの製品は機械学習をベースに、常時600以上の異なる属性をトラッキングし、分析したリスクをスコアリングしている。これによって精度の高いアラートが出せるという。

　セキュリティ担当者の負荷を大きく削減しつつ、リスクの高い動きに絞って通知することで、脅威の検知や侵害の予防を支援する。Exabeam製品の特徴として、攻撃者が最も狙うクレデンシャル情報の使われ方にフォーカスしていることが挙げられる。また、オンプレミスではなくクラウドサービスとして提供するので、拡張性に優れていることもポイントとなる。

　もう1つの特徴は、環境に合わせて選択できる豊富なラインアップだ。クラウドスケールのSIEM製品「Exabeam SIEM」の他、サードパーティーが提供するSIEM上で動作する分析システム「Exabeam Security Investigation」、それら両方の機能を統合した「Exabeam Fusion」を用意しており、ログ管理からのスタート、行動分析からのスタート、いずれにおいても統合されたSIEMを用いたTDIRまでを支援する。

豊富なExabeamのラインアップ

各セキュリティ製品のデータをつなげるオープンな枠組み「XDR Alliance」とは

　現在、さまざまなレイヤーに対する多様な対策機能を持ったセキュリティ製品が入り乱れている状態だ。例えばEDRの「検知、対処」の考え方は、エンドポイントだけではなく、ネットワークを対象とした「NDR」（Network Detection and Response）、さらにはより広範囲を対象にした「XDR」（eXtended Detection and Response）に拡張されている。多数の製品を導入した企業では、常に飛び交うさまざまなアラートが現場のセキュリティ担当者を苦しめている。

　Exabeam製品はそうしたさまざまなセキュリティ製品からの異なるデータを集約し、正規化することで、担当者が無理なく不正アクセスや内部不正を調査できるようにする。選択肢も無数にあり、SIEMも含めてExabeam製品で統一することも、既に導入済みのSIEM製品と組み合わせて行動分析機能だけを導入するといったことも可能だ。

　加えて、Exabeamは「XDR Alliance」（XDRアライアンス）という取り組みを主導している。1社で全ての機能を1つの製品として提供するのではなく、各レイヤーでベストだと判断するセキュリティ製品を組み合わせ、重要な情報を互いにつなげてTDIRを実現することを念頭に置いたもので、Google、Netskope、Mimecastなどが参加している。

　「顧客は各製品のアラートを集約して振る舞いを分析し、今の状況を見極めたいと考えています。XDR Allianceは共通の情報モデルに基づいてデータを集約し、正規化して振る舞い分析につなげるオープンな枠組みを提供します」（デシーザ氏）

業種／企業ごとのニーズに合わせた製品をパートナーと共に提供

　Exabeamは、日本市場はもちろん、グローバルでもパートナー経由で製品を販売してきた。既に多数のパートナー企業がExabeamと販売契約を結び、それぞれのサポートサービスや知見を組み合わせて提供している。

　日本法人ではパートナー向けのトレーニングや認定制度を設ける他、カスタマーサクセス、そしてパートナーを支援するチームを整え、さまざまなレイヤーで支援している。日本のパートナー企業の中には、プロフェッショナルサービスを展開したり、マネージドサービスを提供したりなど「独自の付加価値を提供しているところもあります」とシージオ氏は説明している。

　Exabeamは、企業それぞれの文化やプロセスに合わせた展開を支援する。「同じツールでも、ビジネスや成熟度によってセキュリティオペレーションは異なります。大手金融機関ならば内部不正が懸念事項でしょうし、医療業界ならば個人識別情報（PII）が、製造業であれば知的財産（IP）の漏えいが気になるはずです。それに応じてセキュリティチームがとるべきプロセスは異なります。Exabeamは、コンサルティングも組み合わせ、顧客に合わせたサービスを提供しています」（シージオ氏）

　そして日本でも「モノ作りを取り巻く内外の脅威の高まりを踏まえ、製造業向けのチームを組織し、日本の製造業の企業を支援していきます」（コックス氏）という。

　Exabeam製品を活用してセキュリティオペレーションを改善した企業は多い。例えば、米国のMUFG Union Bankでは、以前は「DLP」（Data Loss Prevention）のログ監視に25人ものセキュリティオペレーターを割り振っていた。Exabeam製品を導入することで、作業を自動化。ログ監視作業に携わっていた人材を、インシデントレスポンスといった、より高度な判断が求められる領域に割り振ることができた。

　国内パートナーの一社でもあるNTTデータでは、買収に伴って傘下に入った企業が運用してきたさまざまなセキュリティ製品のログを一元的に集約し、調査から対応までを進めるためのツールとして自らExabeam製品を採用した。そのノウハウを生かして顧客にExabeam製品を提供している。

　Exabeamは引き続き、脅威情報と結び付けて状況を整理し、対応方法を推奨する「Outcomes Navigator」機能や、「MITRE ATT&CK」とのマッピング機能などを追加し、自社内で今何が起きているかを分かりやすく把握するための強化を続ける予定だ。

　「全てのサイバー攻撃者が狙うクレデンシャル情報を守り、不足するセキュリティ人材の問題を自動化で解決し、グローバルに進むクラウド移行のトレンドに対応する支援を日本でも行っていきます」（シージオ氏）