従業員のPCを狙うランサムウェアや、サプライチェーン攻撃が流行しているが、その対策として根本的な原因を探り、異常の検出/調査を行い、大量のアラートに対処するというプロセスは困難を伴う。これらを改善する「2つの鍵」とは?
セキュリティ対策は常に攻撃者との“いたちごっこ”だ。従業員が社内にいることを前提とした境界型防御の観点でセキュリティ対策を強化してきた結果、対策の“弱点”となりやすい従業員のPC(エンドポイント)を狙うランサムウェアが流行している。
対策のためにEDR(Endpoint Detection & Response)の導入が進むものの、攻撃者は一つの攻撃でより高い報酬を得たいため、機密情報を扱い、セキュリティナレッジが低い組織への攻撃傾向が強いといえる。特にここ数年は企業の規模を問わず防衛産業や製造業、ソフトウェア業界が標的となっている。クラウド利用の拡大と併せて、不十分な設定を狙った攻撃も相次ぐなど、企業を取り巻くセキュリティの脅威は増大する一方だ。
サイバー攻撃が複雑化し、分散させた攻撃を仕掛けてくる中で、いかに迅速に兆候を検知し、対策できるかが重要となる。また、発見した不正な挙動の根本原因や他への影響まで調査しなければならない。
その中で注目されているのが、さまざまなログを収集、分析して脅威を検知するSIEM(Security Information and Event Management)と、その後の対処まで自動化するSOAR(Security Orchestration, Automation and Response)だ。
SIEMやSOARはどのように役立つのだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:Splunk Services Japan合同会社
アイティメディア営業企画/制作:アイティメディア編集局
Copyright © ITmedia, Inc. All Rights Reserved.