マンディアント社を買収しました

EnterpriseZine / 2014年5月9日 14時55分

インシデントレスポンスの自動化がトレンド

 ファイア・アイCTOの三輪です。このたび、当社はマンディアント社を買収し、マンディアントが提供していたサービスを日本でも販売し始めました。マンディアント社のサービスはインシデントレスポンスにフォーカスしたものなので、米国における先進的な取り組みを日本でも利用することができます。今回はそんな話題を絡めながら、インシデントレスポンスの自動化、効率化について書いてみようと思います。

■ インシデントレスポンスの自動化・効率化

 例えば、ファイア・アイのようなマルウェアの検知装置を導入した場合、課題となるのは、遠隔地で発見された端末の処置です。

 従来であれば、遠隔地で発見されたマルウェア感染が疑われる端末は、抜栓して電源を切った後、安全な輸送方法で本社に送り、本社で解析作業を行う、ということが一般的に行われているでしょう。

 これでは、同様のマルウェアが他の端末でも活動しているかもしれない、などの調査が遅れて、その間に大量のデータが外部に送信されてしまうかもしれません。マルウェア感染の対応の現場では、極端な話、分単位での切り分けと分析、対処が求められるのです。

 もし、日本に本社があって、東南アジアの拠点でマルウェア感染があった場合に、これまでのセンドバック方式では有効な対策は打てません。こうした遠隔地では、CSIRTなどが機能する本社と同じレベルの対応が出来ないのです。これは、国内であっても同じことが起き得ます。

 マルウェア感染で、初期段階に行わなければいけないインシデントレスポンスは、感染端末の隔離と、隔離した端末以外の端末への2次感染の有無の調査です。

 こうした対応を行うことがマンディアント製品を使うことによって可能になります。米国では、オフィスが飛行機を乗らないと行けないくらい離れていることが当たり前なので、こうした遠隔地のインシデント対応ができる製品が生まれたのでしょう。

 パソコンへのマルウェアの感染は、完全に防ぐことは難しいものです。利便性を犠牲にすることによって感染の確率を下げることが出来るが、多くの組織では、ユーザの声が強いために、マルウェアの感染は想定内にしていることも多いでしょう。

 例えば、USBメモリの利用や添付ファイルの利用など、マルウェアの感染の原因となるものでも、制限は難しいです。しかし、こうしたところからマルウェアは入り込んできてしまいます。また、海外拠点では、現地調達のパソコンが使われることも少なくありません。そうした場合にも簡単にマルウェアは入り込んで来ます。

  • 前のページ
    • 1
    • 2
  • 次のページ
EnterpriseZine

トピックスRSS

ランキング