マネージド・セキュリティ・サービス(Managed Security Service :MSS)

DX時代に求められるマネージド・セキュリティ・サービス(MSS)とは

by ブログ

今の時代、企業が抱えるセキュリティ課題として、人材の育成、製品導入など、時間とコストがかることが挙げられています。その対策として注目を集めているのが、コストを抑えながら導入の時間も短縮できるマネージド・セキュリティ・サービス(Managed Security Service:MSS)です。MSSは企業のセキュリティ対策をマネージド・セキュリティ・サービス・プロバイダー(Managed Security Service Provider:MSSP)に外部委託するサービスです。

MSSPは専門の技術者が24時間365日体制で監視・分析して「本当に危険なものだけ」を通知してくれます。導入を検討しているIT担当者の方向けにMSSの内容とメリットについて説明しますので、ぜひご活用ください。

 

コロナ過の影響により変化したセキュリティ対策

コロナの影響により我々の勤務形態は、従来のオフィスに出社する形からテレワークによる在宅勤務の形へシフトしました。コロナが落ち着いたとしても、この勤務形態はニューノーマルな形として継続していく可能性が高いといえるでしょう。

従来のセキュリティ対策は、オフィスとインターネットの境界線、データセンターとインターネットの境界線の対策がメインでした。しかし、今後はPCやスマホなどのエンドポイントのセキュリティ対策が重要になってくるのではないでしょうか。

引用:IPA 情報セキュリティ10大脅威 2021より

IPAが公表している「情報セキュリティ10大脅威2021」でも、3位に「テレワーク等のニューノーマルな働き方を狙った攻撃」が入りました。昨年にはなかった、新たな脅威となっています。脆弱性のあるVPNソフトの利用、自宅のインターネットの対策不備による不正侵入などが事例として挙げられています。

警察庁が公表したデータ「サイバー空間における脆弱性探索行為等の観測状況」でも観測数が増加していることが分かります。

引用: 警察庁 令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について

表は警察庁がインターネット上に設置したセンサーにより検知した不審なアクセス件数(1日平均)です。令和3年上半期の検知件数は、1日平均で6,347.4件の不審なアクセスを検知しました。新型コロナウイルスが発生した令和2年上半期から検知件数が増加していることが分かります。増加の理由は、やはり脆弱性のあるVPNソフトやエンドポイントへのサイバー攻撃、または脆弱性を探す探索行為とみられています。

この2つのデータから分かることは、攻撃者はコロナ過の影響を利用してサイバー攻撃や探索行為を増加させていることです。在宅勤務で利用されるPCやスマホを新たなターゲットとしていることです。

攻撃者からサイバー攻撃を防ぐために、いち早く状況を把握できる対策を講じる必要があります。それでは、MSSがどのようにして「いち早く状況を把握できるか」について説明します。

 

マネージドセキュリティサービスとは

MSSは企業が保有するセキュリティ関連のログ監視・運用をMSSPにアウトソースするサービスです。具体的には、MSSPが提供するSIEM(Security Information and Event Management:シーム)という管理・分析用のツールにセキュリティ関連のログを保存して相関分析をします。この相関分析によりウイルス感染や不正アクセスなどをしている危険性を検知して、危険度に応じ通知するというサービスです。

監視対象はインターネット境界線のファイアウォールや IPS/IDS、UTM(Unified Threat Management)、WAFなどログ分析がメインです。

 

MSSPとSOCの違い

MSSPと関係性が深いので、SOC(Security operations center:ソック)とMSSPの違いについて説明します。MSSPは自社内にSOCと呼ばれるセキュリティ専門の組織を持っています。SOCは日々の業務で、インターネット上の不正な通信先や新たな脆弱性など、様々な脅威情報を収集しています。

MSSPは契約先のセキュリティ対策をするサービスです。そこにはSOCとの連携がありサービス提供を可能にしています。SOCはMSSPより上位にある大きな組織(MSSP<SOC)となります。

 

SIEMによる相関分析

SIEMは相関分析するため、監視対象から出力された大量のログを一括で保管します。そして、それぞれのログを時系列に並べ相互の関係性がわかるような状態で監視します。例えばWAFのログ上で、脅威情報にある不正な通信先とアクセスしているPCがあれば、検知することが可能になります。

これがSIEMによる相関分析のメリットなのですが、これにはどうしても高い技術力が必要になります。そのため、MSSPにセキュリティ対策をアウトソースすることを推奨します。

 

MSSの今後

なお、エンドポイントセキュリティやクラウドサービスへのセキュリティ対策へのニーズは高まりつつあるためMSSの今後5年間の年平均成長率は7.9%と予想されています。

2021年の2,429億米ドルから、2026年には3,548億米ドルに達すると予想されています。このことからMSSは、今後さらにサービス内容が充実することが見込まれます。

 

マネージドセキュリティサービスプロバイダ(MSSP)を利用するメリット

MSSP利用による主なメリットを3つご紹介します。

 

MSSPによる24時間365日の監視

MSSPによる監視は24時間365日が通常です。特に攻撃者は業務が終了した深夜や休日に侵入を試みる傾向があります。しかし、セキュリティ担当者が不在でもMSSPにより監視は継続されるため担当者の負荷が軽減、かつ安心度が向上します。また、海外に拠点をもつ企業には特に有効なサービスといえます。

 

MSSP専門家の分析により安全レベルが向上

MSSP専門家による分析で、誤検知のない分析により安全レベルが向上します。WAFを例に挙げると、導入しているWAFから出力される膨大なログを分析して「本当に危険なものだけ」を検知し通知してくれます。セキュリティ対策は安全面を優先して対応するため、誤検知はどうしても発生します。MSSPは「本当に危険なものだけ」に絞っての通知は余計な対応がなくなるというメリットがあります。

さらにMSSPから「本当に危険なものだけ」の通知により、セキュリティ担当者の意識向上につながったという実例もあります。これは余計な対応が減り、WAFの場合、Web改ざんされる前に自動で攻撃を遮断して管理者に通知してくれる、など、本当の問題に対処した結果ではないでしょうか。また、パッチ適用期間の短縮、実際のウイルス感染したエンドポイントの初動対応の向上、調査方法の手順化など、改善対策に時間をあてることが可能になったという報告もあります。

 

MSSPから最新のセキュリティ情報の入手

MSSPはSOCから最新のセキュリティ情報を入手しています。そこには通信先のブラックリストや脆弱性情報、サイバー攻撃の実例があります。これらの情報をインプットしておくことで、次の防止策の策定が可能になります。例えば、セキュリティパッチ適用が必要になる脆弱性情報などです。インターネットの境界線にある機器へのセキュリティパッチ適用は、サービス停止を伴うため敬遠されがちです。しかし、導入している機器のサイバー攻撃の実例を確認した場合はどうでしょうか。少なくともパッチ適用の時間や費用の見積もりを取得するのではないでしょうか。このように最新情報の入手は、セキュリティ対策に欠かせない対応となります。

クラウドブリックは「Cloudbric Security Platform」上で提供される「Cloudbric WAF+」「Cloudbric ADDoS」「Cloudbric RAS」など、すべてのサービスをマネージド・セキュリティ・サービスとして提供しています。95ヵ国100,000レファレンスから収集されるインテリジェンスを活用した脅威自動検知技術とセキュリティ専門家による高度な分析技術で更に強力なセキュリティレベルを確保することを可能にしました。

また、 世界中から収集したWeb脆弱性やリスク情報をセキュリティ専門家が分析した結果を提供するプラットフォーム「Cloudbric Labs(クラウドブリック・ラボ)」も利用できます。2018 Cybersecurity Excellence Awardsでは「今年のサイバーセキュリティプロジェクトのアジア・パシフィック部門」を受賞した経歴があります。

セキュリティに専門的な知識を持っていない一般の方でも高まっているWeb脅威に対して積極的に対応できるようにすべての情報を無料で公開しています。Threat DB、WAFER、Threat Indexという3つのサービスにより個人からセキュリティ専門家まで、Web、モバイル、ブロックチェーン等サイバーセキュリティを向上させるのに役立つサービスとなっております。

 

まとめ

サイバー攻撃への対策に必要なことは、まずは現在の状況を把握することです。そのための状況の「可視化」は不可欠な対応となります。この「可視化」には、SIEMのように大量のログを管理・分析できるツールとサイバー攻撃の知見を持つ専門家が必要になります。MSSは「可視化」することで高度なセキュリティ対策を実現するサービスです。MSS導入により得られるメリットを認識いただけますと幸いです。

クラウド型セキュリティ・プラットフォーム・サービス:Cloudbric Security Platform

https://www.cloudbric.jp/cloudbric-security-platform/

Threat Intelligence Managed Service:Cloudbric Labs

Cloudbric Labs

CTI(Cyber Threat Intelligence)

CTI(Cyber Threat Intelligence)の重要性とは?種類やライフサイクルについて解説!

by ブログ

世界的にWeb上でのセキュリティ対策として、サイバー脅威インテリジェンス(CTI:Cyber Threat Intelligence)が注目されています。Web業界においてCTIは、「掴みどころのない概念」といった曖昧な説明がなされています。これを具体的に分かりやすく説明すると、サイバーセキュリティの専門家が悪意のある第3者による攻撃に関して整理と分析を行い、その情報から導き出した根拠に基づくことを意味します。

近年、悪意のある第3者によるサイバー攻撃が急増していることもあり、CTIを提供するサービスが注目されています。本記事では、そんなCTI(サイバー脅威インテリジェンス)の重要性について解説しています。なお、CTIの市場規模やメリットについて知りたい方は、こちらの記事をご覧ください。

【注目】次世代のセキュリティ戦略とは?脅威インテリジェンスについて解説!

 

CTI(Cyber Threat Intelligence)の重要性とは?

近年、CTIが注目されている理由は、悪意のある第3者による脅威から自社を守るためには、サイバー攻撃を仕掛けてくる敵についてよく知ることが不可欠なためです。悪意のある第3者は、同じ手口でサイバー攻撃を続けて行うことはありません。次々と新しい脆弱性を見つけ、そこを狙った新しい攻撃の手段を考えて悪用しています。そうした背景のなかで、最強の防御を実現するには、新しい脅威に関する最新の情報を入手し、敵を詳細に知ることが重要です。

CTIは、サイバーセキュリティの専門家たちが収集した、悪意のある第3者の新しい攻撃に関する情報を整理・分析し、精査して根拠に基づいた情報を取り扱う概念です。その情報の提供を受け、そこから学習して対策を行えば、常に最強の防御で悪意のある第3者によるサイバー攻撃から自社を守ることが可能となるでしょう。

そして、敵とそのサイバー攻撃に対する防御方法が明確になることで、企業全体で攻撃者に関する理解が深いものになります。Webセキュリティ対策にあまり費用がかけられない中小企業だと、未知の物事には備えが疎かになりやすいです。それが、CTIによって未知の物事が明らかになることで、企業全体でのWebセキュリティへの意思決定を可能にすることができるでしょう。また、すでに費用をかけて対策を行っている大企業も、CTIを活用することで必要のないWebセキュリティ対策の仕分けができるため、コスト軽減できることもメリットといえます。

 

CTI(Cyber Threat Intelligence)の種類を3つのポイントで解説!

CTIサービスで提供されている情報には、下記の内容が含まれます。

  • 悪意のある第3者のサイバー攻撃のメカニズムの情報
  • 攻撃の識別方法に関する情報
  • 攻撃によって影響を受ける可能性があること
  • 情報の整理・分析で導き出し攻撃に対する防御の方法

ただし、悪意のある第3者によるサイバー攻撃にさまざまな種類があるように、CTIにもいくつかの種類が存在します。そして、一般的にCTIには、下表の種類が挙げられます。

CTIの種類 概要
戦略的インテリジェンス 脅威をコンテキストの中で捉える概要レベルの情報
戦術的インテリジェンス 脅威がどのように実行され、どのように防御できるかに関する詳細情報
運用インテリジェンス IT部門が積極的脅威管理の一環として、特定の攻撃に対する対策の実施に利用できる情報
技術的インテリジェンス サイバー攻撃が行われている具体的な痕跡情報

なかでも、「戦略的インテリジェンス」「戦術的インテリジェンス」「運用インテリジェンス」は、悪意のある第3者による攻撃からのWebセキュリティ対策でそれぞれ異なる役割があるためすべて収集することが重要です。この3つについて、さらに掘り下げてみていきましょう。

戦略的インテリジェンス

上表で戦略的インテリジェンスとは脅威をコンテキストの中で捉える概要レベルの情報と解説しました。さらに掘り下げて解説すると、戦略的インテリジェンスは、悪意のある第3者が特定企業や業界に対してどういった活動を誰に行っているのかという情報です。

提供を受けることによって、悪意のある第3者の活動の背景や動機、どんな手法で攻撃を行っているかといった、戦術・テクニック・手順が明らかにできます。企業の意思決定者は、この情報を活用することで、Webセキュリティ戦略の策定や見直しが可能となるでしょう。

戦術的インテリジェンス

戦略が企業・組織全体がどう進んだらよいかを示す方向性であるのに対し、戦術とは、その戦略を達成するための具体的な手段を示す方向性を意味します。つまり、戦術的インテリジェンスとは、悪意のある第3者によるサイバー攻撃の経路や攻撃者が使用しているツールやインフラストラクチャ、標的先といった情報のことを意味します。

一般的には、企業の意思決定者や上層部ではなく、技術的詳細を理解しているセキュリティ担当者がこの情報を主に取り扱います。担当者がこの情報を活用することで、セキュリティの制御や防御態勢の管理について、情報に基づいた意思決定が行えるようになります。自社が標的になる可能性の高さを、Webセキュリティ対策チーム全体や企業の意思決定者に理解してもらうのに役立ちます。

運用インテリジェンス

悪意のある第3者の攻撃意図や性質、タイミングなどに関する情報が運用インテリジェンスです。この情報を活用することで、いつまでに、どんな対策をしておく必要があるかが明確になります。こうした情報は、本来は攻撃者しか知らない情報ですが、実際に攻撃者から直接収集することは困難を極めます。そのため、サイバーセキュリティの専門家が、過去の事例や動向を分析・研究して、次の動きや攻撃手法を予想しなければなりません。

 

CTI(Cyber Threat Intelligence)のライフサイクルを6ステップで紹介!

CTIの収集と管理のライフサイクルを自動化することで、脅威の検知速度がより向上できます。

IT分野におけるライフサイクル(ITライフサイクル)とは、一般的に保守や運用・サポートなどのシステムを運用するための一連の過程を意味します。そんなCTIのライフサイクルは、下記の6ステップに分類されます。それぞれのライフサイクルについて詳しく解説していきます。

要件→収集→処理→分析→配布→フィードバック

ステップ①|要件

CTIにおける「要件」では、脅威インテリジェンスの運用サイクルにロードマップを定めるために、下記の内容を具体的に特定する準備を始めます。

  • 攻撃者は誰か?
  • 攻撃の動機は?
  • どこを攻撃の対象領域としているのか?
  • 攻撃に対しての最適な防御手段は何か?
  • 取るべき具体的な行動は?

このように、これから行うWebセキュリティ対策の方向性を定めるための情報を収集する準備に取り掛かります。

ステップ②|収集

CTIにおける「収集」は、要件で定めた方向性に沿って運用を開始する準備を始めるステップです。攻撃者の特定や対象領域、それに適したWebセキュリティ対策の具体的な方法を定めるための情報を収集します。このステップで成功するには、すでにこれから行うWebセキュリティ対策について、CTIの概念を踏まえた分析が済んでいることが前提ポイントです

ステップ③|処理

CTIにおける「処理」は、収集したWebセキュリティ対策に必要な情報を分析する前の段階です。収集した情報を脅威インテリジェンスを取り扱う専用のツールなどを用いて、分析に適したフォーマットに処理することでより明確な分析が可能となります。また、このステップで情報の信頼性についての評価を行い、情報の確かさを明確にすることで本当に確かな情報だけを分析が可能となるでしょう。

ステップ④|分析

CTIにおける「分析」では、処理ステップで決定したツールや方法などを駆使し、具体的かつ正確に分析を行います。数あるサイバー攻撃の特性や傾向などは、これまでのステップで蓄積された情報から分析可能です。また、専門的な知見を持った方々や担当者による情報の付加による根拠付けも実施されます。

ステップ⑤|配布

CTIにおける「配布」は、分析結果を分かりやすく、そして担当ごとに適したフォーマットに変換して配布するステップです。提言は複雑な専門用語はあまり使わず、誰もが分かりやすく簡潔にまとめるのがよいでしょう。また自社内だけでなく、関係のある他社にも配布し、CTIを共有し共同でのWebセキュリティ対策に役立てます。

ステップ⑥|フィードバック

CTIにおける「フィードバック」では、最新のCTIと既存の仕組みを比べ、今後の運用に切り替えや調整が必要かどうかについて判断します。万が一に備え、必要がなくてもCTIは常に最新化しておくべきです。また、最新のCTIの利用結果から、各作業の見直し・検討も行います。

 

まとめ

今回は、CTI(Cyber Threat Intelligence)の重要性について解説してきました。悪意のある第3者から自社を守るために、なぜCTIが重要となるのかご理解いただけたことでしょう。CTIがサイバー攻撃対策のために重要であることが広く知られるようになったことで、CTIの提供を行っているサービスは年々増加傾向にあります。しかし、自社に合ったサービスや最適な製品を選定することは容易ではありません。

CTIにもさまざまな種類が存在するように、サービスごとに提供されるCTIも異なります。そのため、自社に本当に必要なCTIを提供しているサービスを選ぶことは重要です。

数多く存在するCTIに関するサービスのなかでも、弊社おすすめのサービスはこちらです。

Cloudbric Labsは世界中から収集したWeb脆弱性やリスク情報を当社セキュリティ専門家が分析し、その結果をまとめて提供するプラットフォームです。このプラットフォームはCybersecurity Insidersが主催する2018 Cybersecurity Excellence Awardsで「今年のサイバーセキュリティプロジェクトのアジア・パシフィック部門(Cybersecurity Project of the Year-Asia/Pacific)」を受賞するなど、世界からも注目されています。

Cloudbric Labsは次の3つのサービスを現在無料で提供しております。ぜひ、ご覧ください。

1.Threat DB:Cloudbric WAF+から収集したサイバー脅威に対するデータベース。フィッシングURL、ブラックIPなど、1万件を超える脅威データを保有、Web脅威データの照会、情報提供、API利用が可能。

https://labs.cloudbric.com/threatdb

2.WAFER:OWASP・Exploit DBパターン及びクラウドブリック・ラボのリサーチチームによって厳選された攻撃パターンを使用し、現在利用中のWAFのセキュリティ性能を評価できるツール。

https://labs.cloudbric.com/wafer

3.Threat Index:CVE、Exploit DBなどの脆弱性情報提供サイトから取りまとめた様々なWeb脆弱性を検索できるツール。

https://labs.cloudbric.com/threatindex