SECURITY REIMAGINED...security reimagined ホワイトペーパー セキュリティ・スキルの ギャップを解消

SECURITY REIMAGINED

ホワイトペーパー

セキュリティ・スキルのギャップを解消

ビジネス・ケース セキュリティ・スキルのギャップを解消

2

セキュリティ・スキルのギャップを解消

サイバー攻撃を実行しているのは、マルウェアではなく、あくまでも人間です。新たなセキュリティ対策が登場すれば、攻撃者はそれに合わせて手口を変えてきます。まさに、攻撃側と防御側のいたちごっこです。サイバー攻撃者との戦いを有利に進めるためには、高度な専門知識が不可欠ですが、現状ではその重要性が見過ごされがちです。

テクノロジーは最初の一歩に過ぎない

多くのセキュリティ部門は、高度なサイバー攻撃に立ち向かうためにどのような対策が必要か、その答えを理解し始めており、理想と現実のギャップを埋めるべく、ネットワークに潜む攻撃者の検知に役立つテクノロジーに多額の投資を行っています。しかし、サイバー攻撃は一向に止む気配を見せません。むしろ、被害は拡大する一方です。このような背景の下、サイバー攻撃の検知は重要な第一歩ではあるものの、被害の発生を食い止めるためには、攻撃を防御して解析、対応できる体制作りが欠かせないとの認識も広まりつつあ

ります。そのために必要となるのがセキュリティの専門知識です。しかし、最新のテクノロジーに精通し、高度なサイバー攻撃に対処可能なトップクラスの人材は、数が非常に限られています。

セキュリティはもはやテクノロジーだけの問題ではない

セキュリティに割り当てられる予算は限られており、高度な専門知識を持つ人材を惹き付け、雇用を継続することは、今後ますます難しくなる可能性があります。セキュリティ戦略がどれほど優れていても、限られた人材とリソースでは満足な結果は残せません。FireEyeグループのMandiantが最近発表したレポートによると、調査対象組織の3分の2以上は、セキュリティ脅威の検知を目的とするテクノロジーを導入していたにもかかわらず、発生したセキュリティ侵害を見過ごしていました。外部から指摘を受けるまで、セキュリティ侵害に気付いていなかったのです。同レポートでは、外部からの指摘に頼らずにセキュリティ侵害を認識していた組織でも、攻撃者は、発見されるまで205日間（中央値）にわたってネットワークに滞在していた事実が判明しています1。

1 http://www2.fireeye.com/rs/fireye/images/rpt-m-trends-2015.pdf

図1：被害組織の多くは、外部から指摘を受けるまでセキュリティ侵害の発生を見過ごしている。

自力でセキュリティ侵害を検知した組織の割合

外部からの指摘でセキュリティ侵害に気付いた組織の割合

ビジネス・ケース セキュリティ・スキルのギャップを解消

では、ネットワーク・モニタリング・デバイスが日々発する膨大なアラートの中から、本当に重要なアラートを見つけ出すにはどうすればよいのでしょうか。

リアルタイムの情報がもたらす効果

アラートの数が膨大になるに従って重要度がますます高まるのが、その内容の正確な理解です。「強い警戒が必要」、「追跡調査が必要」、「優先順位は低い」などの判断は、すべてコンテキストで決まります。攻撃者の素性や目的を理解すれば、リスク評価を正確に実施できます。また、攻撃者の手口を把握できれば、次の行動を予測することも不可能ではありません。

サイバー攻撃による被害の発生を阻止するためには、単なる攻撃の検知に限らず、その対応優先度を判断し、誤検知を排除する必要があります。攻撃者は、検知の網をかいくぐろうと、あの手この手で攻撃を仕掛けてきます。

セキュリティ侵害による被害を最小限に抑えるためには、攻撃手法の把握に役立つ実用的な脅威情報が肝要です。

ただし、情報だけでは不十分です。その情報をエンドポイントやログ、ネットワーク・トラフィックに適用し、分析できなければなりません。

平時におけるネットワークの状態を示す基準値を策定し、そこから逸脱するアクティビティを常時監視すると、ネットワークへの攻撃者の侵入を示唆する異常値を発見できます。

図2：セキュリティ対策は、脅威情報、テクノロジー、専門知識の組み合わせによって初めて大きな効果を発揮する。

攻撃者の素性や目的がわかれば、リスク評価を正確に行えます。

ビジネス・ケース セキュリティ・スキルのギャップを解消

4

高度な攻撃への対策に必要なソリューションの条件

では、セキュリティ予算が限られる中、人材と情報に関する課題に対処しながら、高度なセキュリティ脅威を常時監視するにはどうすればよいのでしょうか。模範的なソリューションを次に示します。

1. 専門知識：まず、ネットワークに潜む高度なセキュリティ脅威を常時監視するための専門知識と人材の提供が受けられなければ、効果的なソリューションとは言えません。加えて、セキュリティ侵害の発生時に、高度なサイバー攻撃への対応に熟練した専門家による支援が得られることも重要です。

2. 脅威情報（インテリジェンス）：ネットワークに被害をもたらす可能性のある、セキュリティ脅威のコンテキスト情報を入手できる必要があります。この情報は、マルウェアおよびインテリジェンスの専門家による精査を受けた、網羅的な内容でなければなりません。

3. テクノロジー：テクノロジーは、セキュリティ・アーキテクチャの根幹をなす重要な存在です。特に高度な脅威対策では、既知および未知のマルウェアと、マルウェアを使用しない攻撃を検知できる必要があります。また、WebやEメール、エンドポイント、モバイル・デバイスなど、攻撃に使用されるケースが多いあらゆる経路に対応している点も重要です。

FireEye as a Service

セキュリティ脅威を監視し、段階的に実行されるサイバー攻撃を検知して、攻撃者の目的達成を未然に防ぐためには、専門知識、脅威情報、テクノロジーが必要です。FireEye as a Serviceは、そのすべてを提供する新しいソリューション・サービスです。

サブスクリプション型の料金体系で利用できるFireEye as a Serviceは、組織のセキュリティ脅威対策を継続的に支援する各種サービスを提供します。高度な専門知識を有するFireEyeのアナリストによる24時間体制のネットワーク監視が実施されており、お客様が運用するFireEyeセキュリティ・プラットフォームを最大限に有効活用できます。

FireEye as a Serviceでは、ネットワークに甚大なリスクをもたらすセキュリティ脅威が見つかった場合に、個別的で具体的な対処方法をお客様に通知します。ここで通知されるのは、単に攻撃が発生したという事実だけではありません。攻撃実行者の素性、攻撃への対応方法、被害の拡大を防ぐ方法などの、実際の対策に必要となる具体的な情報も提供されます。

FireEye as a Serviceには、多様なセキュリティ環境に対応する幅広いサービスと複数のサブスクリプション・オプションが用意されています。このため、担当者のスキルや組織のリスク許容度に合わせた最適なサービスを受けることができます。

FireEyeについて

FireEyeは、民間企業や官公庁の重要情報を標的型攻撃から保護する高度なセキュリティ・ソリューションを提供しています。テクノロジー、インテリジェンス、専門知識と、それを運用する業界有数のインシデント・レスポンス・チームの組み合わせにより、セキュリティ侵害による影響を最小限に抑えます。FireEyeのセキュリティ・ソリューションは、複数の経路から段階的に実施されるサイバー攻撃に対応しています。発生したサイバー攻撃を検知、防御するだけでなく、その攻撃が自社の重要資産にもたらすリスクを把握できます。またFireEyeでは、セキュリティ侵害発生時に素早くインシデント・レスポンスを実施し、問題を解決するサービスも提供しています。FireEyeのソリューションは、世界67か国の3,100を超える組織に導入されており、Fortune 500企業の200社以上で利用されています。

ファイア・アイ株式会社 | 〒101-0054 東京都千代田区神田錦町3-22 テラススクエア8階 | TEL: 03-4577-4401 | [email protected] | www.FireEye.jp

FireEye, Inc. | 1440 McCarthy Blvd. Milpitas, CA 95035 | +1 408 321 6300 | 877.FIREEYE (347.3393) | [email protected] | www.FireEye.com

© 2016 FireEye, Inc. All rights reserved. FireEye はFireEye, Inc. の商標です。本資料のその他のブランド名、製品またはサービス名はそれぞれその所有者の商標またはサービスマークとして登録されている場合があります。– WP.CSEG.JA.102015

FireEyeのセキュリティ・ソリューションの詳細については、www.FireEye.jpをご覧ください。