マクニカネットワークスが忘れない CrowdStrike 三つのエピソード
柳下氏は、CrowdStrikeの脅威インテリジェンスの特長として、「世界中の脅威動向について、攻撃の背景などについても詳しく解説されている点」を挙げる。これは、技術者と同数程度のIT以外の専門家がレポート作成に携わっているからこそ可能なことだ。
製品・サービス・業界動向
新製品・新サービス
PR
インテリジェンスの翻訳やインシデント対応支援まで
マクニカネットワークスは、セキュリティを中心に、クラウド・仮想化関連製品などを取り扱う技術商社として、独自のポジションを確立している。
「私が所属するセキュリティサービス室では、侵害調査サービスやインシデントレスポンスサービスなどを提供しています。取扱商材とお客様の間に立って、お客様の“ニッチ”なニーズに答えていくのがミッションです(柳下氏)」
たとえば、侵害調査では、セキュリティベンダーによる詳細なマルウェア解析レポートよりも迅速に、簡易的に判定を行い、マルウェアの目的や挙動を報告する。その分「価格を抑え、問い合わせ回数を数多くできるようサービスを設計している」のだという。
そのほかにも、簡易的なペンテストの実施や、社内ハッキングコンテストを開いてほしいといった要望が寄せられることもある。
「ハッキングコンテストについては、実務で使う検体解析やネットワーク解析のニーズに応える内容を心がけている」と柳下氏。たとえば、マルウェアの中には、暗号化されたマルウェアファイルをダウンロードして感染させる攻撃手口があるが、同社がコンテストで使うのは、実際のマルウェアと同じ暗号方法を用い、中身だけ差し替えた「実際に近い検体」だ。これにより「お客様自身が実務の中でマルウェア分析を行う力がついてきているかどうか確認できる効果が期待できる」と柳下氏は説明する。
柳下氏は、プログラマーからキャリアをスタートし、現在は侵害調査からマルウェア解析、CrowdStrike の脅威インテリジェンスからリリースされる英語のレポートやニュースを日本語に翻訳し、顧客に提供するサービスを担当している。
「CrowdStrikeには『OverWatch』(オーバーウォッチ)というプロアクティブな脅威ハンティングサービスがあります。エンドポイントのイベントを24時間、365日体制で監視し、深刻な脅威についてアラートを通知するサービスですが、アラートは英語ですので、お客様によっては説明が必要な場合があります。このような、製品の技術サポートを超えたインシデント対応支援を行うこともあります(柳下氏)」
顧客企業に導入した EDR(Endpoint Detection and Response)のログを調査したり、場合によってイベントログやネットワークログまで調べることもある。そして、侵入原因や経路まで徹底的に突き詰める必要がある場合は、CrowdStrike などのインシデントレスポンスサービスにエスカレーションすることも。
こうした活動を通じて柳下氏が得た脅威に関する知見は、ブログや外部のセミナー、カンファレンスなどに登壇し、共有する。マクニカネットワークス株式会社主催のプライベートセミナーや、台湾の名門セキュリティカンファレンス HITCON 登壇歴も持つ。
また、柳下氏は、CrowdStrike の脅威インテリジェンスの特長として、「世界中の脅威動向について、攻撃の背景などについても詳しく解説されている点」を挙げる。これは、技術者と同数程度の IT 以外(国際政治や弁護士、言語スペシャリスト等)の専門家がレポート作成に携わっているからこそ可能なことだ。
たとえば、ユニークな事例として、最近の中東情勢に絡んだサイバーリスクの解説がある。これによると、イタリアの石油会社がイランのサイバー攻撃グループから攻撃を受けているのだという。
この背景にあるのが、米国のトランプ政権が 2018 年 5 月、イランの核開発に関する「共同包括行動計画(JCPOA)」から離脱し、イランに対する経済制裁の再開を指示したことが挙げられる。イタリアも米国の経済制裁再開に関してイランとの関係を見直そうとしている動きがあることから、イランのサイバー攻撃の標的になったのではないかとの考察だ。
「日本企業も各国に拠点を展開し、ビジネスがグローバル化していく中で、地政学的リスクが自社のサイバーセキュリティにどのような影響を及ぼすか、日本のお客様に伝えていくことは重要だと考えている」と柳下氏は述べる。
CrowdStrike の本質を:3 つのエピソード
柳下氏は、「CrowdStrike Falcon Insight」についてこう語っている。CrowdStrikeのEDR製品である。
「初めてCrowdStrike Falcon Insightを知った時、エンドポイントに侵入した検体の振る舞いや通信などの挙動を見て、検知を行うというコンセプトに共感しました(柳下氏)」
サイバーセキュリティは多層防御の考え方が提唱されていたものの、実際にすり抜けるマルウェアの検体があるのは、ある意味「当たり前」のことだ。
しかし、柳下氏は、CrowdStrike のエンドポイント製品を最初に見たとき、その検知率の高さに驚いたという。「これは、製品をスクラッチから作っていることが要因として挙げられる」と柳下氏。そして、早くからクラウドコンピューティングを前提にプラットフォーム設計され、カーネルモードで動作するモジュールである事にも言及する。
「カーネルモードで動作させると、Windows が止まったり、ブルースクリーンになったりする影響が考えられますが、私が使った限りでは、CrowdStrike を動作させてブルースクリーンになったことは 1 度もありません(柳下氏)」
マクニカネットワークスが、CrowdStrike の日本における総代理店となったのが2013年。柳下氏はエンジニアとして、CrowdStrike ビジネスの立ち上げから関わり、当時、主力サービスの脅威インテリジェンスの重要性を日本に広めることに取り組んだ。
その後は、まだ β 版だったEDR 製品をラボで検証。実証用のマルウェア検体を作成し、性能を検証する取り組みを行った。柳下氏は、日本での CrowdStrike のビジネスを振り返ったときに、印象的な 3 つのエピソードがあると語る。
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
-
OWASP データブリーチ
幸いなことに、これらの履歴書の情報はほとんどの場合少なくとも 10 年前のものだが、それでも個人情報が多く含まれていることには変わりない。
-
悪夢の検証 大英図書館ランサムウェア ~ 過ちが語る普遍的な物語
大英図書館には多くの個性がある。独特の複雑な役割分担があり、それは法律で独自に規制されている。別の見方をすれば、ITインフラストラクチャは古くから確立されたコアサービスとの間でリソースを奪い合い、しばしば失敗するという点で、国やその他の大規模な組織の典型である。大英図書館の状況も、うまくいかないことの壮大な例にすぎない。
-
AI アプリ標的 ゼロクリックワーム開発/北 韓国半導体企業へ攻撃/米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]
興味深い研究発表として、イスラエル工科大学やコーネル工科大学などの研究者は、OpenAI の ChatGPT や Google の Gemini など、生成 AI を活用する AI アプリケーションを標的としたゼロクリックワーム「Morris II」を開発し、ユーザーの個人情報の窃取に成功したことを発表しました。