堅牢で包括的な脅威検知プログラムに対するニーズが、かつてないほど高まっています。ネットワークへの侵入やサイバー攻撃の件数と被害の深刻度が増す中で、組織のリーダーが注目するようになりました。Gartnerの2021年取締役会調査によれば、企業の取締役会の88%が今やサイバーセキュリティをビジネスリスクと捉えており、2016年の58%から大きく上昇しています。脅威検知とは、ネットワーク上のデータやリソースへの社内または社外からの不正アクセスを検知するために使用されるプロアクティブなプロセスです。ここでは、脅威検知により侵入を早期に検知して無力化し、攻撃のインパクトを軽減する仕組みについて解説し、実装のベストプラクティスをいくつかご紹介します。
脅威検知と緩和の手法
早期の検知と介入は、すべての脅威検知手法の最終目標です。ネットワーク侵入が発生しても、迅速に発見できればセキュリティチームはデータの損失を最小限に抑え、被害を軽減できます。ここでは一般的な4つの脅威検知手法とその仕組みについて解説します。
脅威インテリジェンス
サイバー脅威インテリジェンスとは、過去に自社を標的にし、現在も不正アクセスを試みており、今後も試みを続ける可能性のある脅威を特定、分析、把握するプロセスです。アナリストは、組織内からの脅威インテリジェンスやセキュリティグループがオンラインで投稿した脅威インテリジェンスをすべて使用して独自のデータに適用できます。たとえば、ある組織で侵害が発生した場合、この組織が侵害の痕跡(indicator of compromise, IOC)をオンラインに投稿すれば、他のすべての組織がこれを使用して自社のセキュリティデータで同様のパターンを発見できる可能性があります。政府が外国の敵対勢力による防衛システムへの侵害行為についてデータを収集するのと同様に、脅威検知も防御を強化して進行中のセキュリティ脅威の無力化を支援できます。脅威インテリジェンスの目的は、以下に関する情報を把握することです。
攻撃者が使用している手法
会社のネットワーク、システム、アプリケーションの脆弱性
ネットワーク侵害を試みている攻撃者の正体
この情報はサイバーセキュリティ体制の強化と脅威緩和の取り組みに役立つだけではありません。攻撃が成功した場合の潜在的リスクと影響に関する情報をビジネスリーダーとステークホルダーに提供します。
ユーザーと攻撃者の行動分析
脅威ハンターは内部ユーザーの行動パターンを分析することで、ユーザーの資格情報が侵害されたことを示す逸脱にフラグを付けることができます。このデータには、ユーザーが頻繁にアクセスする情報の種類、各ユーザーが通常ネットワーク内でアクティブになる時間帯、ユーザーの勤務場所などが含まれます。たとえば、ある企業の取締役が通常はシアトルにある自宅で会社の営業時間内に仕事をしている場合、午前2時30分にブリュッセルから会社のネットワークにログインすることはまずありえません。通常の行動について基準を確立することで、セキュリティアナリストは調査を必要とする異常をより高い精度で検知できるようになります。
侵入者トラップ
ミツバチがハチミツに吸い寄せられるように、不正行為者にとって一部の標的は無視しがたいほど甘美です。侵入者トラップとは脅威検知の手法の1つで、おとり捜査に似ています。ハッカーを闇からおびき出し、サイバーセキュリティチームに存在を検知させるように作られています。チームは、偽物の標的を作り上げることでトラップを設置します。たとえば、ネットワークサービスや保護が不十分な資格情報が含まれているエリアを作り、この資格情報を使用すれば機密データが含まれるエリアにアクセスできるように見せかけます。ハッカーがアクセスした後、侵入者トラップは仕掛け線の役割を果たし、システムを探っている者の存在をセキュリティチームに知らせ、介入が必要だと警告します。
脅威ハンティング
脅威ハンティングは非常にプロアクティブな脅威検知アプローチであり、セキュリティアナリストは侵入者がすでに主要システムへのアクセスを確保したという切迫した脅威や徴候を積極的に探します。組織のネットワーク、エンドポイント、セキュリティテクノロジーを捜索することで、脅威ハンターは現行のサイバー防御への侵害に成功した侵入者を発見しようとします。
脅威検知テクノロジー
ネットワークとデータセキュリティに迫る脅威は刻々と変化しており、それに対抗するために、脅威検知のツールと手法も常に進化しています。組織によってセキュリティに関するニーズはさまざまですが、こうした脅威検知テクノロジーは、すべての組織のサイバーセキュリティ装備に含まれています。
セキュリティイベント検知テクノロジー
セキュリティイベントテクノロジーは、組織のネットワーク全体に散在するデータをひとつにまとめることにより、重要システムから認証、ネットワークアクセス、ログを含むイベントを引き出して1か所に集めます。これにより、脅威データベースフィードを使用してシステム全体のログデータを潜在的な問題と比較するなどのタスクを簡略化し、起こりうるサイバー脅威を根絶できます。セキュリティイベントテクノロジーにより、セキュリティアナリストはファイアウォール、IDS/IPSデバイスとアプリ、サーバー、スイッチ、OSログ、ルーター、その他のアプリケーションを含むすべてのエンドポイントの全体像を把握できます。
ネットワーク脅威テクノロジー
ネットワーク脅威テクノロジーは、組織のネットワーク内のトラフィックや他の信頼できるネットワークとの間のトラフィック、およびインターネット上のトラフィックを監視し、悪意あるアクティビティの存在を示唆する疑わしいアクティビティを積極的にスキャンします。脅威の検知と対応の応答時間を短縮するこのテクノロジーは、ハッカーによるシステム全体への攻撃の増加に対抗するための重要なツールになっています。
エンドポイント脅威テクノロジー
エンドポイント脅威の検知と対応は、継続的な監視とエンドポイントデータの収集を実装するエンドポイントセキュリティソリューションで、ルールベースの自動応答・分析機能を備えています。このテクノロジーは、ユーザーマシンなどのエンドポイントからアクティビティデータをリアルタイムで収集し、潜在的脅威の存在を示す可能性があるデータの存在を監視します。このデータにより、チームは迅速に脅威パターンを特定し、脅威を削除または抑制する自動応答を生成し、セキュリティ担当者に通知してさらなる介入を要請できるようになります。エンドポイント脅威検知テクノロジーは、行動に関する情報やフォレンジック情報も提供するため、発見された脅威の調査に役立ちます。
セキュリティデータレイクの実装
データレイクはデータウェアハウスのサブセットであり、非構造化データと半構造化データの両方をネイティブフォーマットでサポートする柔軟性を備えています。セキュリティデータレイクにより、組織の偵察データをすべてストリーミングできるため、ログ収集という負担の大きいタスクが不要になります。このテクノロジーは、セキュリティデータをセキュリティ情報とイベント管理(SIEM)ツールに保存する際のコストとスケーラビリティの制限を取り除きます。セキュリティデータレイクを使用すると、セキュリティアナリストは長期的な履歴データを保存できるため、フラグの付いた特定のパターンが通常のものか、追加調査を必要とする異常なのかを容易に判定できるようになります。
SNOWFLAKEによる脅威検知のサポート
Snowflakeは脅威検知にとって理想的な基盤であり、貴社のネットワーク全体を可視化できます。Snowflakeを導入すると、ファイアウォール、サーバー、ネットワークトラフィック、AWS、Azure、GCP、SaaSアプリケーションを含む大量のログソース全体で1つのインシデントのタイムラインを調査できるようになります。すべてのログからセキュリティデータレイクにデータをストリーミングして、SIEMまたはXDRの役割を果たすSnowflakeコネクテッドアプリケーション内のすべてのデータを対象に検索を実行できます。ライセンス料や運用上のオーバーヘッドを節約し、コンプライアンス要件に準拠します。Snowflakeのサイバーセキュリティパートナーのネットワークは、セキュリティデータレイクに加え、脅威検知、脅威ハンティング、異常検知、脅威インテリジェンス、脆弱性管理、コンプライアンスサービスに専用のツールを提供します。その結果、組織全体のサイバーセキュリティ体制を改善し、セキュリティインシデントに対する一貫性のある確実な応答が可能になります。
Snowflakeのさまざまな機能について、ぜひご自身でお確かめください。Snowflakeのご試用は、無料トライアルの登録からお申し込みいただけます。