アタックへは「ブロック＆レシーブ」を強化、検知ソリューションを知る――GRCS：＠ITセキュリティセミナー2018.6-7

[宮田健，＠IT]

GRCS クラウドサービス開発部 執行役員兼CSO 徳永拓氏

　＠ITは、2018年6月5日、大阪で「＠ITセキュリティセミナー」を開催した。本稿では、GRCSの講演「アタックへの対策はブロックだけでなくレシーブの強化が必須！最新の検知ソリューション丸ごとご紹介」の内容をお伝えする。

　GRCS クラウドサービス開発部 執行役員兼CSO（Chief Strategic Officer）の徳永拓氏は、講演冒頭で「現在のサイバー攻撃に対抗するには、ブロックよりもレシーブ（インシデントの“検知”）に投資を増やすべきだ」と述べる。

　ネットワーク内部の検知は「ログの相関分析」「ネットワークの通信内容をチェック」「プロセスの挙動検知によるEDR（Endpoint Detection and Response）」に分けられるが、ログの相関分析ソリューションである「SIEM（Security Information and Event Management）」はカスタマイズ性が高くフォレンジックにも活用できるものの、コスト高でスキルも必要であり負担が大きい。徳永氏は、「むしろネットワーク通信内容からの検知が、導入の速さにおいても有利だ」と述べる。

　同社が販売する「Darktrace」は機械学習により通常時の通信状態を把握し、その上でこれまでとは異なる利用パターンや、ラボが研究した攻撃モデルに一致するものを検出する。

　徳永氏は、その他にも、出口検査に特化したネットワーク検知製品「Redsocks MTD」や、隔離した「マイクロVM」内でマルウェアを実行させ、挙動を分析するエンドポイント検知製品「Bromium Secure Platform」などを紹介。また、これらと同社のSIEMソリューション「SIEM.AI MT」などを組み合わせることにより、企業内ネットワークを可視化することが重要だとした。

ネットワーク内部での検知方法は、SIEM、ネットワーク精査、EDRなどがあるが、長所と短所を見極めた導入が重要だ（出典：GRCS）