NTTコミュニケーションズ

Bizコンパス

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは
2020.03.11

セキュリティ対策に求められる新たな視点第14回

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

著者 Bizコンパス編集部

 昨年から話題になっている「Emotet」をはじめ、ネットの世界ではサイバー攻撃の手法が日々進化し、巧妙な手口で企業を脅かしています。新種のウイルスや既存のマルウェアを改変した亜種が次々と登場しています。そのため、パターンマッチング型のウイルス対策ソフトでのマルウェア検知率は、今後も低下することが予想されます。

 パターンマッチング型のウイルス対策ソフトが効かないゼロデイ攻撃や標的型攻撃に対して、PCの怪しい振る舞いを検知して対処するエンドポイントセキュリティ手法も存在します。それが、「EDR(Endpoint Detection and Response)」と呼ばれるセキュリティソリューションです。

 一方でEDRを含め、セキュリティ運用では、検知された情報を分析し、対策を取るための人材が必要になります。たとえ人材を確保できたとしても、インシデントが起こった後には対外的な説明責任が問われるため、素早く原因を分析・把握し、説明できなければ、企業価値の低下にもつながります。しかも、グローバルでサービスを提供している場合は、日本時間だけのインシデント対応では手遅れになるため、24時間365日の監視が求められます。

 進化するサイバー攻撃へのセキュリティ対策は、デジタルトランスフォーメーション(DX)推進に不可欠です。その要となるEDRをうまく運用するためには、どうすれば良いのでしょうか? セキュリティオペレーションに特化した運用サービスである「SDOC(Security Demand Operation Center)」を提供する、NTTコミュニケーションズ株式会社(以下、NTT Com)セキュリティサービスマネージャーの河野文則氏と小泉賢人氏に話を聞きました。

24時間365日、インシデント発生に対応できますか?

 セキュリティオペレーションの具体的な対応イメージを、EDR製品が導入されている場合を例に説明します。パソコンなどのエンドポイントのログを収集し、サイバー攻撃の徴候を機械的に検知し、IT管理者に通知します。管理者はその通知をトリガーとして、エンドポイントのネットワーク隔離などの対処を実施し、サイバー攻撃の進行を食い止めます。

 従来のパターンマッチング型のウイルス対策ソフトでは検知できなかったゼロデイ攻撃や標的型攻撃でも、エンドポイントの「振る舞い」を監視することによって重大なセキュリティインシデントに至らないようにしています。

 ただし、企業規模にもよりますが、1日に数十~数百件のサイバー攻撃の挙動を検知する場合もあるようです。中には業務で使っている通信を「悪性」と判断してしまうこともあります。

「機械的に検知した数多くのイベントをすべて対処することは現実的でないため、それらの“危険度”を見極めることがIT管理者に要求されるわけですが、アナリストが攻撃の進行状況に応じて危険度の判定を行うサービスもあります。弊社でも、『WideAngle』というサービスを提供しており、エンドポイントやファイアウォールやプロキシなどのログを収集し、機械的に検知したイベントを総合的に分析し、4段階の危険度(Critical、Serious、Medium、Informational)に分類して、お客さまに通知しています。」(小泉氏)

 NTT Comの河野文則氏は、多くの企業でこのことが課題になっていると指摘します。

「アナリストによる分析サービスを導入して、危険度の高いインシデントの発生が通知される環境がある場合であっても、自社の社員だけではリアルタイムに対処できないことを課題として感じている企業は少なくありません。特に海外拠点を持つ企業では、日本の深夜にセキュリティインシデントが発生することもあり、自社リソースだけでの対応には限界があるでしょう」(河野氏)

 河野氏はこうしたリソース不足を解消するツールとして、冒頭で触れた「SDOC(Security Demand Operation Center)」の存在を挙げました。

 

SHARE

関連記事

“従業員への信頼”から始まるNTT ComのSmart Workstyleとは

2020.09.25

デジタルトランスフォーメーションの実現へ向けて第48回

“従業員への信頼”から始まるNTT ComのSmart Workstyleとは

サイボウズの「100人100通り」の働き方はどうやって生まれたのか

2020.09.16

共創によるビジネスイノベーション第3回

サイボウズの「100人100通り」の働き方はどうやって生まれたのか

「Zoom」のセキュリティ(後編)使っても大丈夫か?

2020.09.03

今知っておきたいITセキュリティスキルワンランクアップ講座第24回

「Zoom」のセキュリティ(後編)使っても大丈夫か?

テレワーク化したコンタクトセンターは、コロナにも震災にも負けなかった

2020.09.02

いま求められる“顧客接点の強化”第30回

テレワーク化したコンタクトセンターは、コロナにも震災にも負けなかった

製造業の現場は、オンラインのみで成り立つのか?

2020.08.28

ニューノーマル時代にビジネスはどう変わるのか第7回

製造業の現場は、オンラインのみで成り立つのか?

6割超の企業がマルチクラウド。どのように管理すべきなのか

2020.08.21

DXを加速させるITシステムの運用改革第30回

6割超の企業がマルチクラウド。どのように管理すべきなのか

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

With/Afterコロナの時代に、オフィスは不要か? 必要か?

2020.08.05

ニューノーマル時代にビジネスはどう変わるのか第5回

With/Afterコロナの時代に、オフィスは不要か? 必要か?

「Zoom」のセキュリティ(前編)何が問題だったのか?

2020.07.30

今知っておきたいITセキュリティスキルワンランクアップ講座第22回

「Zoom」のセキュリティ(前編)何が問題だったのか?