Comments
Description
Transcript
ESG ソリューション ショーケース:シスコのインテリジェンス
ESG ソリューション ショーケース シスコのインテリジェンス セキュリティ アーキテク チャ 日付: 2015 年 2 月著者:Jon Oltsik、シニア主任アナリスト 摘要:近年、あらゆる組織が前例のない脅威に直面しており、最近では Target、Home Depot、JPMorgan Chase といった組織がデータ侵害の脅威にさらされました。このような危険な状況を踏まえて、CISO(最高 情報セキュリティ責任者)は侵害防止のためにセキュリティ コントロールだけに頼るわけにはいかなくな っています。加えて、組織は内外のセキュリティ インテリジェンスを収集および分析して、悪意のあるサ イバー アクティビティを積極的に追跡する必要があります。この目的を達成するために、CISO は、エンド ポイント、ネットワーク、セキュリティ分析、高度なマルウェア検出/防止技術、および外部脅威インテリ ジェンスにおよぶアクティブなインテリジェンス セキュリティ アーキテクチャを導入する必要がありま す。このような増大するエンタープライズ要件に応えるために、シスコは、製品、サービス、業界パート ナーシップで構成される独自のアーキテクチャを構築しました。 概要 Verizon による「Data Breach Investigation Report(DBIR)」(2014 年)によると、データ侵害全体の 75% は発 見されるまでに数週間、場合によっては数か月もかかることがあります。昨年、Target、Home Depot、 JPMorgan Chase、Sony Pictures、Staples などで甚大な被害をもたらした大々的なデータ侵害の波は、初期の侵 害行為から最終的な検出までに大きな時間差があったことが主な要因となっています。 ここで単純な疑問が湧きます。組織は情報セキュリティに毎年数百万ドルも投資しているにもかかわらず、デ ータ侵害を検出するのにこれほど時間がかかっているのはなぜでしょうか。最初に、多くの組織はインシデン ト検出/対応のスキル、プロセス、テクノロジーを有効活用できていません。 ESG の調査はこの点を浮き彫りにしています。ESG 調査アンケートの一環として、インシデント検出/対応の弱 点となっている分野をセキュリティ プロフェッショナルに挙げてもらいました。データは次のことを示して います(図 1 を参照)。 • • • 27% の組織は、セキュリティ インシデントを検出するためのセキュリティ インテリジェンスの分 析が弱点であると答えています。これは強力なセキュリティ分析スキルの欠如と関連していると思 われます。 29% の組織は、問題の根本原因を把握するための調査分析の実行が弱点であると指摘しています。 これも、セキュリティ スキルと、従来のセキュリティ分析ツールへの依存、さらに適切なデータ を収集・分析できていないことが原因となっている可能性があります。 28% の組織は、事後修復機能を活用した感染範囲の特定、封じ込め、マルウェアの自動駆除が弱点 であると回答しています。つまり、十分な履歴分析を行えないということです。言い換えれば、エ ンドポイント アクティビティ、ネットワーク トラフィック、および脅威インテリジェンスのデー タを関連付けられないということです。 1 なお、セキュリティ プロフェッショナルは、脆弱性のある資産の特定、セキュリティ コントロールの調整、 アクションへとつながるデータ収集に関連して、一連の脆弱性を特定しています。 1 出典:ESG Research Report、『Advanced Malware Detection and Protection Trends(高度なマルウェアの検出と保護の傾向)』[英語]、 2013 年 9 月。 © 2015 by The Enterprise Strategy Group, Inc. All Rights Reserved. 2 ESG レポート:シスコのアクティブ インテリジェンス セキュリティ アーキテクチャ 図 1インシデント検出/対応の脆弱性 インシデント検出/対応タスクについて回答してください。 貴社が最も苦手とする分野を 3 つ選んで ください(全く対応できていないなど)。 (回答者の割合、N=315、3 つの回答可) 29% 問題の根本原因を特定するための調査分析 レトロスペクティブな修復機能を活用した、侵入範 囲の特定、封じ込め、マルウェアの自動駆除 28% セキュリティ インテリジェンスの分析によるセキュ リティ インシデントの検出 27% 同様の攻撃があった場合、どの資産が脆弱となるか の判断 26% 今後同様のマルウェア攻撃を防ぐためのセキュリテ ィ コントロールの変更 25% 正確な情報認識につながる適切なデータの収集 25% 20% セキュリティ インシデントの影響および範囲の把握 13% 攻撃の影響を最小にするためのアクション 0% 5% 10% 15% 20% 25% 30% 35% 出典:Enterprise Strategy Group、2015。 ESG のデータは、人、プロセス、テクノロジーにおよぶ幾つかの共通したインシデント検出/対応の課題を示 しています。これが驚くべきことではないのは、次のような理由によります。 • • • 2 優秀なサイバーセキュリティ プロフェッショナルが不足している:他の ESG 調査によると、28% の組織は IT セキュリティ技術の「深刻な不足」を経験しています。 2実際、ESG が毎年実施する IT 支出予定に関する調査によると、IT セキュリティ スキルの不足は、最も深刻な技術不足の分野と して 4 年連続で取り上げられています。つまり、組織はその大小を問わず、適切なセキュリティ分 析スキルを持つセキュリティ プロフェッショナルを見つけられない、または雇用できないため、 サイバー攻撃に対して無防備になっています。 プロセスが手動で事後対応である:多くの組織は、異常または不審な挙動をプロアクティブに探す のではなく、データ漏洩が生じて初めて調査/修復を行っています。しかも、セキュリティ アナリ ストが調査を始めたとしても、ポイント イン タイムのセキュリティ ツールや面倒な手動作業によ ってできることが限られてしまいます。Verizon DBIR レポートが示すように、これではセキュリテ ィ調査と修復に多大の時間がかかってしまいます。 セキュリティ技術がいまだに防止に焦点を合わせている:ファイアウォール、IDS/IPS、ウイルス対 策は引き続き重要ですが、多くの組織はこの方面に必要以上の時間と資金を注いでいます。今日の 脅威環境を考えると、CISO は自分たちのネットワークがいずれ侵害を受けることを想定して、検出 とインシデントの対応に十分なリソースを割り当てる必要があります。 出典:ESG Research Report、『2015 IT Spending Intentions Survey(2015 年 IT 支出意向に関する調査)』[英語]、2015 年 2 月。 © 2015 by The Enterprise Strategy Group, Inc. All Rights Reserved. ESG レポート:シスコのアクティブ インテリジェンス セキュリティ アーキテクチャ 3 アクティブなインテリジェンス セキュリティ セキュリティ プロフェッショナルは、適切なセキュリティ コントロールを適用して、従来のマルウェアや業 界固有の一般的なサイバー攻撃をブロックする必要があります。例えば、小売業界の組織は POS システムでア プリケーション コントロールを実行して、ネットワーク ファイアウォール ルールを設定することにより、 POS が特定の信頼された IP アドレスにしか接続しないように設定できます。しかし、CISO には防御だけを考 えるのではなく、いつでも攻撃または侵害される可能性があることを認識し、プロアクティブなアプローチも 採用する必要があります。これには、不自然な活動に対するプロアクティブで継続的な「探索」を行い、必要 に応じて迅速な検証や調査をする能力も求められます。 この目標を達成するために、CISO は内部および外部のソースを対象としたセキュリティ データの収集と分析 の向上に努める必要があります。さらに、セキュリティ チームは、インシデント検出および対応のための統 合されたワークフロー プロセスを開発する必要があります。この取り組みには、以下が含まれるセキュリテ ィ テクノロジー アーキテクチャが必要です。 • • • • • • 継続的な監視:セキュリティ ハンターは、エンドポイントおよびネットワーク全体の活動を検査 することで、多くの重要な証拠を見つけることができます。例えば、エンドポイント調査キャプチ ャ ツールを使うと、ファイルのダウンロード、レジストリの変更、インメモリ プロセス、ネット ワーク接続などを追跡できます。同様に、ネットワーク調査ツールは、ネットフローを監視して IP パケットをキャプチャし、ISO レイヤ 2 から 7 の接続、セッション、ポート、プロトコルに関する 情報を追跡できます。セキュリティ アナリストは、このデータを活用すると、いつ何が生じたか という豊富な履歴レコードによって、単純なセキュリティ イベント データとアラームを補充する ことができます。 静的および動的なファイル分析:組織には、電子メール、Web リンク、その他のコンテンツを経 由して届くファイルが、正常であるか悪意のあるものであるかを判断する能力が必要です。このプ ロセスには、ファイル レピュテーション スコアリング、コンパイル日付の調査、プレーン テキス ト マッチング、および仮想環境でのファイル実行エミュレーションをはじめとする、静的および 動的なファイル分析が含まれます。 脅威インテリジェンスの共有:内部データの分析は重要ですが、多くの組織は外部脅威インテリジ ェンスを使って、ネットワーク ベースのデータと「未知」の活動を関連付けています。例えば、 不審なネットワーク接続を脅威インテリジェンスに関連付け、IP デスティネーションが未知の Web サイトか、既知のコマンド アンド コントロール(C2)サーバかどうかを評価できます。セキュリ ティ アナリストには、調査の一環として外部脅威インテリジェンスに対してクエリを実行し、内 部データをサード パーティのセキュリティ サービス プロバイダや業界情報共有および分析センタ ー(ISAC)と共有する能力が求められます。 データ キャプチャおよび分析のためのルール ベース トリガー:セキュリティ イベントの可能性を 示すアラートが発生すると、すぐに一連のデータ キャプチャと分析アクションをトリガーする必 要があります。例えば、不審なネットワーク トラフィックを示すアラートを IPS が生成した場合、 エンドポイント調査ツールを呼び出して、オープン ポート、実行中のプロセス、DLL、ネットワー ク接続に関するデータを収集できます。この一連のアクションによって、組織はセキュリティ調査 を組織化し、インシデント検出/対応の効率を向上させることができます。 修復の自動化:組織がより多くの内部および外部データを収集できるようになった場合、そのプロ セスを自動化すれば、セキュリティ修復オペレーションを加速することができます。たとえば、不 審なトラフィックを特定すると、そのサンプルを分析用に送信します。セキュリティ オペレーシ ョン チームは分析結果を IT インフラストラクチャにインポートして、接続を停止し、新しい IDS シグニチャを作成し、ファイアウォール ルールを追加することができます。 セキュリティ侵害の痕跡:静的および動的な行動特性を持つセキュリティ侵害の痕跡(IoC)を継 続的に探すテクノロジーが必要です。多くの場合、セキュリティ チームはシステムのセキュリテ ィ侵害を発見する手がかりとして IoC を活用します。その目的は、調査対象となるアラート リスト を提供することではなく、侵入およびセキュリティ違反のアクティビティについて、優先順位を定 めた照合用の一覧を提供することです。 © 2015 by The Enterprise Strategy Group, Inc. All Rights Reserved. ESG レポート:シスコのアクティブ インテリジェンス セキュリティ アーキテクチャ 4 上述のテクノロジー要件は、統合されたセキュリティ分析アーキテクチャとして協調させる必要があります (図 2 を参照)。これにより、エンドポイント、ネットワーク セキュリティ コントロール、マルウェア対策シ ステム、脅威インテリジェンス、およびセキュリティ分析は連携して働くようになり、インシデントの検出/ 対応の有効性、効率性、および適時性が向上します。 図 2. インシデントの検出と対応のためのアクティブ インテリジェンス セキュリティ ワークフロー 出典:Enterprise Strategy Group、2015。 シスコのソリューション セキュリティ プロフェッショナルは、アクティブなインテリジェンス セキュリティが必要なことは認識して いますが、どこから始めて良いのか、また各部分をどのように統合して総合的なアーキテクチャを構成するか について、よく理解していない場合があります。シスコでは、このインシデントの検出/対応に関する課題を CISO が理解できるように支援します。シスコはここ数年、パズルのピースを集めるように、最先端のセキュ リティ テクノロジー ベンダーの買収・提携を進め、以下によるアクティブでインテリジェントなセキュリテ ィ アーキテクチャを構築しました。 • ネットワーク セキュリティ コントロール:2012 年に Sourcefire を取得することにより、シスコの次世 代 IPS(FirePOWER)はオープン ソース ルールに基づいており、マルチレイヤの脅威保護向けに設計さ れています。上述のワークフローと平行して、FirePOWER は不審なトラフィックを検出し、アラート を生成します。 • Guidance Software EnCase Cybersecurity:シスコは最近、Guidance Software との提携を発表して、その エンドポイント調査システム(EnCase Cybersecurity)をシスコのアクティブ インテリジェンス セキュ リティ アーキテクチャに統合しました。FirePOWER がセキュリティ アラートを生成すると、EnCase Cybersecurity が作動し、不審なエンドポイントのスナップショットを作成し、調査データを収集します。 • AMP Threat Grid:詳細なエンドポイント調査データを活用できるセキュリティ アナリストは、ファイ ル ハッシュ、不審なプロセスや DLL、または未知の IP アドレスへのネットワーク接続といったセキュ リティ侵害の痕跡(IoC)を定期的に検査し、外部からの脅威インテリジェンス ソースと比較して、悪 意のある既知の行動に合致するかどうかを判断します。この目的のために、シスコ アーキテクチャは AMP Threat Grid を統合しています。アナリストは EnCase Cybersecurity で右クリックするだけで AMP Threat Grid に直接アクセスできます。 © 2015 by The Enterprise Strategy Group, Inc. All Rights Reserved. ESG レポート:シスコのアクティブ インテリジェンス セキュリティ アーキテクチャ • 5 エンドポイント用 AMP:最後に、エンドポイント用 AMP は、継続的にエンドポイント システムを監 視し、既知の攻撃をブロックし、マルウェア検出用に 400 以上のファイル属性を分析することにより、 マルウェアの行動を特定し、修復作業を改善し、さらに自動化します。エンドポイント用 AMP はレト ロスペクティブな修復用にエンドポイントのアクティビティも追跡します。マルウェアの新しいバリ エーションが検出されると、AMP は記録を調べ、新しく発見されたマルウェアの IoC が過去にエンド ポイントで見つかっていたかを確認します。必要に応じて、AMP はセキュリティ チームにアラートを 発信し、修復プロセスをサポートします。 シスコはさらに、アクティブ インテリジェンス アーキテクチャをエコシステムのパートナーにも拡張してい ます。例えば、シスコは追加のセキュリティ分析機能を提供する Lancope および Splunk の 2 つのパートナーと 密接に協力しています。 結論 エンタープライズ セキュリティは、画期的な進化を経ずに今に至っています。セキュリティ チームは、大半 の時間とリソースをリスク管理とインシデント防止に費やしています。新たなタイプの脅威が発生すると、ネ ットワークにゲートウェイを追加するか、新しいファイアウォール ルールを作成するか、エンドポイント シ ステムにソフトウェア エージェントを追加します。 残念ながら、このような対策ではもはや不十分です。CISO は、いずれ高度で継続的なサイバー攻撃によって ネットワークが侵害されることを前提にする必要があります。 孫子はかつてこう言いました。「敵を知り、己を知れば、百戦危うからず」。これをサイバー セキュリティ に当てはめると、組織には、通常のネットワークの動作を理解し、異変を迅速に検出し、総合的な調査を実施 して問題を特定し、修復できる能力が求められます。このプロセスは、セキュリティ アナリストがタイムリ ーかつ効率的にセキュリティ インテリジェンスを収集、分析、および活用することによってのみ成功します。 ESG のアクティブ セキュリティ インテリジェンスのビジョンでは、脅威インテリジェンスとセキュリティ 分析を利用して、ネットワークとエンドポイントでインテリジェンスとアクションを統合することにより、 こうした要件を満たします。どのエンタープライズにも、こうしたすべてのコンポーネントを融合した統合 エンドツーエンド アーキテクチャが必要だと言うことができます。シスコはこのことを認識しており、製 品、サービス、および業界のパートナーシップを駆使してアーキテクチャ ソリューションを積極的に構築 しています。Cisco Platform Exchange Grid(pxGrid)はその取り組みの一例です。Cisco pxGrid では、パート ナー ソリューションが、収集したコンテキスト データの交換用に使用できるコンテキスト共有プラットフ ォームを提供して、セキュリティを向上しています。シスコ パートナー エコシステムでは、さまざまなテ クノロジーを統合することができます。これには、エンタープライズ モビリティ管理およびモバイル デイ バス管理(EMM/MDM)パートナー プラットフォーム、セキュリティ情報およびイベント管理(SIEM)、 アイデンティティおよびアクセス管理(IAM)、脆弱性評価(VA)、ネットワークおよびセキュリティ調査、 および運用テクノロジー(OT)が含まれます。以上の理由により、アクティブなインテリジェンス セキュ リティ アーキテクチャの導入を検討している CISO にとって、シスコの製品を調査および評価することには 大きな意義があると思われます。 この ESG ソリューションのショーケースは、シスコによって委託され、ESG の許可を得て配布されています。すべての商標名はそれぞれの企業に帰 属します。本書に掲載されている情報は、Enterprise Strategy Group(ESG)が信頼できると考える情報源から得たものですが、ESG が保証するもので はありません。本書には、ESG の見解が含まれている場合がありますが、それらは随時変更される可能性があります。本書は、Enterprise Strategy Group, Inc が著作権を所有しています。本書の全部または一部を、Enterprise Strategy Group, Inc. の同意を得ずに、ハードコピー形式、電子的な方法、 またはその他の方法で、受け取る権限を与えられていない第三者に複製または再配布すると、 米国著作権法に抵触し、民事訴訟と、場合によっては 刑事告発の対象となります。ご不明な点がある場合は、ESG Client Relations(508.482.0188)までお問い合わせください。 © 2015 by The Enterprise Strategy Group, Inc. All Rights Reserved.