無料トライアル

flowmon Progress

インシデント対応の自動化

2023年7月1日


日本では、セキュリティ人材の不足が以前から問題視されており、残念ながらその傾向は大きく改善されていません。特にFlowmonを利用している従業員数が3,000人以下の企業では、この問題が顕著であり、Flowmonの紹介時には「インシデントへの自動対応機能」などについてよく質問が寄せられます。 このコラムでは、本年5月にお会いしたProgress Softwareのテクノロジー担当副社長、Pavel Minarik氏のコメントも交えながら、Flowmonにおけるインシデントへの自動対応についてまとめられています。

現行のインシデント対応自動化の実装

Pavel Minarik氏: “Flowmonでは、セキュリティ管理者の介入を必要としない自動対応を実現するために、さまざまなシステム機器とのインテグレーションが可能です。 Firewall製品であるFortiGateやストレージシステム不正アクセス防御製品であるSupernaなど、多くの機器とのインテグレーションが既にサポートされています”。 製品のインテグレーションによる自動化は、Pavel Minark氏のコメントのように、すでに多くのものが対象となってています。 また、このほかにインシデントの自動対応では、個別のお客様の求めるユースケースを実現させるものが必要な場合があります。 Flowmonでは、RESTなどの汎用APIやセキュリティイベントに対してカスタムスクリプトの実行機能を備えており、これによってさまざまな機器へのアクションを定義することができます。そのため、幅広いお客様の要件に合わせたインシデント対応の自動化が実現可能です。

自動化実装事例

オリゾン社内で現在活用しているFlowmonを利用した仕組みが、個別のユースケースに適した典型的な例といえます。この仕組みでは、Flowmonが検知したイベントに応じて、該当するクライアントの所有者へ必要な対応を自動メールで案内する機能が提供されています。具体的には、Flowmonから得られたイベント情報(例えば、発信元IPなど)を利用して、そのユーザーの現在のメールアドレスを特定し、問題が発生してから迅速にメールやチャットで注意喚起を行うことで、オペレーションにおいて何が問題となったのかをユーザーが素早く認識できるようになっています。

例えばTORネットワークへのアクセスをFlowmonが検知すると、即座にエンドユーザーにはメールで「TORネットワークとの通信が検知されました。これがテストなど意図した操作によるものでなければ、マルウエア感染が疑われます。その場合は管理者に連絡してください」と注意喚起がなされます。 時間をおいてその問題を認識した場合、その要因となる操作の特定が困難になり得ますが、問題事象の発生直後に通知されることで、ユーザーはその要因となった可能性のある自身の操作をより特定しやすくなります。

これにより、エンドユーザーは自身の直近の操作が問題を引き起こしているかどうかを確認できるため、効果的な対応策となっています。この仕組みは、FlowmonのカスタムスクリプトやAPIを使用して実装されており、処理のメカニズムは汎用スクリプト言語で定義されています。そのため、一般のお客様でも広く利用できる典型的なモデルと言えます。

NDRに求められる優先事項

インシデント対応の自動化を検討する際には、要件の明確化やプロセスの評価など、さまざまな要素を考慮する必要があります。どのデータソースを使用するかや、業務要件に基づいてどのような対応が可能か(たとえば、遮断の可否など)など、ベンダーが製品機能として提供する仕組みをそのまま適用することは実際には難しいケースが多くみられます。このような背景から、セキュリティ製品において重要な機能として、リスク事象をより正確に捉える能力が求められると考えられます。

Pavel Minarik氏:”攻撃手法は日々進化し、テクノロジーの進歩によってプロトコルも更新されています。そのような状況の中で、最新の情報を取り込んでリスクのあるセキュリティイベントやエンドポイントを正確に特定することが、FlowmonといったNDR(Network Detection and Response)製品にとって最も重要な優先事項です”。 インシデントの正確な把握は、その後の処理の基盤となる前提条件です。そのため、イベントの検知の正確性が何よりも重要であることは明白です。

インシデントの正確な把握に向けた方向性

今後のFlowmonでは、検知手法の向上に加えて、エンドポイントに焦点を当てた脅威情報のスコアリング(リスクの高いイベントを引き起こしているエンドポイントの特定)や、IDS(Suricata)によって検出されたイベントの可視化など、インシデント対応の自動化に有益な機能の拡張について検討を進めています。これらの機能拡張は、将来のリリースで実装される予定です。

Pavel Minarik氏:”Flowmonは、現在も大学との共同研究を通じて、常に最新のテクノロジーを追求し、それを実装しています”。 ネットワーク環境は絶えず進化し続け、セキュリティ要件も同様に求められています。このような状況では、技術的な挑戦が連続的に存在します。Flowmonは、業界の最先端の攻撃検知性能を維持するために、継続的にリサーチへの投資を行っています。

終わりに

セキュリティインシデントの検知および自動対応には、さまざまな要素が関与するため、業務要件などを考慮する必要があります。そのため、FlowmonというNDR(Network Detection and Response)製品では、 求められる業界最先端の攻撃検知性能を追求し、今後の製品計画でその取り組みが検討されています。オリゾンシステムズとしては、業界トップクラスのNDRとして、今後もお客様にFlowmon製品をご提供し続けたいと考えています。


Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。

細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連コラム記事:


Flowmon製品に関する
お問い合わせはこちらからどうぞ
  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
お問い合わせフォーム