「セキュリティはチームスポーツ」CrowdStrike Services、Mark Goudie 氏インタビュー | ScanNetSecurity
2024.03.19(火)

「セキュリティはチームスポーツ」CrowdStrike Services、Mark Goudie 氏インタビュー

侵害につながるリスク要因を把握し、セキュリティ体制の成熟度を高め、インシデントによる影響を最小限に食い止める。CrowdStrike のインシデントレスポンスの現状や、その優位性についてガウディ氏に聞いた。

製品・サービス・業界動向 業界動向
PR
 サイバー攻撃はあらゆる企業にとっていまや身近な脅威だ。ほぼすべての企業がすでになんらかの被弾を受けているといっても過言ではない。

 「どんな侵害が起きているのかまず現状を把握してから組織の成熟度を上げることが重要」と述べるのが、CrowdStrike でアジア環太平洋地域担当サービスマネージャーを務める Mark Goudie(マーク・ガウディ)氏だ。

 ガウディ氏は、セキュリティ業界で 20 年以上のキャリアを持ち、特に、インシデントレスポンスとコンピューターフォレンジックのキャリアは 10 年以上に及ぶ。ハイテク犯罪を捜査する団体 HTCIA(High Technology Crime Investigation Association)オーストラリア支部での活動などを経て、現在は CrowdStrike APJ でフォレンジック対応チームを統括する。

 侵害につながるリスク要因を把握し、セキュリティ体制の成熟度を高め、インシデントによる影響を最小限に食い止める。CrowdStrike のインシデントレスポンスの現状や、その優位性についてガウディ氏に聞いた。


──ガウディさんはセキュリティのなかでも、とりわけフォレンジックとインシデントレスポンスを中心にキャリアを作ってこられましたね。

 組織のセキュリティを高めるためには、インシデントレスポンスがどれだけ機能しているかは極めて重要なことで、それはほとんどの企業においてインシデントが起きているからです。

 私がセキュリティにフォーカスを当ててきたのは「二回目の悲劇を起こさせない」こと、つまり次の侵入や事故の発生を防ぐためです。そしてこれは、「セキュリティ侵害をストップする」という CrowdStrike のミッションにも合致することでもあります。

──「次の侵入を防ぐ」という言葉は日本の感覚をだいぶ先行していると思います。日本では今もまだ「防御」に目がいっていると感じます。

 組織のセキュリティを高めるためには、まず最初に被害の現状を掴むことが大事です。たくさんの企業が攻撃されているのは間違いないのですから、まずその状況をしっかりと捉え、その次に自社のセキュリティレベルの成熟度を考えていくのが有効です。

 ちょうど今日の午前中も、侵害報告書をあるお客様に提出したばかりです。そのお客様は、とある防衛に関わる企業で、実際の侵害はなかったものの、将来の侵害につながるリスク要因をたくさん抱えていました。私は、インシデントが起きていないことはいいことだが、多くのリスクがあるので、排除する必要があると報告しました。リスクを放置すると、インシデントが起きたときに大きな影響を及ぼしますからね。

──インシデントレスポンスやフォレンジック、侵害調査の対応は通常、日本なら日本メンバーが対応します。しかし、「CrowdStrike Services」は、世界各地のレスポンスチームが結集して対応にあたるそうですね。

 そのとおりです。顧客が世界のどこにいても、CrowdStrike のテクノロジーによって、我々は世界各地からリモートで対応することが可能です。ひとつの事案をグローバルで対応することは我々にとって、とても重要なことです。攻撃の手口などの情報共有がグローバルで共有されることは、同様の手口での次の攻撃を起こさせないようにすることにつながりますからね。実際に、アジアパシフィック圏の顧客に対して、APJとヨーロッパとUSのチームが合同体制を組んで、サービスを連続的に提供している事例もあります。

──そういった合同体制を成功させる秘訣はなんですか?

 まず、インシデントが発生した地域で信頼され、ローカルのビジネス環境を熟知している人材、日本であればたとえば 裕一( CrowdStrike Japan株式会社 プリンシパルコンサルタント 鵜沢裕一氏 )のような人材をフロントに立てて、それを国際チームが支援していく体制になります。あたかも、オーケストラのように。

 フロントが指揮者となってタクトを振り、後方を支援するメンバーにはバイオリンやパーカッションなどそれぞれの領域の専門家がいて、みんなが一丸となって顧客に喜ばれるパフォーマンスを行います。そのためのコーディネーション、オーケストレーションを行うのがローカルのプロジェクトマネージャの役割になります。

──セキュリティ企業の活動をオーケストラに例えるのはあまり聞かないので新鮮です。

 オーケストラのほかに、我々はよく「セキュリティはチームスポーツ」という例えを使います。

──ある日本のプラットフォーマー企業のセキュリティ担当者氏が「セキュリティは総合格闘技」という言い方をするのを聞いたことがあります。チームやオーケストラを持つほど組織規模があるところは少なく、日本のセキュリティ担当者は孤独なのかもしれません。ところで、ガウディさんの仕事を支える CrowdStrike の技術基盤について教えてください。

 私がインシデントレスポンスの仕事に携わったのはもう 10 年以上も前のことで、業界でも、その頃からインシデントレスポンスの仕事を続けている人は、そう多くないと思います。今あるような複雑なケースのインシデントレスポンスを、現在確立されている技術や方法論無しにやろうとすれば、10 年前ならそれこそ 1 年も 2 年もかかったことでしょう。

 現在は、1 日に 10 万以上のインプットがあり、数秒のうちに検知することが求められています。これは CrowdStrike Falcon のプラットフォームがなければ到底実現できないことです。

── LinkedIn の経歴では、インシデントレスポンスやハイテク犯罪捜査など、いわば泥臭い現場にずっと携わってこられましたね。修羅場もたくさん見たのではないですか?

 確実にいえるのは「インシデントレスポンスはとても面白い仕事だ」ということかな(笑)。
インシデントレスポンスの仕事を続けていると、すべてに共通するものを見つける一方で、何か一つの技術革新で全てが変わってしまうようこともあります。

CrowdStrike アジア環太平洋地域担当サービスマネージャー Mark Goudie  氏
CrowdStrike アジア環太平洋地域担当サービスマネージャー Mark Goudie 氏

 たとえば、10 年前くらいに、ハードディスク上のデータが暗号化されるようになったころ、ディスクからではなく直接メモリからデータを盗む手口が出たときは「ワオ!」と思いました(笑)。攻撃者は状況に適合させてどんどん手口を変化させてくる。それに対してインシデントレスポンスも一変します。チャレンジングだが楽しい、やりがいのある仕事です。

── CrowdStrike の特徴のひとつに、中国なら「パンダ」、ロシアなら「ベア」、北朝鮮なら「千里馬」など、攻撃者に国家や民族にちなんだ名前をつけるところがあります。他のセキュリティベンダにないところです。この個性はどこから生まれるのですか?

CrowdStrike インテリジェンスチームが明らかにした攻撃者リスト(一部)
CrowdStrike インテリジェンスチームが明らかにした国別攻撃者リスト(一部)

 私たちは敵を知りたいと思っているのです。たとえば今年 2019 年はラグビーのワールドカップが日本で行われますが、キャプテンやコーチは当然、相手チームの情報を収集して分析すると思います。分析に基づいて相手の弱いところを攻撃して、相手の得意な攻撃をどう防御するかを考えます。私たちの仕事も同じなんです。どんなチームを相手に試合をしているのか、強いところ弱いところはどういうところなのか、それらの敵に関する情報を持たなければ、勝利をおさめることはできません。

──「セキュリティはチームスポーツ」という先ほどの言葉の意味が分かった気がします。最後に、日本の読者向けにメッセージをいただけますか?

 みなさんにとっての「敵」を知ることは非常に重要です。我々は日々、「敵が何者であるか」に注力して情報を伝えていますが、それよりも重要なのは「次に何が起こるか」ということ。情報を生かし、将来を推測することで、将来の脅威に早く対応できるように備えていくことが大事だと思っています。

──ありがとうございました。
《阿部 欽一》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×