企業のセキュリティ戦略は、コンプライアンス報告の自動化やインシデントの検知、特にインシデントレスポンス(可能であれば自動化されたもの)の分野での要求の高まりを考慮して進展しました。それらは、専門家チームやSOC(Security Operation Center)および、今日大きな進歩を遂げている専門ツールに頼る傾向がますます強まっています。
SOCにおいて、日常的な分析ツールは、変化し続けるサイバー脅威の性質に適応するために、絶えず改善されています。中でもフィッシングのような、ますます高度化する攻撃手法に適応していくことが必要です。 これらのツールの中心的な存在が、SIEM(シーム)です。
まずは、SIEMがどのように機能するのかを理解してから、これらの新型のフィッシング攻撃を、SIEMを使って効果的に阻止する方法を見ていきましょう。
SIEMの利点
SIEMは情報やセキュリティ事象を管理するシステムです。まず、このシステムはインフラストラクチャーのさまざま構成要素のすべての動作状況の記録(ログ)を収集してから、振り分けて保存します。データ、中でもセキュリティ事象に関連するデータの集中化によって、EDR(エンドポイントでの検出と対応)ソフトのような高性能な装置を素通りしまうかもしれない攻撃を、SIEMで検知できるようになります。EDRは、セキュリティの既知の弱点(特にCVEからのもの)の特定はできますが、残念ながら攻撃の全体像を把握することはできません。
ある種のSIEMは、このように新種の攻撃を阻止できる(ただし、その攻撃がまだ流行中の場合)と主張できます。というのは、すべてのアプリケーション、すべてのユーザー挙動、内部・外部データへのすべてのアクセスから構築されたデータの相関関係から異常が発見されるからです。
SIEMが長年にわたって存在しているならば、その初期のものは大企業向けのもので、莫大な規模のアナリストチーム(SOC)が必要であるにもかかわらず、そこそこの結果を出すことしかできなかったでしょう。しかしながら、最近、SOAR(セキュリティのオーケストレーションと自動化によるレポンス)ツールのような補助ツールによってSIEMが強化されたことで、規模の比較的小さな企業に適したSIEMが出現しました。
今日では、さまざまな形式のSIEMが存在します。例えば、ローカルに配備されるソフトウェア、物理的または仮想的な専用装置、またはクラウド上のサービスなどです。つまり、SOCが必ずしも企業内に存在する必要はもうありません。むしろ、外部サービスとしてレンタルすることで、費用を効果的に抑えることができます。さらに、SIEMのサービスは、それに特化したマーケットプレイスが現れたことで、モジュール形式で種類豊富になりました。これらのマーケットプレイスには、組織の個別の要求に合わせた専門的なツールを用いてデータの分析と処理を強化する目的があります。ただし、SIEMは、その概念がその組織の特徴に完全に基づいていなければ意味がありません。言い換えれば、SIEMの性能は、収集エージェント特有の分類体系、および、事象を調査したり異常の重要性を量ったりする際の優先順位の決定に密接に関わっています。管理者の仕事は、システムの概要を作成して、動作の異常状態を特定するために不可欠です。つまり、統計的相関分析エンジンが、いかに強力であるとしても、そのツールが正しく調整されていなければ、有用な結果は得られません。
ケーススタディをダウンロードしてください:
フィッシング攻撃に対する大企業の戦術
SIEMを補完して、SOCのパフォーマンスを強化する
SIEMは、配備されると直ちにホストのすべての仕分け情報の相関関係を算定して、事象の順序を配列してから、攻撃の性質を判断します。しかも、その結果を推定するために、これらすべては、ほぼリアルタイムで行われます。しかし、処理すべきデータの量はすでに膨大であり、動作状況の記録情報は際限なく増え続けているため、SIEMの単純で統計的な従来の分析では太刀打ちできなくなっています。
幸い、今日では、次のものと組み合わせることで、SIEMはさらに高い性能を発揮できます:
-UEBAツール。このツールは、各ユーザーやエンティティの挙動分析を行います。
-SOARツール。このツールは、利用可能なすべての分析に基づいて、セキュリティのオーケストレーションのパターンを実行したり、各種インシデントに対して自動化されたレスポンスを提案したりします。
このように、SIEMからのすべてのサインを集中させてから、UEBAやSOARのツールを使うことで、インシデントへのレスポンスの効果の面で、従来の統計分析の精度が著しく高まります。
SOARツールは、特に、時間と資源を節約することができ、インシデントの超過を解消することができます。しかもそれだけではありません。SOARツールは、既存のシステム構造を変更することなく、脅威を素早く隔離し、潜在的な被害の規模を縮小させます。簡単に言えば、このツールはシステムの回復能力を強化します。そしてこれは、サイバーセキュリティの分野における基本的な概念です。
SOARとSIEM:協働して、リアルタイムでフィッシングと戦う
セキュリティのオーケストレーションとレスポンスの自動化の具体的な例として、SIEMの世界の既知の動作主体をいつくか挙げることができます。例えば、ArcSight、Rapid7、Mandiant、Splunk、Demisto、Siemplifyなどです。これら各々は、アプリケーションの統合を許可して、統計的分析を強化します。昔から繰り返す問題、つまり、フィッシングURLの検知を改善することが不可欠であるフィッシング攻撃について、じっくり考えてみましょう。新しい機能を統合する最も簡単な方法は、新しい「プレイブック」を作成するか、または、既存のシナリオを変更することです。プレイブックを作成することは、希望するオーケストレーションを具体的に示すことです。そしてこの場合、フィッシング検知のためのプレイブックは、(例えばAPI形式での)外部情報ソースの統合によって改善される可能性があります。信頼できるさまざまな情報ソースを探ることも考えられます。
フィッシングは、IDの悪用を基本とした複雑な脅威であり、特定するのが非常に困難なウェブリンクを伴っている場合があります。フィッシングページの作成方法とターゲットを惹きつける方法は、ますます巧妙になってきています。したがって、ローカル分析の補完として、有用なすべての情報ソースを備えると良いでしょう。
SIEM内部では、ウェブリンクは、メールフローや内部ブラウザ、または即時的コミュニケーションの一部分と見なされる可能性があります。これが原因で、SIEMがリアルタイムで確認しなければならないリンクやページの数量が膨大になっています。しかし、これはSOCを対象とした重大なテーマであり、エラーのリスクを伴わない可能な限り正確で迅速なレスポンスを必要とします。
しかしながら、フィッシング関連データの質に関しては、規模の問題に直面します。というのは、ウェブページは完全に模倣され、悪質コードはさらに巧妙に隠され、リンクは熟練の専門家の目にも何の危険もないように見える場合が多いからです。したがって、むしろフィッシングに特化した信頼性の高い高性能な分析ツールが必要です。
SOARツールの場合、複数のフィッシングURLの参照ベースを統合することが考えられます。今日では、一つのリストを参照するだけではなく、フィッシングページを識別するように教育されたマシーンラーニングのアルゴリズムを使って、内容分析の対象であるURLをリアルタイムで調べる専門的なツールを追加することが推奨されています。この場合、プレイブックに容易に呼び出すことができるツールの形で人工知能がフィッシングとの戦いを支援します。
フィッシングと戦う方法:ケーススタディ。
フィッシングURLの検知に必要不可欠なAI
要するに、今日のSIEMの焦点は、SOCの人員を適切な人数に減らして、その企業のセキュリティ戦略の必要性に則って、個別の方法を提案できる、サイバー攻撃対策としてより適したソリューションの実現にあります。
また、人工知能は、SIEMのデータ処理において間違いなく重要な役割を果たします。例えば、フィッシング対策として、フィッシングページを特定するアルゴリズムを統合して、フィッシングへのレスポンスを自動化してオーケストレーションできるソリューションは、今のところごくわずかです。リアルタイムですべての不審なページを調査できるマシーンラーニングのアルゴリズムを統合すれば、SOCの有効性は即時的に向上します。
つまり、SIEMの完成はAIの統合によって否定しがたいものになります。喜ばしいことに、企業は今、セキュリティが長年苦労して解決策を模索してきたリスク予測の効果的な方法を手に入れることができます。
今年のセキュリティ総会でギヨーム・プパールが発表したように、リスク管理の手段は、攻撃の手段に合わせて進化しました。そして、専門家、意思決定機関やビジネスが協力し合うことで、非常に有望な数多くの可能性が生まれました。SIEM内部で異なる分析を組み合わせることが、その非常に明確な証拠です。
当社のフィッシング対策ソリューションについての詳細をご希望の場合は、
当社のエキスパートにお問い合わせください
