PwCコンサルティング、サイバー攻撃検知基盤を発表–脅威アクターの分析と監視ルールを提供

今回は「PwCコンサルティング、サイバー攻撃検知基盤を発表–脅威アクターの分析と監視ルールを提供」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　PwCコンサルティングは4月10日、セキュリティ情報イベント管理（SIEM）と同種の仕組みを持つセキュリティ基盤「Managed Threat Intelligence ＆ Detection」（以下、MTID）を発表した。SIEMのログ統合管理に加えて、同社およびグローバルで脅威アクター分析を行い、クライアントを標的とする攻撃を見極めて、検知ルールを優先的に導入するという。

　PwCコンサルティングが提示した、日本情報経済社会推進協会（JIPDEC）の「IT-Report 2023 Spring」によれば、2023年5月時点で、ネットワークやシステムを24時間監視し、情報資産を保護するセキュリティオペレーションセンター（SOC）の整備率は31.4％。1年以内の利用開始予定は19.4％、3年以内の利用開始予定は13％、導入予定なしは26.8％に及ぶという。

　他方で日本ネットワークセキュリティ協会（JNSA）が2024年2月に発表した「インシデント損害額調査レポート 別紙『被害組織調査』」によると、2022年上半期だけで2021年の公表インシデント発生件数328件を大きく上回る382件に達した。

　PwCコンサルティング パートナーの辻大輔氏は「攻撃が高度化かつ未検知で、対応できていない」と懸念を抱いている。その上で「自社で発生しうる脅威シナリオに基づく検知力アップ」「初動対応のスピードアップ」「次回攻撃を予測した積極的な運用」「マルチSOCを運用するグローバル組織の検知力平準化」を実現するのがMTIDだと説明した。

　具体的には、PwCコンサルティングおよびグローバルでサイバー脅威に関する情報を収集し、オープンソースでマルウェアを特定して分類する「YARAルール」に基づいて、ログを送信するデバイスやサービスに展開する。受信したログは組織の業務内容に応じた監視ルールを展開して、リアルタイムに分析を行うという。何らかのインシデントが発生した際は、同社が原因調査やフォレンジック（各種分析）などをオプションで提供している。

　一般的なSOCで問題となるのは誤検知だが、MTIDは特権認証が連続で数回失敗するなど、攻撃なのか否か判断しにくい場合、不正侵入検知システム（IDS）や不正侵入防止システム（IPS）が用いるアノマリー検知でリアルタイムレポートを作成する。辻氏は「（レポートを）ドリルダウンして分析すれば攻撃か否かを判断できる」という。

　誤検知自体も件数に応じて監視ルールに昇格させる機能も備える。MTIDの肝心となるのは監視ルールだが、グローバルで39業種に対応。前述のアノマリー検知ルールと攻撃検知用ルールを組み合わせ、サイバー攻撃検出1カ月以内にルール配信を行う。

　PwCコンサルティング シニアマネージャーの坪井りん氏は、同ソリューションの開発概念を「国盗（と）りゲームからインスピレーションを受けた。その理由は2つ。1つ目はリアルタイムに対策しなければならないと同時に、中長期的な保護プランを考える点などパラダイムが似ている。2つ目は情報の見せ方。ゲームと同様に（サイバー対策で必要となる）情報量は多く、的確な情報を提示する点を参考にした」と説明した。