2018/9/5

対応プロセスの「ロボット化」、「バーチャル人材」の投入
インシデント対応業務の効率化で人材不足を補う。

  • このエントリーをはてなブックマークに追加

株式会社インテリジェント ウェイブは、イスラエルをはじめとするサイバー先進国との強固な関係をもとに、先進的サイバーセキュリティ製品と技術サポートを提供する、DNPグループのセキュリティプロフェッショナルです。

【目次】
  • イスラエルの先進的なツールでCSIRT業務の負荷を軽減
  • CSIRT業務の自動化を実現。人間の作業をロボット化「eyeShare」
  • 偽情報で攻撃者を捉える 過検知のないバーチャル探偵
    「Deceptions Everywhere」
  • 速い、ノーミス、ログ解析のプロ。ネットワーク上のアナリスト「SecBI」

株式会社インテリジェント ウェイブ
セキュリティソリューション本部ビジネス推進部 部長

清水 良昭

Yoshiaki Shimizu

米国PMI認定 PMP

  • 所属・肩書などは、2018年4月取材時のものです

イスラエルの先進的なツールでCSIRT業務の負荷を軽減

ここ数年、CSIRTの増加に伴い、どの企業でもセキュリティ人材の不足が叫ばれています。追加のセキュリティ対策を講じたくてもできない、人材を確保したはいいものの専門性が高く育成方法が分からない、といった声が寄せられることもしばしばあります。こうした悩みに対し、当社は、CSIRT業務にも対応できる先進的なツールをラインナップしています。さまざまなツールの活用によってセキュリティ対策だけでなく業務効率化や負荷軽減も実現していきます。

当社が提供するツールの多くは、イスラエルで開発されたものです。国家戦略としてサイバーセキュリティに力を注ぐイスラエルは、研究機関や人に対する積極的な投資、軍で培った技術の民間への転用が推奨されているなどの背景から、攻撃と防御の両視点を持ったツールが数多く生まれています。

CSIRT業務の自動化を実現 人間の作業をロボット化「eyeShare」

当然のことながら、セキュリティ体制を強化するには複数のツールを導入することが効果的であり、当社としてもさまざまなツールを多くの企業に提案してきました。しかし、セキュリティ人材が足りていない今の状況では、ツール操作や確認などにかかる業務負荷が増えると、結果的に、攻撃を受けた時のスピーディーな対応が困難になるということもあります。そこで2017年秋からラインナップしたのが、インシデント対応業務を効果的・効率的に行うためのツール「eyeShare」です。

アラートをベースにインシデント内容を確認し、対策にあたるといった一連のプロセスを「eyeShare」は人の代わりに自動で実行します。つまり、「eyeShare」はセキュリティインシデント対応のプロセスをロボット化し、ITオペレーターが手作業で行っていた業務を自動化することで、インシデント対応時間の大幅な短縮とミスの削減を実現できるツールです。

業務フローの可視化や最適化、ミス削減による品質向上を実現できるだけでなく、場所や時間に縛られるプロセスを自動化することによって、深夜や休日であっても人に負担をかけることなく迅速な対応が可能になります。また、業務から解放されて時間を創出することができるなど、働き方の変革という観点でもメリットのあるツールといえるでしょう。

加えて特筆すべきなのが、導入作業を効率的に進められる120のテンプレートがあること、各種IT製品との連携事例が多いこと、そして業務フローを定義する際のプログラミングが不要であることです。高度なスキルを必要としないことから、海外ではすでに180社を超える導入実績があり、日本でも導入を検討中の企業が増えています。導入する際は、まず1ヶ月ほどの評価期間で、効果を確認いただき本番稼働へと移行していきます。

偽情報で攻撃者を捉える過検知のないバーチャル探偵「Deceptions Everywhere」

近年のサイバー攻撃は、組織内のネットワークに潜入後、時間をかけて誰にも気づかれることなく、重要な情報資産を見つけ出して持ち去り、証拠も消し去るなど、高度化・巧妙化が進んでいます。「Deceptions Everywhere」は、このような高度な技術を持つ攻撃者用に、複数の罠(偽情報)を仕掛け、罠にかかった攻撃者を検知し警告をあげるツールです。リアルタイムでフォレンジック情報を自動収集するため、分析業務の負担も軽減できます。 具体的には、既存のネットワーク環境をベースに、実際には存在しないユーザの認証情報やサーバー情報を偽情報としてそれぞれのパソコンに埋め込みます。侵入した攻撃者からすると、偽情報も本当の情報も同じように見え、区別できません。偽情報に従って活動すると裏側では即警告があがり、どの端末に攻撃者がいるか特定できるためログの調査も不要。つまり、10のアラートがあれば10の攻撃者が存在することになり、結果的に工数削減・時間短縮が可能になります。
攻撃者が求める“偽の”情報を流し、攻撃者がそれを手にした途端に捉え泳がせて動きを追う、証拠固めにも余念のない、バーチャル探偵「Deceptions Everywhere」をネットワーク上に投入することで、侵入中の攻撃を誤検知・過検知なく即座に検出し、被害を最小限に抑えることができます。

「Deceptions Everywhere」は、エージェントレスであることからパソコンのリソース使用量や既存アプリケーションとの競合を意識する必要はなく、また偽情報はパソコンの正規ユーザからは見えないため業務に支障をきたすことも一切ありません。 サイバー攻撃に備えて、すでにさまざまな対策を講じてはいるものの、攻撃者の侵入に危機感を持っている、侵入されていることを可能な限り素早く検知したいというご要望にお応えできるツールです。日本国内では、国内大手金融機関への導入実績があります。

速い、ノーミス、ログ解析のプロ ネットワーク上のアナリスト「SecBI」

サイバー攻撃を受けるとプロキシサーバーには悪意ある通信とそのユーザ、端末などの痕跡が残ります。しかし、膨大にあるログの中から怪しい動きを検知できるのは、高度なログ解析のスキルを有するアナリストに限られる上、解析には時間がかかります。

専門のアナリストに定期的に解析を依頼できる重要インフラ企業などと異なり、一般企業がアナリストを抱えることは、コストとのバランスを考えるとなかなか実現しにくい上に、解析によって脅威を見つけられたとしても、数ヶ月前の攻撃の話になるため対応遅れにつながることも少なくありません。そこで、企業や人が識別できない長期にわたる機微な通信の形跡を、膨大なログの中からアナリストに代わって解析できるツールをラインナップしたいと考えていました。

「SecBI」は、ネットワーク上に連れてこられたバーチャルアナリストのような存在。迅速かつ的確にログを解析し続けることができるツールです。 プロキシサーバーにはあらゆる情報が残りますが、高度な技術を持つ攻撃者は、簡単に気づかれるような分かりやすい動きを見せることはありません。通常業務の中で流れていくログと同じタイミングで、人に見つからないよう静かに攻撃を遂行します。

「SecBI」は、ピンポイントではなかなか気づけない攻撃であっても、一定期間ログを解析し続けることで、脅威を検知する確率を上げることができます。常時アナリストを抱えておく余裕はないがそれに代わる対策をしたい、ログ解析にかかる時間を削減して、いち早く攻撃に気付きたいといったご要望に、お応えすることができます。



 

【CSIRT関連インタビュー】"未知の攻撃にも対応できる「即戦力となるCSIRT人材」を育成する。" を読む

【CSIRT関連インタビュー】"スタートは「名ばかりCSIRT」でいい。重要なのは、どう進化させるか。" を読む

人気の記事

未来のあたりまえをつくる。®