マクニカネットワークスが忘れない CrowdStrike 三つのエピソード
柳下氏は、CrowdStrikeの脅威インテリジェンスの特長として、「世界中の脅威動向について、攻撃の背景などについても詳しく解説されている点」を挙げる。これは、技術者と同数程度のIT以外の専門家がレポート作成に携わっているからこそ可能なことだ。
製品・サービス・業界動向
新製品・新サービス
PR
インテリジェンスの翻訳やインシデント対応支援まで
マクニカネットワークスは、セキュリティを中心に、クラウド・仮想化関連製品などを取り扱う技術商社として、独自のポジションを確立している。
「私が所属するセキュリティサービス室では、侵害調査サービスやインシデントレスポンスサービスなどを提供しています。取扱商材とお客様の間に立って、お客様の“ニッチ”なニーズに答えていくのがミッションです(柳下氏)」
たとえば、侵害調査では、セキュリティベンダーによる詳細なマルウェア解析レポートよりも迅速に、簡易的に判定を行い、マルウェアの目的や挙動を報告する。その分「価格を抑え、問い合わせ回数を数多くできるようサービスを設計している」のだという。
そのほかにも、簡易的なペンテストの実施や、社内ハッキングコンテストを開いてほしいといった要望が寄せられることもある。
「ハッキングコンテストについては、実務で使う検体解析やネットワーク解析のニーズに応える内容を心がけている」と柳下氏。たとえば、マルウェアの中には、暗号化されたマルウェアファイルをダウンロードして感染させる攻撃手口があるが、同社がコンテストで使うのは、実際のマルウェアと同じ暗号方法を用い、中身だけ差し替えた「実際に近い検体」だ。これにより「お客様自身が実務の中でマルウェア分析を行う力がついてきているかどうか確認できる効果が期待できる」と柳下氏は説明する。
柳下氏は、プログラマーからキャリアをスタートし、現在は侵害調査からマルウェア解析、CrowdStrike の脅威インテリジェンスからリリースされる英語のレポートやニュースを日本語に翻訳し、顧客に提供するサービスを担当している。
「CrowdStrikeには『OverWatch』(オーバーウォッチ)というプロアクティブな脅威ハンティングサービスがあります。エンドポイントのイベントを24時間、365日体制で監視し、深刻な脅威についてアラートを通知するサービスですが、アラートは英語ですので、お客様によっては説明が必要な場合があります。このような、製品の技術サポートを超えたインシデント対応支援を行うこともあります(柳下氏)」
顧客企業に導入した EDR(Endpoint Detection and Response)のログを調査したり、場合によってイベントログやネットワークログまで調べることもある。そして、侵入原因や経路まで徹底的に突き詰める必要がある場合は、CrowdStrike などのインシデントレスポンスサービスにエスカレーションすることも。
こうした活動を通じて柳下氏が得た脅威に関する知見は、ブログや外部のセミナー、カンファレンスなどに登壇し、共有する。マクニカネットワークス株式会社主催のプライベートセミナーや、台湾の名門セキュリティカンファレンス HITCON 登壇歴も持つ。
また、柳下氏は、CrowdStrike の脅威インテリジェンスの特長として、「世界中の脅威動向について、攻撃の背景などについても詳しく解説されている点」を挙げる。これは、技術者と同数程度の IT 以外(国際政治や弁護士、言語スペシャリスト等)の専門家がレポート作成に携わっているからこそ可能なことだ。
たとえば、ユニークな事例として、最近の中東情勢に絡んだサイバーリスクの解説がある。これによると、イタリアの石油会社がイランのサイバー攻撃グループから攻撃を受けているのだという。
この背景にあるのが、米国のトランプ政権が 2018 年 5 月、イランの核開発に関する「共同包括行動計画(JCPOA)」から離脱し、イランに対する経済制裁の再開を指示したことが挙げられる。イタリアも米国の経済制裁再開に関してイランとの関係を見直そうとしている動きがあることから、イランのサイバー攻撃の標的になったのではないかとの考察だ。
「日本企業も各国に拠点を展開し、ビジネスがグローバル化していく中で、地政学的リスクが自社のサイバーセキュリティにどのような影響を及ぼすか、日本のお客様に伝えていくことは重要だと考えている」と柳下氏は述べる。
CrowdStrike の本質を:3 つのエピソード
柳下氏は、「CrowdStrike Falcon Insight」についてこう語っている。CrowdStrikeのEDR製品である。
「初めてCrowdStrike Falcon Insightを知った時、エンドポイントに侵入した検体の振る舞いや通信などの挙動を見て、検知を行うというコンセプトに共感しました(柳下氏)」
サイバーセキュリティは多層防御の考え方が提唱されていたものの、実際にすり抜けるマルウェアの検体があるのは、ある意味「当たり前」のことだ。
しかし、柳下氏は、CrowdStrike のエンドポイント製品を最初に見たとき、その検知率の高さに驚いたという。「これは、製品をスクラッチから作っていることが要因として挙げられる」と柳下氏。そして、早くからクラウドコンピューティングを前提にプラットフォーム設計され、カーネルモードで動作するモジュールである事にも言及する。
「カーネルモードで動作させると、Windows が止まったり、ブルースクリーンになったりする影響が考えられますが、私が使った限りでは、CrowdStrike を動作させてブルースクリーンになったことは 1 度もありません(柳下氏)」
マクニカネットワークスが、CrowdStrike の日本における総代理店となったのが2013年。柳下氏はエンジニアとして、CrowdStrike ビジネスの立ち上げから関わり、当時、主力サービスの脅威インテリジェンスの重要性を日本に広めることに取り組んだ。
その後は、まだ β 版だったEDR 製品をラボで検証。実証用のマルウェア検体を作成し、性能を検証する取り組みを行った。柳下氏は、日本での CrowdStrike のビジネスを振り返ったときに、印象的な 3 つのエピソードがあると語る。
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
-
北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]
Microsoft Threat Analysis Center は、中国および北朝鮮の脅威アクターによる人工知能(AI)を活用した直近のサイバー活動を報告しています。いずれ中国や北朝鮮の脅威アクターは、中国製 AI を活用することでのサイバー活動にシフトし、「AI + セキュリティ」の活動は一般的になるとみられます。
-
Non State Actor 図鑑(4)世界 2 位は GDP だけではない ~ QAnon 帝国ドイツ
新しい暴力の形としてノン・ステート・ウォーが増えている。ハッキングやデジタル影響工作など新しい攻撃方法が幅広く用いられており、全領域での戦いとなっている。そして、戦闘の担い手の多くは民間企業である。日本も例外ではない。日本は軍事に関しては敏感だがそれ以外は寛容だ。
-
ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向
日本で監視カメラや CCTV と言えば、要監視施設等に設置してそれを録画して、何かあったら再生するという、インターネットもパソコン通信もなかった時代のスタンドアロン PC のような貧しい使い方しか想像力が及ばない。しかし中国や合衆国のような、治安維持のための人権制限を合法とする国では、街頭や交通機関、店舗、オフィスなど都市の至る所に設置した画像を XDR や SOC のように集積し、かなりドラスティックな解析を行う。