未知の脅威検知と継続的対応、顧客SOCの“自立”も支援「F-Secure Countercept」
エフセキュア、標的型攻撃/APT対応特化のマネージドサービス
2019年07月04日 07時00分更新
エフセキュアは2019年6月19日、スレットハンティング(脅威ハンティング)とコンティニュアスレスポンス(継続的対応)の能力を組み合わせた、標的型攻撃対策のためのMDR(Managed Detection & Response)サービス「F-Secure Countercept」の国内提供を開始した。標的とする組織に対し高度かつ執拗な攻撃を行うAPT(Advanced Persistent Threat)の動きを検知し、迅速かつ効果的な対応につなげる。
近年では国家が支援し、敵対国の政府や大手企業への標的型攻撃を実行するAPTグループが多数観測されているが、今回のMDRはそうしたAPTグループがターゲットにする知的財産(IP)や機密情報を持つような、大規模な企業/組織向けのマネージドサービスとなる。さらに自社SOCにおける独力でのインシデント対応を行いたい組織に対しては、ノウハウ提供やスキルアップ支援といったコンサルティングも実施していく。
「F-Secure Countercept」のカスタマーポータル画面(検出された脅威のダッシュボード)
エフセキュア リージョナルディレクター アジアパシフィック キース・マーティン氏
エフセキュアでアジア太平洋地域のリージョナルディレクターを務めるキース・マーティン氏は、APT攻撃は非常に巧妙であり検知するのが難しいと説明する。ある欧州企業では、不審な動きに気付いてエフセキュアにセキュリティ侵害の調査を依頼。調査を実施したところ、“APT23”と呼ばれるベトナムのAPTグループ「Ocean Lotus」が内部に侵入し、ランサムウェア感染を目的として密かに活動していることを発見した。だがそれと同時に、すでに2年前から潜伏していた別のAPTグループも発見したという。
「日本の法律では個人情報漏洩の事案は監督省庁に報告、公表する義務があるが、その他の企業機密や知的財産などの漏洩についてはその義務がない。そのため報道されるケースは少ないが、実際の被害数はかなり多い可能性が高い」(マーティン氏)
今回国内提供を開始したF-Secure Counterceptは、公開情報や同社レッドチーム演習で得られた知見に加えて、顧客企業のシステムに対する24時間365日の監視で得られた豊富なデータを自動解析し、既知の脅威以外の異常を抽出。その後、スレットハンティングチームが「攻撃者ならばどう行動するか」を考えたうえで、攻撃の全体像(攻撃チェーン)についての“仮説”を立て、顧客システム内に潜在する脅威の有無を調査。短時間で攻撃の検出と対応、封じ込めを実施する。
「一般的なインシデント対応サービスでは、たとえば『A』という攻撃を検知したら、そのAを封じ込めて対応完了とする。しかしCounterceptの場合は、スレットハンティングチームが攻撃者のように考え、『Aの攻撃が行われたならば、A'、A''、A'''……という別の攻撃も行われているのでは』と想定し、対応していく」(エフセキュア)
F-Secure Counterceptによる対策の流れ
またCounterceptでは、自社SOCにおいて同様のインシデント対応を独力で実行したいと考える顧客企業向けに、エフセキュアのスレットハンティングチームが知見を共有し、スキルアップを支援するかたちのコンサルティングサービスも用意している。企業の現状に応じたロードマップを策定し、「100%マネージドサービス」から「エフセキュアの支援を受けながらの検知と対応」、そして「自社100%での検知と対応」へと、最終的な自立までの道のりを柔軟にサポートする。なお国内でのコンサルティング支援については、現在日本語化などを進めており、体制を整備中だ。
F-Secureコンサルティングサービスで顧客が独力でインシデント対応プラットフォームを運用できるまで支援
同サービスは、エフセキュアが昨年買収した英国MWR InfoSecurityと、エフセキュアが従来から提供してきた「F-Secure Rapid Detection & Response(RDS)」、両社のコンサルティングサービスを統合したもの。SOCは現在、MWRのシンガポールおよびイギリスがメインで動いているが、今年10月頃にはエフセキュアのポーランドのSOCも追加、さらなる連携を深める予定という。
「(F-Secure Counterceptは)一般的には3年契約する企業が多い。効果を把握するには、最低でも1年利用するのがおすすめだ」(マーティン氏)
