サイバー攻撃に先手を打つ「Connected Threat Defense」戦略

「次の一手」につながるソリューションがリスク低減のカギ

企業・組織を取り巻くサイバー攻撃の脅威は激しさを増しています。標的型サイバー攻撃で日本の企業・組織が実害を被るケースも急増しており、2015年6月の1カ月間に公表された被害件数だけでも、2014年通年の3倍に達しています※1。このような脅威に対し先手を打ち、サイバーリスクを最小化するための戦略とはどのようなものなのでしょうか。

本稿は、2015年11月20日に都内で開催された情報セキュリティカンファレンス「Trend Micro DIRECTION」における講演内容を基に作成したものです。

的確な「次の一手」を可能にする4要素

不正サイトのドメインは1時間ごとに変化し※2、毎日50万の新たな脅威が生まれ※3、2015年1年間で11個のゼロデイを含む40個の新たな脆弱性が発見されています※4。そして、マルウェア全体のうち90%は、1つのデバイスからしか見つからない「カスタム化」されたものです※5。トレンドマイクロ代表取締役社長 兼 CEOのエバ・チェンは、企業・組織が直面する事態の深刻さをこう語ります。

こうしたサイバー攻撃を入口で100%防御することは難しいため、侵入を前提とした「攻撃にいち早く気づく」体制を整えておくという考え方も浸透し始めています。その際、攻撃による被害を低減するカギとなるのは、脅威を発見した後で、すぐに「次の一手」を打てるかどうかです。

エバ・チェン
トレンドマイクロ株式会社
代表取締役社長 兼 CEO

トレンドマイクロ 取締役副社長の大三川 彰彦によれば、攻撃発見後の「次の一手」へと効果的につなげるための重要な要素が、「標的型メール攻撃対策」、「迅速な検知と分析」、「自動的な対処」、そして「体制と情報の蓄積」の4つであるといいます。

① 標的型メールへの対策

大三川 彰彦
トレンドマイクロ株式会社
取締役副社長

サイバー攻撃のおよそ8割がフィッシングメールを端緒にしているとされるだけに強化は怠れません。侵入を前提とした対策が求められているとはいえ、侵入されるリスクを最小にしておくことも重要です。

具体策としては、日本のビジネス習慣に合わせたメール解析や、企業・組織固有のIT環境に合わせたカスタム化が可能なサンドボックスの活用などが挙げられます。また、マイクロソフト「Office 365」などのクラウドサービスを業務で利用しているならば、ポータル/クラウドストレージにアップロードされるファイルに対しても、高度な脅威解析の仕組みを適用する必要があります。

「② 迅速な検知と分析」と「③ 自動的な対処」

昨今のサイバー攻撃は、標的組織に気づかれないよう高度な隠ぺい工作が施されています。この「気づけない脅威」の兆候を迅速に検知・分析し、対処するという一連のプロセスを自動化することが、的確な「次の一手」を打つためのカギです。このプロセスが一気通貫で行えない場合、検知・分析から対処までの間に時間がかかり、結果的にインシデントへの対処が遅れて被害が拡大する恐れがあります。もちろん、より高度な攻撃に対しては、セキュリティエキスパートによる分析と判断が必要となるケースがあります。

「④ 体制と情報の蓄積」

技術面での対策に加えて、セキュリティインシデントに対する組織としての対応力を高める必要もあります。具体策としては、「CSIRT(Computer Security Incident Response Team)」の組織化が挙げられますが、CSIRTを設置する、しないにかかわらず、サイバー攻撃の被害リスクを最小化するためには、「インシデントの発生を未然に防ぐ」という考え方に基づく従来型の対策に加え、侵入を前提とし、インシデント発生後の対応が後手に回らない体制を築くことが重要です。

「Connected Threat Defense」戦略が実現する
「次の一手」へつながるサイバー攻撃対策

トレンドマイクロではすでに、前述の4つの要素を実現し、攻撃の兆候を発見した後の「次の一手」へつなげる製品・サービスを包括的に提供しています。「巧妙化する脅威に対し、常に一歩先をゆくためのイノベーションを起こし続けています」と、エバは言います。

このイノベーションを根底から支えるのが、トレンドマイクロのサイバー攻撃へのアプローチ方法です。ネットワーク内で発生するイベントを単体ではなくつながり(文脈)で分析することで、誤検知による「アラート・ノイズ」を抑えながら、偽装・隠蔽された攻撃をより正確に検知するという考え方を基礎に持っています。このアプローチに基づくソリューションによって、より適切なタイミングで、的確なアクションを取ることが可能です。

そして、このアプローチ方法をベースに、「次の一手」を実現するためのスレットディフェンス戦略が「Connected Threat Defense」です。「Connected Threat Defense」は、サイバー攻撃への「防御」「検知」「対処」のスレットディフェンスライフサイクルのプロセスの自動化と、「エンドポイント」「サーバ」「ネットワーク」を跨いだシステム全体の一元的な可視化・統制を実現します(図)。

図 トレンドマイクロのスレットディフェンス戦略

サイバーリスク最小化のカギは、異常を見つけた後いかに早く対処できるかです。異常を検知した後のプロセスが自動化されていないと、対処の判断に時間がかかり、攻撃被害が拡大してしまう可能性があるからです。

一方、「防御」「検知」「対処」のライフサイクルを自動的に回すことができれば、たとえ攻撃を受けても、その兆候を早期発見するだけでなく、すぐに「次の一手」を打ち事態の早期解決につなげられます。「Connected Threat Defense」戦略なら、アドホックで導入する単一製品のみではできない、製品同士の連携とスレットディフェンスライフサイクルの自動化が可能になり、サイバーリスクを低減できるのです。

トレンドマイクロは、「Connected Threat Defense」戦略に基づくソリューションを一層拡充すべく、2015年10月21日、ヒューレット・パッカード社の「TippingPoint部門」の買収契約を締結したことを発表しました(「TippingPointの買収により、更なるソリューション拡充へ」参照)。今後も、お客さまのスレットディフェンスライフサイクルを効率化し、リスクを最小化するこの戦略を強化していきます。

TippingPointの買収により、更なるソリューション拡充へ

トレンドマイクロは2015年10月21日、ヒューレット・パッカード社と「TippingPoint部門」の買収契約を締結したと発表しました。同部門は、侵入防御システム(IPS)や境界防御システムを専門とする事業体です。TippingPointが製品ラインに加わることで、エンドポイントからデータセンター、クラウドにまたがる革新的なネットワーク防御のソリューションが完成します。

また、この買収により、脆弱性保護サービスやゼロデイ攻撃防護を専門に手掛けてきたセキュリティチームもトレンドマイクロの一員になります。

「TippingPointの取得で製品ラインの拡充以上に大切なことは、ネットワーク・セキュリティに精通した数多くの優秀な技術者が、私たちの“同志”として加わることです」と、エバは語り、こう続けています。

「サイバーディフェンスの要は人です。実際、サイバー犯罪と日夜格闘している技術者は誰もが純粋かつ豊かな才能を持っています。他分野でも十分活躍できるその高い能力を、サイバー攻撃からお客さま、そして社会を守るという一点に注ぎ込んでいます。だからこそ、私たちが犯罪に打ち勝つ力が生まれるのです」

※1 公表データに基づく、トレンドマイクロの独自集計
※2 2015年6月~7月トレンドマイクロ調べ
※3 2014年トレンドマイクロ調べ
※4 2015年トレンドマイクロ調べ
※5 2015年トレンドマイクロ調べ

記事公開日 : 2016.01.14
 この記事は、公開日時点での情報です