セキュリティインシデントの調査を体験して得た気づき

今回は「セキュリティインシデントの調査を体験して得た気づき」についてご紹介します。

関連ワード (オフトピック等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 セキュリティインシデントは、時にシステム障害や情報漏えいなどの深刻な事態をもたらし、当事者企業が事業の中断や停止に追い込まれることもある。被害を最小限に抑えるには、素早い調査と対応が鍵を握るが、複雑な環境の調査は困難なことが少なくない。インシデント調査を体験する機会を得たので、そこで得られた記者なりの気づきをレポートしてみたい。

 インシデントの調査は、どのような原因でどのように推移し、どのような影響が起きているかを把握することで、被害を食い止める適切な対応を実行するために必要だ。しかし、インシデントを検知したタイミングや状況によって調査範囲や方法などが変わり、攻撃者の痕跡といった手がかりの有無や程度なども大きく関係する。調査ができる人材や技術、手段の確保も課題になる。

 今回はRSA Securityから取材提案があり、同社のインシデント調査・対応プラットフォーム製品「NetWitness Platform XDR」を使ったインシデント調査のワークショップに参加した。記者は、普段の取材でこうした製品の概要に触れる機会が多いものの、インシデントの当事者として調査に携わった経験がない。インシデントが発生した組織への取材内容は調査の結果が中心になり、調査自体について相手からうかがう範囲でしか知り得なかった。そこで同社の取材提案を受けて、実際のインシデントを参考にしているといい、インシデント調査を体験した。

 ワークショップで用いるNetWitness Platform XDRは、セキュリティ情報・イベント管理(SIEM)やエンドポイントおよびネットワークにおける脅威の検知および対応(EDR、NDR、XDR)などの機能を備える。同社によれば、元々は1990年代にネットワークトラフィックを可視化する米国政府の研究プロジェクトを受託したCTXが開発した技術という。CTXはその後に、さまざまな買収やスピンオフを経て、現在ではRSA Securityの一部となっている。

 ワークショップの環境は、同社がAmazon Web Services(AWS)上にNetWitness Platform XDRの環境を構築し、そこにウェブブラウザーでリモートからアクセスする。コミュニケーションツールは「Zoom」と「Slack」を用いた。取材した実施回には、記者以外に金融機関など複数の企業から8人が参加。まず製品紹介や操作方法の説明があり、練習問題を解く。その後に同社が用意した課題をクリアして得点を稼いでいく。ゲーム感覚でインシデントの調査を体験していく内容だ。

 取材経験を振り返ると、インシデント調査が企業や組織で本格的に必要とされ始めたのは、「標的型攻撃」の言葉が知られ出した2010年頃だろう。当初は、IT機器の膨大なログをSIEMで分析して状況を把握することが中心だった。その後、(月並みな表現だが)セキュリティの脅威の高度化・巧妙化が進み、同社の説明ではEDRやNDR、XDRをセンサーのように使ってIT環境全体を常に監視し、脅威を検知すれば、即時対応しつつ調査も行う。

 NetWitness Platform XDRは、この「対応」と「調査」、ダッシュボートとレポートの機能を搭載しているとのこと。実際のインシデント時は、調査や初動対応などの役割に応じて機能を使い分ける。今回のワークショップでは、ユーザー画面のタブで「調査」とその階下の「ナビゲーション」「レガシーイベント」「イベント」などの機能を利用し、必要に応じて「対応」の機能も使用した。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
マイクロソフト、4月の月例パッチ–NSAが発見した「Exchange」の脆弱性など修正
IT関連
2021-04-14 03:04
スカイマティクスが定量・定性データの地図表現を自動生成できるクラウド型サービス「SEKAIZ」提供開始
ネットサービス
2021-05-11 23:10
電動ピックアップトラックの戦いが過熱する中、GMがミシガンの4工場に約7970億円投資
IT関連
2022-01-27 13:08
Box、売却検討との報道受け株価が上昇
IT関連
2021-03-23 02:00
【2月22日】掲載記事アクセスランキング・トップ5―1位はWindows 11でAndroidアプリを動かせる最小要件
IT関連
2022-02-23 15:36
ATMで電波遮断、AIが通話警告……コロナ禍でも止まぬ特殊詐欺被害、根絶に“水際対策”強化
IT関連
2021-02-04 21:32
Engageliがコラボレーション型の動画ベース教育プラットフォームに約36.3億円を確保
EdTech
2021-07-13 22:50
MUFG、グループ間の顧客情報を連携強化
IT関連
2021-05-13 07:07
PwCコンサルティング、メタバース空間で社内イベント開催–ビジネスでの活用検証
IT関連
2022-07-06 13:20
CISA、「既知の悪用された脆弱性カタログ」に36件を追加–早急なパッチ適用を
IT関連
2022-06-14 00:19
少額で日本株投資:利回り3.4~4.7%–「10万円以下」で買える高配当株5選
IT関連
2021-06-03 00:53
【コラム】シリコンバレーではきちんとしたマネジメントができていない
IT関連
2022-02-11 11:59
中東・アフリカ地域のアラビア語話者向け動画学習プラットフォーム「Almentor」が7.1億円調達
EdTech
2021-06-02 08:51
無人運航船プロジェクトMEGURI2040が世界最長距離の無人運航成功、北海道苫小牧-茨城県大洗の約750キロ・約18時間航行
IT関連
2022-02-09 17:12