ヘルスケア企業

私たちは、単一の管理画面で運用できるセキュリティ基盤を求めていました。まず、サーバにはEDRクライアントであるTrendAI™ Deep Security™ を、デスクトップやノートパソコンなどのエンドポイントにはTrendAI™ Apex Oneを導入しました。次に、これらをXDRとして提供される単一の管理画面に接続しました。これにより、脅威の特定から修復までを、より正確かつ迅速に行えるようになりました。エンドポイントとサーバ間の通信に加え、それらが接続する他の機器との通信状況も可視化できるようになりました。さらに、APIを介して各種システムと連携することで、高い拡張性を確保できました。これは当初の要件そのものであり、その点において非常にうまく機能しています。

SplunkなどのSIEM（Security Information and Event Management）ソリューションでは、高度な分析スキルが求められます。意味のあるクエリを作成し、入力されるすべてのデータを相関分析する必要があります。最終的には、すべてのデータを相関付けることが不可欠です。TrendAI Vision One™ は、そのような高度な可視性を、よりシンプルに提供します。

Azureやクラウド環境からのテレメトリを確認できるよう、クラウド環境と接続しました。次に、NDR（Network Detection and Response）を導入し、ネットワーク層でのわずかな挙動も検知できるようになりました。続いて、属性情報を活用するためにActive Directoryと連携しました。現在は、大量のテレメトリデータが流入しています。小規模なチームにとって、これらの情報をどのように整理し、優先順位を付けるかは大きな課題です。このシステムは、アラートや調査対象の優先順位付けに役立ちます。ログをプロアクティブにスキャンし、ワークフローアラートをトリガーする高度な機能を備えています。「高」「中」「低」「情報」といった重要度に基づき、アラートの優先順位を自動的に付与します。小規模なチームであっても、アナリストは効率的に調査を行い、何が起きているのか、どの段階で何を優先すべきかを把握できます。

ロシアの脅威アクターによる攻撃に直面した際にも、TrendAI Vision One™ は大きな効果を発揮しました。攻撃は初期段階で検知され、脅威を速やかに封じ込めることができました。攻撃者は環境に侵入し、リバースシェル（攻撃者が遠隔からシステムを操作するための接続）を取得していました。アラートを確認すると、TrendAI Vision One™ Protectionにより、攻撃者が実行したコマンド、クエリ、取得された情報、接続先などが詳細に可視化されていました。攻撃を実行したのは初期アクセスブローカー（Initial Access Broker：不正アクセス経路を他の攻撃者に販売する組織）でした。もしこの脅威が金曜日の午後遅くに検知されていなければ、月曜日には深刻な事態に発展していた可能性があります。数時間以内に情報がダークウェブへ流出し、ランサムウェアグループに売却されていた恐れもありました。この事例を通じて、平均対応時間が大幅に短縮されたことを実感しています。多くの組織において、このような攻撃を最初の4時間以内に検知することは非常にまれです。当社の平均対応時間も、70～80％短縮することができました。

リアルタイム監視機能は、当社のセキュリティ体制全体において非常に有効です。すべての情報を中央のSOC（Security Operations Center）のメールシステムと連携しているため、アラートが発生すると、重要度に応じた迅速な対応が可能になります。医療業界では、サイバーセキュリティへの意識が十分とは言えないベンダーと協業するケースも少なくありません。あるベンダーがUSBメモリを接続した際、侵害の初期兆候を検知しました。そのデバイスは、当社の技術システムの1つに接続されていました。システムは脅威を検知してブロックしただけでなく、該当するマシンを特定するアラートも発報しました。この段階で数分以内に検知・対処できなければ、最終的には大きな被害につながっていた可能性があります。

特に優れている点は、Apex OneやDeep Securityの専用コンソールに個別にログインする必要がないことです。すべての可視性とテレメトリデータが、リアルタイムでTrendAI Vision One™ のコンソールに集約されます。コンソールでは即座にアラートが発報され、重大なアラートは視覚的に強調表示されます。脅威をブロックするだけでなく、推奨される対策も提示されます。例えば、マシンをネットワークから隔離する、USBメモリをスキャンする、ユーザー教育を実施する、適切な担当者へエスカレーションするといった具体的な対応が示されます。こうした情報を一元管理できることは非常に重要です。ユーザーの行動変容を促し、同じインシデントを繰り返さないための改善にもつながります。

現在、エンドポイントおよびサーバの保護に加え、NDR機能を活用しています。ファイアウォールを経由するすべての内部トラフィックを監視しています。また、Citrix NetScalerを使用しているため、ネットワーク側も監視対象としています。さらに、外部に公開されているクラウド資産に対して、クラウドセキュリティポスチャ評価とコンプライアンスチェックを行うTrend Micro Cloud One™ – Conformity（現在販売終了）も導入しています。コンプライアンス違反が検出されると通知されます。例えば今回のプロジェクトでは、Azureストレージアカウントなどが意図せずインターネットに公開されてしまう設定ミスが見つかりました。これらの情報もすべてTrendAI Vision One™ に集約され、一元管理が可能になっています。

この仕組みは、SOCだけでなく複数のチームにとって有用です。クラウド、エンドポイント、サーバを担当する各チームが同じダッシュボードにアクセスし、アラートを確認できます。全員が同じ情報を基に判断できるため、業務効率が大きく向上します。そのため、エンドポイント、サーバ、ネットワークの保護に加え、Azureクラウドの監視にも活用しています。さらに、Cloud App Securityも導入しています。Exchange Online、Teams、OneDrive、SharePointサイトなどのSaaS（Software as a Service）チャネルにおいて、高度な脅威防御とDLP（Data Loss Prevention）監視を行うポリシーを設定しています。これらは、データが共有されたり、環境の内外でやり取りされたりする可能性のある重要なチャネルです。DLP監視ポリシーや、悪意のあるファイル、APT（Advanced Persistent Threat）攻撃の兆候を検知するポリシーを適用し、これらのアラートも受信しています。

ダッシュボードは大きく2種類あります。エグゼクティブダッシュボードでは、システム全体の概要と、現在発生している事象をいつでも確認できます。未解決の脆弱性の数や、経営陣へ報告すべき事項、それらの対応進捗などを可視化します。もう1つは、リアルタイムアラートや保留中のアラートを表示するオペレーショナルダッシュボードです。これは、データレイク内に一致するアカウントが存在することを示します。例えば、多くのユーザーが仕事用アカウントと個人用アカウントで同じパスワードを使い回しているケースがあります。その結果、自宅と職場の両方でアカウントが侵害されるリスクが高まります。このように、エグゼクティブダッシュボードは、レポート作成や環境内で発生している事象の全体把握、さらに報告や優先順位付けが必要な事項の確認に使用します。一方、オペレーショナルダッシュボードは、日々のセキュリティ運用業務で活用しています。

エグゼクティブダッシュボードからXDR検出の詳細までドリルダウンして確認できる点は、非常に重要です。私たちは医療機関であり、理事会はランサムウェアに限らず、あらゆる脅威に強い関心を持っています。安全対策はいくら徹底しても十分ということはありません。理事会は、評判への影響や復旧にかかる運用コストも懸念しており、可視性の確保に非常に前向きです。エグゼクティブダッシュボードは、そうした情報を適切にフィルタリングし、十分な情報を提供してくれます。例えば、デスクトップサポートチームのリソースには限りがあります。サイバーセキュリティの観点では、ゼロデイ脅威へのパッチ適用を優先したいものの、他の業務が重なり対応できない場合もあります。問題は協力姿勢ではなく、単純にリソース不足であることです。エグゼクティブダッシュボードとレポートがあれば、理事会に状況を正しく伝えることができます。そして、課題解決に必要なリソースの増強を要請することが可能になります。これは、重大なサイバーセキュリティ脆弱性の影響を把握し、適切に優先順位を付ける上で役立ちます。結果として、経営陣の賛同を得ながら、問題が深刻化する前にプロアクティブな対応が可能になります。

リスクインデックス機能を利用することで、同じ地域にある他の組織と比較し、自社のリスクレベルをベンチマークできます。他社と比べて優れている点、あるいは改善が必要な点を客観的に把握するためです。もし劣っている分野があれば、その根本原因を理解し、具体的な改善策を講じるための指針になります。

すべてのイベントを個別に確認しようとすると、現在のライセンスではXDRが最大6ヵ月分のデータを保持するため、数千から数百万件のアラートを扱う可能性があります。特に優れている点は、アラートの優先順位を自動的に付けるWorkbenchが提供されていることです。このWorkbenchは、脅威インテリジェンスを抽出し、早急に対応すべき重要なアラートを提示します。これにより、煩雑なトリアージ作業を大幅に軽減できます。攻撃者が必ずしも最重要アラートだけを狙うとは限らない点は事実ですが、このツールはノイズの排除に非常に有効です。当社のチームは小規模ですが、数名のメンバーにトレーニングを実施し、手順と操作方法を共有することで、スムーズに運用を開始できました。実際に作業を始めると、ワークフローは直感的で、すぐに使いこなせるようになります。コンソールからは、新しいIoC（侵害の指標）の追加、新しい脅威ハンティングクエリの作成、CTI（Cyber Threat Intelligence）フィードの追加、脆弱性の確認などを行えます。そこから得られるインサイトは非常に豊富です。日々、その日に対処すべき重要事項に優先順位を付けるだけで済むようになりました。

当社では、Managed XDRをセカンドサービスとして利用しています。最大の利点は、専門のセキュリティアナリストが常時監視してくれている点です。私自身も常にメールを確認していますが、当社側で即時対応できていない重大なアラートが発生した場合には、専門アナリストが迅速にトリアージを行います。その判断と評価は非常に的確です。例えば、「無害、もしくは悪性の可能性がありますが、アラートが発生しており、お客さまの担当者が不在でした。さらにセキュリティを強化したい場合は、以下の対策をご検討ください」といった、具体的で実践的なアドバイスを提供してくれます。対応は非常に迅速です。2年前に発生した大規模な攻撃の際も、最初の4時間以内に状況を把握できました。XDRにログが届く頃には、すでにすべての事象が相関分析されていました。さらに30分以内に、Managed XDRのインシデント対応チームも当社と同じ結論に到達しました。私が連絡しようとしていた、まさにそのタイミングで彼らから連絡があり、状況を正確に共有できました。彼らは間違いなく、当社にとって非常に心強いバックアップ体制であり、信頼できるパートナーです。また、ワークフローから発生するアラートの中には、悪意があるように見えても実際には無害なものもあります。その場合、Managed XDRの担当者が再確認のために連絡してくることもあります。私たちが「これは既知のファイルであり、懸念はありません」と伝えるケースもあります。時には、私たち自身が何かを見落としたり、次に取るべき対応に迷ったりすることもあります。そのような場合でも、彼らは取るべき行動について明確な推奨事項を提示してくれます。これは非常に優れたサービスだと感じています。

当社では、Attack Surface Discoveryを使用し、所有するデバイスやインターネットに接続された資産、アカウント、アプリケーションを監視しています。APIについては現在検討中ですが、数回クリックするだけでアタックサーフェス（攻撃対象領域）の全体像を把握できます。パッチが適用されているデバイス数や、外部に公開されている資産、インターネット接続資産の状況を確認できます。当社では、複数のプロジェクトやワークフローのために、メインの病院サイトにリンクされたサブドメインを多数運用しています。それらの稼働状況、開放されているポート、既知の脆弱性も可視化できます。一部のサブドメインは外部のホスティングベンダーが管理していますが、それらも含めて監視できます。アカウントについても同様です。ダークウェブ上でのアカウント情報の露出や、過剰な権限を持つアカウントを発見した場合には、迅速に対処できます。

アプリケーションに関して、私が最も評価している機能は「クラウドアプリリスト」です。これは、すべてのSaaSアプリケーションを一覧化し、ベンチマーク評価を行う機能です。他のアプリケーションと比較したプロファイルを作成し、レポートとして提供してくれます。これにより、ユーザーが使用しているアプリが、当社で正式に承認されていない「シャドーIT」である可能性を検知できます。承認されていないアプリについては、TrendAI Vision One™ を通じてリスクプロファイリングが行われます。そのベンダーが、どのセキュリティコンプライアンス基準を満たしているかも確認できます。これにより、そのアプリケーションの利用を継続すべきかどうかを迅速に判断できます。

COVID-19の流行中にTrendAI Vision One™ をセットアップしていた際、情報アラートを受信しました。ある看護師が、夫から渡されたUSBメモリを業務端末に接続したのです。彼女は社外の環境、つまりリモートワーク中でしたが、トレンドマイクロのエンドポイントエージェントは稼働していました。エージェントはSaaSコンソールを介してインターネットに接続されており、テレメトリデータは継続的に送信されていました。本人は監視されていないと思っていたようですが、検知は正常に機能していました。USBメモリを接続すると、PowerShellのエクスプロイトフレームワークがダウンロードされました。TrendAI Vision One™ はこれを、知的財産の流出にこの手法を頻繁に用いる、中国を拠点とするAPTグループの活動として関連付けました。私は、このプラットフォームが提供する可視性の高さに非常に満足しています。アラートを受信すると、最後に実行されたコマンドまでドリルダウンして確認できます。攻撃グラフが生成され、プロセスの完全な実行プロファイルを視覚的に把握できます。これは、トラブルシューティングや、誤検知か真のインシデントかを判断する際に非常に有効です。さまざまなシステムをTrendAI Vision One™ に連携し、攻撃の全体像を詳細に特定できる点こそが、私が最も高く評価している理由です。単にテキストログを確認するのと、攻撃経路を可視化したグラフを見るのとでは、脅威ハンターにとって得られる理解が大きく異なります。

企業環境における多くのテクノロジーでは、誤検知（フォールスポジティブ）アラートの調査にかかる時間を削減できるかどうかが重要です。その鍵となるのが、システムのチューニングをいかに迅速に行えるかです。アラートの例外とすべきものと、検知すべきものを正確に学習させる必要があります。これは、サイバーセキュリティ運用において常にバランスが求められる作業です。例えば、ログイン機能は攻撃者だけでなく、正規の管理者も使用します。これを完全に例外として設定してしまうと、悪意のあるログインを検知できなくなります。結果として、脅威を把握できない状態に陥る恐れがあります。誤検知が発生する主な理由は、データ量そのものではなく、分類やコンテキスト化が不十分な場合があるためです。私たちは、この点を継続的に改善しています。アセットのラベル付けやタグ付けを行い、チューニングを重ねた結果、誤検知は大幅に減少しました。ただし、最適化の余地はまだ残っています。誤検知への対応は、バックエンドでの継続的な作業です。日々の脅威ハンティングでは、アラートがWorkbenchで自動的に分類・トリアージされるため、毎朝まずそれを確認します。環境内で何が起きているのか、どの事象に注力すべきかを即座に把握するためです。もし、Workbench上で重要度は高いものの、真の脅威ではないアラートが繰り返し発生する場合には、該当プロセスをホワイトリストに登録するなどの調整を行います。これにより、正規のトラフィックや既知のベンダーによる挙動であることをシステムに学習させることができます。このように、運用では常にバランスを見極めながら、環境の変化に応じて動的に対応していくことが重要です。