検知と対応に特化したマネージドセキュリティサービス、クラウドも含め「広く、深く可視化」
“多層防御の罠”からの脱却を、SecureWorksが「MDR」を発表
2018年07月06日 07時00分更新
Dell TechnologiesグループのSecureWorks Japanは2018年7月5日、「マネージド・ディテクション&レスポンス(MDR)ソリューションパッケージ」を発表した。「今、どんな攻撃活動が起きているのか」を可視化したうえで、適切なアクションにつなげる手助けを行うサービスだという。
SecureWorksではこれまで、24時間365日体制でセキュリティ機器を監視する「マネージド・セキュリティ・サービス」(MSS)や、インシデント発生時の調査・対応を支援する「インシデント対応サービス」といったセキュリティサービス群を提供してきた。今回のMDRソリューションパッケージは、それらのラインナップの中から「検知」と「対応」に特化した機能を抜き出してパッケージ化したサービスである。
近年、防御一辺倒のセキュリティ対策から、侵害は起こりうることを前提にした検知やレスポンスも含めた対策へと戦略を切り替える動きが広がってきた。それにともなって、さまざまなログを収集/分析して脅威の兆候を見つけ出す「SIEM」、エンドポイントのログを監視し、必要に応じてネットワークからの隔離といったアクションを取る「EDR」といった、新たなセキュリティ製品を導入するケースも増えている。
だが、残念ながらそれでセキュリティに関する視界が開けたかと言うと「実情は逆」だと、SecureWorks Japanの古川勝也氏は説明する。「『多層防御の罠』とも言えるが、見るべき対象が増え、導入するソリューションの増加に伴ってノイズも増えた結果、見えないところも出てきている」(古川氏)。
MDRソリューションパッケージは、こうした課題の解決を狙ったものだ。ネットワーク境界のIDS/IPSや次世代ファイアウォール、Web Applicaition Firewall(WAF)だけでなく、エンドポイントやオンプレミスのサーバ、さらにはAmazon Web Services(AWS)やMicrosoft Azure(近日対応予定)のようなクラウドに至るまで、幅広いポイントを監視し、状況を可視化する。同社が独自に開発したIPS「iSensor」や、フォレンジック機能も備えたエンドポイント監視ツール「Red Cloak」を組み合わせることも可能だ。
さらに、同社がこれまでの監視サービスを通じて蓄積してきたグローバルな脅威インテリジェンスや、リサーチチーム「Counter Threat Unit」(CTU)の知見と付き合わせることにより“ノイズ”を排除し、大量のログの中に埋もれた重大なイベントを見逃さないよう支援する。インシデントと判断した際には、リモートから電話などでインシデント対応を支援し、どのように対処すべきかという修正対応案をあわせて提示する。
MDRソリューションパッケージの参考価格は、1000ユーザーまでの場合で年額2000万円から。このパッケージには、エンドポイントデバイスの監視の他、セキュリティデバイス30台まで、オンプレミスのサーバ300台まで、さらにクラウド上の仮想サーバ200台までの監視などが含まれるかたちとなっており、通常のマネージドセキュリティサービスに比べて導入しやすい「戦略的な価格設定」にしているという。
インシデント対応の鍵を握るのは「可視化」である
SecureWorks JapanがMDRソリューションパッケージを発表した背景には、「可視化」こそがセキュリティ対策の鍵だという考え方があるという。
SecureWorks Japanのジェフ・モルツ氏は、「先日開催した顧客向けカンファレンスでも述べたことだが、可視化は重要な要素だ。可視化することによってはじめて、攻撃にどう対応するかを戦略的に考え、より迅速かつ適切な意思決定が可能になる」と述べた。
その意味でMDRソリューションパッケージは、可視化の対象範囲をクラウドなどに拡大し、かつファイルレス攻撃や正規のツールを用いた巧妙な攻撃も検知できるよう深掘りすることで「広く、深く可視化する」ためのサービスだという。そのうえで、「可視化して見えてきたものを具体的かつ適切なアクションにつなげ、『見える化』していく」と古川氏は説明した。
発表会に合わせて来日した米SecureWorksのジェフリー・カーペンター氏は、同社が支援したインシデント対応の経験を基にまとめた「インサイト レポート 2018」の分析結果を紹介し、「基本的な対策の徹底」と「可視化」、「ログ収集やインシデントレスポンス計画の策定、訓練といった準備」という3つの事柄が重要だと説明した。
基本的な対策とは「4つの“P”だ」とカーペンター氏は語る。すなわち、パッチの適用(Patch)、ネットワークの分割(Partition)、特権ユーザー権限管理と監視(Privileges)、そしてクラウドの登場にともなって曖昧になりつつある境界の防御(Perimeter)だ。日々発見される新たな脆弱性をつぶすためにパッチ適用の戦略を立て、仮に侵害が発生しても範囲を広げられないようセグメント化し、攻撃者が特に狙ってくる管理者権限の付与を最小限に留めつつ利用状況を監視する、といった基本的な事柄を忠実に実行することが重要だという。
カーペンター氏はさらに、「可視化ができていなければ、緊急のインシデントには対応できない。飛行機事故の原因究明において、何が起きたかを逐一記録するフライトレコーダーが重要な役割を果たしているのと同じように、ログを記録することが大事だ」と述べた。それも、ただ漫然とログを取るのではなく、適切な内容のログを、必要に応じて過去にさかのぼって調べられるよう、十分な期間に渡って収集し、いざというときすぐに可視化できるよう準備を整えておくことが重要だと説明した。