セキュリティ オペレーションにおいて、ノイズの中から脅威の兆候を見分けて真の脅威を特定することと、誤検知を無視することを両立するのは難しいとされています。膨大なデータの中から、ノイズを正確に見極めるスキルを磨くことは、大変重要なスキルです。
私はマカフィーの最高情報セキュリティ責任者(CISO)として、正しい物事に着目できなければ、さまざまな次元でリスクが発生し得ると認識しています。私たちのセキュリティ オペレーション センター(SOC)で、もしあるアナリストが短期間に複数の国から何度もログインを試行した同じユーザーの存在を見落とすようなことがあれば、私たちは価値ある企業データばかりか、業界における信用をも失いかねません。
セキュリティ フュージョン センターを新設
こうしたことからマカフィーは、高度なサイバーセキュリティの脅威に対し、迅速な分析を可能にする、セキュリティ運用機能を強化したSIEM(Security Information and Event Management)の最新版「Enterprise Security Manager(McAfee ESM 11)」、および「McAfee Behavioral Analytics」を発表しました。また、物理的なセキュリティとサイバーセキュリティを融合させた最先端の「セキュリティ フュージョン センター」を、アメリカのテキサス州プレイノとアイルランドのコークに新設し、本格稼働を開始しています。
マカフィーの「セキュリティ フュージョン センター」には、3つの重要な使命があります。1つ目は、マカフィー自身を守ること。2つ目は、新たなサイバーセキュリティ製品へのニーズを特定すること。そして3つ目は、ユーザーとパートナーにとってのベストプラクティスになることです。お客様が優れた参照アーキテクチャを構築し、経営陣と的確に情報を共有して、革新的な方法でサイバーセキュリティにおける課題を解決できるよう、支援します。
「マカフィー自身を守る」という1つ目の使命を果たすのに、極めて重要になるのは基盤です。マカフィーは、アメリカ国立標準技術研究所(NIST)のサイバーセキュリティ フレームワークや情報リスクの因子分析(Factor Analysis of Information Risk: FAIR)モデルを利用して、リスク状況を数値化し、継続的に特定・防御・検知・対応・復旧というフレームワークの中心機能を管理します。自社の環境を把握することは非常に重要なことです。物理的セキュリティ部門とサイバーセキュリティ部門を「セキュリティ フュージョン センター」という1つのオペレーション センターに統合したのも、それが理由です。自社の業務環境のすべての側面について、データを収集しなければなりません。これを実現できなければ、闇雲に走るようなものです。
脅威を明確に見極めるための6つの要素
私たちは、脅威を明確に特定するため、以下の重要な要素を把握しておくことを重視しています。
1.ネットワーク上には何が存在し、どのようなアクセス手段があるか
自社の資産は特定できなければなりません。ネットワークに接続されている機器を可視化することは、とても重要なことです。マカフィーは、Rapid7 Nexpose、McAfee Rogue System Detection、ネットワーク アクセス制御(NAC)などのツールを用いて、継続的にネットワークを監視し、接続されている機器を確認します。
2.基幹システムへのアクセスや、保存されたデータをどのように管理しているか
マカフィーでは、情報資産へのアクセス権付与は当たり前ではありません。暗黙の了解で付与されるアクセス権は存在せず、明確な意図をもって付与される権限のみが存在します。今はBring-your-own-device(BYOD:個人のデバイスを職場に持ち込む)の時代ですから、マカフィーのネットワークへのアクセスには、二要素認証を設定しています。機密情報にアクセスする必要がある従業員には、「need to know」というアクセス権を適用します。またすべての従業員は、職務分掌、最小権限、情報管理など、他のアクセス制御体制に準拠する必要があります。
3.どのような脆弱性が潜んでいるか
デバイスからクラウドに至るネット環境全体で、リスクを評価しなければなりません。つまり必要なのは、監査や脆弱性管理だけではありません。優先度に従ってパッチ管理や対策を講じるなどのインシデント対応が可能な拡張性のあるシステムを設計しなければなりませんでした。特に、McAfee ePOによって、オンプレミスかオフプレミスかに関わらず、すべてのデバイスを可視化しています。
4.どのようにデータが保護されているか
これは、最も大切なデータがどこに保管されているか、またデータ漏えいが発生した場合のリスクが何であるかを、正確に把握するための要素になります。戦略的に細かく優先順位を定義してポリシーを設定することは極めて重要であり、データ漏えい防止のためには、データ、アプリケーション、そしてそれらのユーザーを徹底的に検証することが必要になります。
5.どのような基礎対策を講じているか
次世代型のツールセットを活用することも大切ですが、多くのインシデントの原因は、企業が見落としがちな基礎的な部分にあります。たとえば私たちは、セキュリティ アーキテクチャ、アクセスや認証制御、デバイスの設定と基準値、オペレーティング システムやサードパーティ製品のパッチレベル、セキュリティ認識のトレーニング、机上演習などの基礎対策も、常に重要視しています。完全な製品ポートフォリオを備えているマカフィーであっても、セキュリティ オペレーション全体で、基礎対策を入念に講じています。
6.どのような兆候に注目するか
この問いに答えるには、コンテキストや洞察が不可欠です。それには、すべてのデータを収集・分析・共有することができる場所が必要になります。先日発表したSIEMの最新版McAfee Enterprise Security Manager 11.0を我々は使用し、そのオープンなデータ バス アーキテクチャによって、SIEMが大量のデータを取り込み、何十億件ものイベントに合わせて拡張し、ほぼ瞬時にその未処理データを分析して、ノイズの中から洞察を導き出します。また、このアーキテクチャによって、SIEMは対象となるべきアプライアンス、アプリケーション、データ ストアに対し、適切にデータを共有することが可能です。これは、進化したセキュリティ オペレーション インフラストラクチャであり、McAee Behavioral Analytics(MBA)やMcAfee Investigatorを利用することで、SIEMプラットフォームにユーザーやエンティティの振る舞い分析(User Entity Behavior Analytics: UEBA)と脅威調査の機能を統合しています。マカフィーの「セキュリティ フュージョン センター」は、すべての要素を併せ持つ初めての施設なのです。
「新たなサイバーセキュリティ製品へのニーズを特定する」そして「ユーザーとパートナーにとってのベストプラクティスになる」という2つ目と3つ目の使命については、マカフィーが自身を「カスタマーゼロ(ゼロ号顧客)」と称し、日々活動している姿勢に現れていると自負しています。マカフィー自身が、実際にお客様の目に触れるよりも前に、マカフィーの新製品を利用し、製品管理やエンジニアリング チームとも協力して、バグの修正や機能に対する要望に対応することで、お客様にスピーディーかつスムーズに製品を導入していただけるよう、尽力しています。
こうした取り組みが、より優れた革新的な企業として、サイバーセキュリティ関連の課題を解決するマカフィーを成しています。つまり、マカフィー製品を実際の環境で試すことができ、かつリサーチ チーム間のより緊密な連携が図れる環境なのです。私たちは「Together is Power」を掲げ、連携による課題解決を目指しています。新生マカフィーとして1年目に得た教訓に、「世界的なレベルの組織を結成するには、多様性が何よりも重要な要素である」ということが挙げられます。さまざまな考え方が存在することで、一般的な考え方に疑問を呈し、より良い結果につなげることが可能になるのです。
マカフィーのテクノロジーの機能や利点はシステム構成によって異なります。対応するハードウェア、ソフトウェアまたはサービスの登録が必要となる場合があります。詳しくは、mcafee.comをご覧ください。
※本ページの内容は、2018年3月26日更新のMcAfee Blogの内容です。