[新製品・サービス]

SecureWorks、「人知」で標的型攻撃を封じ込めるサービスを国内で提供開始

2016年6月21日(火)笹田 仁(IT Leaders編集部)

デル傘下のSecureWorks Japan(セキュアワークス)は2016年6月21日、標的型攻撃の兆候を検知し、攻撃を封じ込めて排除するサービスの提供を始めた。排除後の再侵入防止策の策定も支援する。攻撃の兆候を検知するのが、経験を積んだエンジニア、つまり人間であることが大きな特徴だ。

 特定の企業/個人に狙いを定め、緻密な下準備を重ねた上で攻撃のきっかけとなるメールを送り付ける。受け取った側は、何の違和感もなくメールを開き、URLや添付ファイルをクリックしてしまう。それがマルウェアの侵入を許し、やがて深刻なセキュリティインシデントへとつながっていく──。こうした「標的型攻撃」の被害例が後を絶たない。

 セキュアワークスが今回国内で提供を始めるサービスは、2012年からアメリカで“Targeted Threat Hunting(標的型攻撃ハンティング)”という名前で提供を始めているもので、2015年度はおよそ40の企業・組織に提供した実績がある。日本で提供するに当たり、日本人スタッフを揃えるだけでなく、日本の商習慣、文化に適応したチームを用意したという。

写真1 SecureWorks Japan Security and Risk Consultingマネージャー 三科 涼氏

 このサービスの特徴は、人の力で攻撃の兆候を見つけ出すという点にある。ネットワーク通信を分析するためにサンドボックスを利用するなど、随所にテクノロジーを活かしつつも「そうして集まってくる膨大なデータを分析し、攻撃の兆候を見抜くのはあくまで人間と位置付けている。未知の脆弱性を突く攻撃など、人間が判断するからこそ見つけ出せる攻撃もある」と、同社のSecurity and Risk Consultingマネージャー 三科 涼氏(写真1)はこのアプローチの優位性をアピールする。

 例えば最近は、偽のログイン画面をユーザーに見せて、ユーザーアカウントを盗み取る行為が横行している。攻撃者は、盗み出したユーザーアカウントで堂々と企業内ネットワークに侵入する。正規のユーザーアカウントを利用しているので、コンピュータが判断するアプライアンスなどでは、こうした攻撃は見抜くことが難しいが、人間ならば、ログインしているユーザーが普段と少しでも違う振る舞いを見せたところで、ユーザー企業に確認できる。こうすることで正規のログインか、攻撃者によるログインかを正しく判断できる。

 もう1つの特徴として、顧客の事情に応じて提供するサービスを柔軟に変えるという点が挙げられる。セキュアワークスは、顧客にサービスを提供するに当たって個別にヒアリングの場を用意。社内ネットワークの構成や、守るべき情報がある場所などといった情報を聞き取り、それに基づいて対応策を最適化させる。同社は「顧客と対話しながら提供するサービス」と表現する。

 攻撃を検知するために、大きく3つの情報を収集・活用する。1つ目はサンドボックスを利用したネットワーク分析情報。2つ目はクライアントパソコンやサーバーの挙動に関する情報。これを検知するために、独自ソフトウェア「Red Cloak」をパソコンやサーバーにインストールする。3つ目はプロキシやファイアウォール、VPNサーバーなどの機器が蓄積しているログ情報だ(図1)。

図1 ネットワーク分析情報、パソコンやサーバーの挙動に関する情報、各種機器のログ情報を収集して、セキュアワークスのエンジニアが攻撃の兆候を探す
拡大画像表示

 Red Cloakは同社が2011年に開発したソフトウェアで、レジストリやプロセス、メモリーなどの詳細な動きを監視する。ただ監視するだけでなく、攻撃者の典型的な振る舞いの情報を保持しており、当てはまる操作があったときは解析を担当するエンジニアに知らせる。また同社は膨大なログを効率良く解析する独自技術を保有しているという。

 これら3つの方向から寄せられる情報を、セキュアワークスのセキュリティエンジニアが解析し、標的型攻撃につながる兆候を突き止める。兆候を発見したら、攻撃に移る前に封じ込め、社内ネットワークから排除する。攻撃者が再びネットワークに侵入しないように対策を立てる企業には、セキュアワークスは対策を助言するとしている。

 サービスの提供価格はパソコンやサーバーが50〜100台の規模のネットワークで400万円から。

関連記事

SecureWorks、「人知」で標的型攻撃を封じ込めるサービスを国内で提供開始デル傘下のSecureWorks Japan(セキュアワークス)は2016年6月21日、標的型攻撃の兆候を検知し、攻撃を封じ込めて排除するサービスの提供を始めた。排除後の再侵入防止策の策定も支援する。攻撃の兆候を検知するのが、経験を積んだエンジニア、つまり人間であることが大きな特徴だ。

PAGE TOP