セキュリティトランスフォーメーション - Dell EMC...セキュリティ＆リスクコンサルティングサービス 24時間365日常時セキュリティ監視・管理

セキュリティトランスフォーメーション

イノベーションの加速に不可欠なセキュリティの要点と今後の指針

Dell Customer Communication - Confidential

セキュリティとリスクを管理するための新しい考え方を採用する。新しいテクノロジーの迅速かつ安全な導入が可能になるため、

進歩とイノベーションを実現可能。

セキュリティトランスフォーメーション

© Copyright 2019 Dell Inc.


プロセステクノロジー人・経験＋＋

「セキュリティ対策」を構成する要素

予防・抑止検出・対応リスク


セキュリティ成熟度モデル

個別最適化体制

IT最適化体制

業務連携体制

耐障害体制


成熟度低成熟度高


皆様に質問：

皆様の「セキュリティ成熟度」はどの段階でしょうか？


セキュリティ成熟度モデル

個別最適化体制

IT最適化体制

業務連携体制

耐障害体制


成熟度低成熟度高


エンドポイント | データセンター | 開発者 | ID | セキュリティオペレーション | クラウド | 仮想化


Dell Customer Communication - Confidential© Copyright 2019 Dell Inc.


皆様に質問：

SecureWorks （11月より「セキュアワークス」）についてご存じですか？

Classification: //SecureWorks/Confidential - Limited External Distribution:Dell Customer Communication - Confidential

Secureworksセキュアワークスについて

Classification: //Secureworks/Confidential - Limited External Distribution:Dell Customer Communication - Confidential14

SecureWorksはグローバルレベルのサービスをご提供致します

SOC

• Additional Staff

Providence, RI

Edinburgh, Scotland

Atlanta, GA

Chicago, IL

Bangalore, India

Hyderabad, India

Bucharest, Romania

Guadalajara, Mexico

Kawasaki, Japan

Sydney, Australia

London, UK

Round Rock, TX

セキュリティ脅威をグローバル規模で可視化

20年+

情報セキュリティのサービスを提供

50か国＋

のお客様にサービスを提供

4,100社＋

セキュリティ監視を受けているお客様

2,400+

年間提供コンサルティングサービス件数

3,100億+

1日に処理する

SOCイベント数

20億+

脅威の指標Threat

Indicator

1,000+

昨年のセキュリティ

インシデント対応数

120社+

日本でのMSS実績件数

(2019年4月)

Frankfurt, Germany

Paris, France

Dubai, UAE

Classification: //Secureworks/Confidential - Limited External Distribution:Dell Customer Communication - Confidential

脅威インテリジェンスThreat Intelligence

マネージド・セキュリティ・サービスManaged Security Service

セキュリティ&リスク・コンサルティングSecurity & Risk Consulting

インシデント対応&管理Incident Response

マルウェア分析レポート

脅威＆脆弱性情報の提供

MS更新プログラムの分析

拡大中の脅威速報

攻撃者データベース

特定組織を標的とする脅威分析

サーバ群のセキュリティ監視

マネージドサンドボックスサービス

AMPD LastLine

EDRセキュリティ監視

マネージドIPS/IDSサービス

iSensor

クラウド環境セキュリティ監視

3rdパーティセキュリティデバイス

の監視

グローバルで収集したインテリジェンスを独自の研究機関で分析世界5か所のSOCで脅威インテリジェンスと独自プラットフォームを活用

脆弱性診断ペネトレーション

テスト

専門コンサルタントによるセキュリティ管理体制の強化

セキュリティリスクアセスメント

セキュリティポリシーガイドライン等の文書策定支援

全方位のコンプライアンス

対応

戦略的なセキュリティ教育サービス

Red Team Test(TLPT)

インシデント対応計画(CSIRP)策定支援

インシデント対応事前契約サービス

年間1000件を超えるIR対応実績

標的型攻撃脅威ハンティング

フォレンジック調査

インシデント対応机上演習

クラウド環境インシデント対応

SecureWorksのサービスラインアップ


世界に展開するSecureworks ベンダーニュートラルのアドバンテージ

16

EndpointSecurity

Proxy/Cloud Proxy

Web Application

Firewall

Counter ThreatPlatform

Firewall/Next-generation

Firewall

Cloud/SIEM /Other

IPS/IDS/Sand Box

Active Directory

これら以外のデバイスまたはベンダーもサービス対応が可能な場合があります。


2018年11月29日

Purple Team

テスト

2018年7月5日

MDR ソリューション2017年4月11日

脅威インテリジェンス

2016年6月21日

標的型攻撃ハンティング

日本において、常に一歩先を切り拓くサービスを市場に投入

17

2015年11月11日

Red Team テスト

• Secureworksでなければ、実現できないサービス（独自IP、インテリジェンス網、人）

• 日本品質のサービスを世界規模の能力で提供

• 最新の脅威動向に対応するサービスを、タイムリーに市場投入


A Leader in the Gartner “Magic Quadrant for Managed Security Services, Worldwide” (2 May 2019)

This graphic was published by Gartner, Inc. as part of a larger research document and should be evaluated in

the context of the entire document. The Gartner document is available upon request from Secureworks at

https://www.secureworks.com/resources/rp-gartner-magic-quadrant-worldwide.

Gartner does not endorse any vendor, product or service depicted in its research publications, and does not

advise technology users to select only those vendors with the highest ratings or other designation. Gartner

research publications consist of the opinions of Gartner’s research organization and should not be construed

as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research,

including any warranties of merchantability or fitness for a particular purpose.

“Managed security services is a market that is

diversifying to meet the demands of a wide range

of buyers. Security and risk management leaders

should identify providers best aligned to their

requirements, security maturity, and

organization’s vertical, size, and geographic

footprint.”Gartner Magic Quadrant for Managed Security Services, Worldwide, Toby Bussa, Kelly Kavanagh, Sid Deshpande, Pete Shoard, 2 May 2019


セキュリティトランスフォーメーションが必要な理由



「デジタルの未来に向けてビジネスの体制を整えようとする CIOにとって、

社員の業務目的をIT重視からビジネス重視に変革することは

重要なステップです。」*

*出典：Gartner『2018 CIO Agenda: CIOs in Midsize Enterprises Must Exploit AI and Data

Monetization to Grow their Business, Daniel Rotigel and Alan Duncan』（2018年3月9日）



時代遅れのセキュリティ対策はイノベーションの障害である


日常的なセキュリティタスクの実施で手一杯ではセキュリティスキルの向上には取り組めず間違いなくイノベーションを実施できない


「1週間に1回または1日に1回のパッチ適用、あるいは1日に1回のリブートを実施するとして、

自動化を使用して実施しない場合を想定すると、

数千人の人員が確実に必要になり、そこから人為的ミスが発生することになります」

-Lance Rochelle

プロダクトマネージャー

Wells Fargo© Copyright 2019 Dell Inc.


ビジネスで使用されるテクノロジーについて言えることは、

第１のルールは、

「効率的なオペレーションに自動化を適用すると効率が高まる」

ということ。

第2に、

「非効率なオペレーションに自動化を適用すると、非効率性が増大」

するということです。

ビル・ゲイツ

さらに拡大する領域のセキュリティ対策の効率化・自動化


つまり、テクノロジーだけではオートメーションは成功しない



従来のセキュリティ

境界を意識した問題解決

新聞の一面に掲載されることへの懸念

「見たくない」の企業風土



現在のセキュリティ

アプリケーションの脆弱性が88%増加

上位Dockerイメージには、少なくとも30個の脆弱性

が内在

リスクにさらされているAmazon S3バケット



テクノロジーは組織の風土を抜本的に変えることが可能


アジャイル開発、人工知能、クラウドネイティブアプリケーション


セキュリティトランスフォーメーションは考え方の変革


「セキュリティ」がビジネスを実現可能にする


「以前は、非常に優れた境界ファイアウォールセキュリティでオンプレミスのデータを保護できましたが、データと社員が分散した時代では、もはやうまく機能していません」

-Paul Brimacombeエンタープライズアーキテクチャ責任者

McLaren Technology Group



物理ファイアウォール

分散ファイアウォール

ハイパーバイザーにサービスとして組み込まれた

ファイアウォール


VMware NSXによるセキュリティのイノベーション


可視化を拡大し、より深く = MDR:マネージド・ディテクション＆レスポンス

セキュリティ＆リスクコンサルティングサービス

24時間365日常時セキュリティ監視・管理マネージド

セキュリティサービス

セキュリティ上の脅威情報提供サービス

インシデント管理対応サービス

GRC/SRC MSS

TI(Threat Intelligence)

IMR

クラウドに拡大

クラウド向けセキュリティ戦略＆計画策定

クラウド向け脆弱性診断

AWS, Azure, O365仮想ファイアウォール監視

仮想WAF監視Elastic Server Groups監視Secure Web Gateway 監視

パブリッククラウド環境における緊急

インシデント対応サービス

エンドポイントに拡大

AETD Red Cloak(エンドポイントセキュリティ監視)CrowdStrike等エンドポイント

3rd Party製品の監視

Target ThreatHunting

標的型攻撃ハンティングサービス

Red Team Testingシナリオベースペネトレーション

オンプレミス

システム・ネットワーク


メガクラウドプロバイダーが自社サービスのセキュリティ機能提供さらに、コンテナ/Serverlessでゲームが変わる

FW機能付けた

WAF機能強化した

ログ監視強化した

脆弱性診断強化した

構成監査強化した

イマココ

脅威分析基盤

提供するマルウェア

IPS実装検討

でも５年後はShift & Lift じゃなくてCloud Nativeに


５年後に向けたセキュリティ対策とは

•ゼロトラスト環境の３要件を今から準備する１．アクセス管理２．端末管理３．ログ管理

•動的なリソースとしてログを吐かないアプリ毎の保護• Secure by Design へシフトレフト•ようやく DevSecOps が勝利する時代がくるのか？•分散ファイアウォール

•Kubernetes とかオーケストレーションと付き合う


セキュリティを再考してイノベーションを加速



リスクを受容する計画、可視性、およびインサイトにDell Technologiesを活用することで、デジタルリスクとセキュリティのニーズに効果的に対応可能



セキュリティをシンプルにするインフラストラクチャおよび運用全体にわたる専門知識、および固有のセキュリティ機能を提供するDell Technologiesとの連携により、複雑さと摩擦を軽減



社員とお客様を支援するセキュリティのソリューションおよび機能を導入することで、社員とお客様にデジタルビジネスを推進し、新しいテクノロジーを活用する自由を提供



デジタルトランスフォーメーションによる変化と課題• 2025年の壁を「飛び越える」ためには

すべてにおいて「迅速な対応」がビジネスの成長要素となる• コンシューマー起点の流行やニーズに対応した迅速な商材提供

• お客様＆社内対応、有事対応

IT 部門の役割は、ビジネスにおいて、さらに重要となる

セキュリティ部門に求められるのは

①迅速な対応、変化・利便性に対するリスクのコントロール

②さらに拡大する領域のセキュリティ対策の効率化・自動化

③場当たり的対処から、By デザイン（設計時から）へシフト


デジタルトランスフォーメーションに求められるセキュリティ部門の役割

「見える化」

＝可視化して適切に対応を行う

IT部門の役割は、会社経営において、さらに重要となる


可視化の例• 可視化＝「見えないものが見えるようになった状態」例）ハザードマップ


見える化の例• 見える化＝「見たくない事象を強制的に見せ、適切なアクションが起こせる状態」

© Copyright 2019 Dell Inc.42Dell Customer Communication - Confidential

日本において最も困難なのは

「正常性バイアス」との闘い

正常性バイアス＝• 正常への偏向「ウチは大丈夫」、• 「これは正常の範囲内だ」と思い込む」• 見たくないモノに注意を向けない


セキュリティ部門が実現すべきことは「DX時代のIT環境で発生する攻撃」に的確に対応するために

43

見る対象の拡大

見る深さ明確さ

見た事に適切な対処

セキュリティ対策の「見える化」の実現

IT部門の役割は、会社経営において、さらに重要となる


可視化できない原因原因その１

アラート過多、誤検知

•判定すべきことが多すぎて、結局見れていない

•判定基準がバラバラなので、判定漏れがおきる

44

脅威判定を自動的に行うプロセスを導入する

Secureworks マネージド・セキュリティ・サービスで解決

Classification: //Secureworks/Confidential - Limited External Distribution:© SecureWorks, Inc.Dell Customer Communication - Confidential

セキュリティ・オペレーションの役割

一般的なIT環境のセキュリティ管理の仕事内容

意思決定

脅威判定調査対応


Secureworks CTP（脅威解析基盤）の機械学習活用２つの目標に向かって開発された

１．ノイズを排除し、正解を導き出す

２．未知の脅威を予見する

• 数十万デバイス、百万以上のエンドポイントからの情報収集• ソースが増加すれば正解率が飛躍的に向上する• ベイズ推計による統計的アプローチ

• 20年間蓄積した脅威情報による、教師あり学習• 135以上のサイバー攻撃集団の行動を常に追跡


47

人が総合的に判断

ネットワークエンドポイントクラウドデータセンター SIEM

自

動

処

理

人

が

判

定

検知漏れイベントのAI分析相関分析による深刻度設定

アナリストによる詳細調査アナリストによる再判定

1日当たり数千億件のサイバーイベント

脅

威

判

定

基

盤

C

T

P

高度な相関分析により

数千件に絞り込み

インシデント疑わしい

イベント

確実に対応が必要なインシデントに絞り込んで通知

独自の

サイバー脅威

インテリジェンス

日々の

セキュリティ

運用ノウハウ

対応検出予見予防



現状のCTPテクノロジによるMSSをご利用いただいたお客様の仕事内容

意思決定



可視化できない原因

49

原因その２

テクノロジーで検知できない攻撃

• セキュリティ対策機器、ソリューションを回避する攻撃の増加

アラートを待たずに、能動的に脅威をハンティングするプロセスを導入する

Secureworks 標的型攻撃ハンティング・サービスで解決


日本を狙うサイバー攻撃グループ : BRONZE BUTLER

～高度な標的型攻撃が明確に日本を狙う現状～


BRONZE BUTLERの攻撃活動概要• 活動は2008年ごろすでに始まっており、日本では2016年ごろから実態が明らかになり始めた（2017年現在も攻撃活動は継続中）

• 実際に2010年ごろから侵入され続けている被害企業も確認

• 攻撃の主な目的は「企業の知的財産情報の摂取」

• 攻撃対象は日本企業であり、業界の種別問わず、有益とみられる知的財産や情報を保有している組織が狙われている

• 一旦標的にされると侵入が執拗に繰り返されて、長期間搾取される

• BRONZE BUTLERの攻撃は年々進化しており、侵入手口や攻撃に使われるマルウェアなどが変化しており、実行ファイルや証跡をほとんど削除するため、従来の検知（監視）・セキュリティ対策・フォレンジック調査などが困難

• 日本の国産製品資産管理ソフト（SKYSEA Client View）の脆弱性も悪用しており、被害は拡大している


BRONZE BUTLERに標的として狙われた場合

• 攻撃に全く気付かない

• 何年も組織内に潜伏

• 継続的に情報を抜かれる


ハンティングとは

積極的に且つ定期的にシステム内のセキュリティ製品を回避している脅威を探す及び根絶するプロセス

by Wikipedia


解説：

• 「積極的に」：アラートを待たない

• 「定期的に」：インシデント対応のひとつのプロセス

• 「セキュリティ製品を回避」：高度な脅威、人の判断が必要

• 「脅威を探す及び根絶する」：異常を区別できる、システムの理解が必要

• 「プロセス」：製品じゃありません

ハンティングとは


一般的なセキュリティ監視 vs ハンティング

一般的なセキュリティ監視ハンティング

実施期間 24時間 365日定期的に

対象データ FW、Proxy、AV、IPS、EDR、WAF、AMP 等

OS、ネットワーク、エンドポイントデータ全部

主に使用されているIoC ハッシュ値、IP、ドメイン、URL TTP, ツール, 攻撃手法、OSアーティファクト

環境及びビジネスに対する理解度

小 - 中高

検知・監視目的一般的なマルウエア、Web攻撃等標的型攻撃、高度な攻撃、未検出マルウエア

対応のきっかけアラートアラートを待たずに、積極的に実施

振り返り調査なしあり


• 「○○があるから大丈夫！」 = 製品依存 = 侵入しやすい環境

• 標的型攻撃グループは、標的組織が使用しているセキュリティ製品を回避できるよう準備している

• 製品導入後の課題が多数ある

• トラブルが起きたら一部の機能を無効にしてしまう

• デフォルト設定のまま使用しているケースも多い

• 使いこなすにはフォレンジック・OSの深い知識が必要

• 結果として、導入したが運用出来ていない状況に

1. 製品は完璧じゃない


• 標的型攻撃では正規ツールが使われるように

• PowerShell, RDP, PsExec等

• ファイルレスマルウエア

• 端末の管理者権限をユーザーに与える組織がまだまだ多く、マルウェアに感染した際にセキュリティ製品が無効化されてしまう

• マルウェアの通信の多くは暗号化されている

• 通信を復号しなければ検知できず、ログの情報が不足するなどの問題も

• ブラックリストでは高度な攻撃を防げない

2. 攻撃者の行動は検知しづらくなっている


ハンティング手法、アプローチ• 広範囲、かつ詳細な分析を実施

58

弊社分析官侵害されたホスト

TIMSArchive

CASE

CTUテクノロジー

ネットワーク通信分析

Network Sensor

Lastline Portal

API

- Flow- IDS- PCAP

高度なログ分析

各機器のログ

LAF

- Proxy- Firewall- DNS- Remote

Access- Webmail

エンドポイント分析

Red Cloak Agent

Red Cloak

API

- Kernel- Process- Memory- Registry- File- Users


インシデントの事前/事後でのリテーナーサービスの活用



現状のCTPテクノロジによるMSS＋インシデント対応をご利用いただいたお客様の仕事内容

意思決定



セキュリティをビジネスのスピードで実現



車はブレーキを備えているためスピードを出せます


ブレーキがなければ、ゆっくりと走るしかありません


Dell Technologiesはあなたの信頼できるパートナー



Dell 自身のセキュリティトランスフォーメーション過程

セキュリティの役割を再考

自社の能力を評価

ビジネスニーズを理解

ビジネスと連携



セキュリティをビジネス戦略の重要な要素にする




「セキュリティ対策」を構成する要素

予防・抑止検出・対応リスク


セキュリティを変革し、イノベーションを加速



アクセスDell Technologiesのセキュリティトランスフォーメーション

サイト：

www.delltechnologies.com/ja-

jp/what-we-do/

security-transformation.htm

活用ビジネスリスクの管理方法を理解するためのサービス、教育、および専門知識

お問い合わせ先

セキュリティをビジネス目標に結びつける方法を理解し、固有のセキュリティを得るため

のセールスチーム




学びと課題

実戦経験の無い組織は、

本番には極めて弱い

70


技術（テクノロジーとプロセス）はトレーニングが容易だが、

人の心・意識のトレーニングは極めて難しい

しかし、攻撃者は「人の心（特に善意）」を狙っている

うがい、手洗いのように利用者の衛生「サイバー衛生」の醸成が急務


成熟度アップが求められる理由（生の声）

プロセスも構築して定期訓練を行っているものの、実際にセキュリティインシデントが発生すると・・・

72

•有事の際、訓練と違い実際には思うように動けなかった・・・

•意思決定者がビジネスクリティカルな判断に困る・遅れる

Process（プロセス） • 「不正な」「重要な」「適切に」ってどう解釈するんだっけ？

• 「調査する」「確認する」っていざどうやるか分からない・・・

•○○のログが記録されていなかった、保持されていなかった

•セキュリティ機能が無効になってた、設定が甘かった・・・

Technology（技術）

01011011

10110010

01011101

People（人）


実戦的な訓練での経験値はプライスレス

73

避難防災訓練も重要。でも有事の際は「想定外」のことが度々発生するもの。

すごい速さで火が燃えうつ

る

水かけてるけど

火が消えない

煙で苦しい視界が悪い

壁が崩れた柱が倒れた

熱い

機材が重い


対策の実効性や有効性をちゃんと評価することも重要

74

セキュリティソリューションの実装だけでなく、組織・人、プロセスの観点から評価する必要がある


インシデント対応の総合力向上にむけた取り組み

75

仮想的な総合評価

• サイバーリスク管理のフレームワークに基づいた総合的なアセスメント

• 最も広域かつ網羅的な評価

仮想的な訓練・トレーニング

• 現実的なシナリオに基づいたインシデント発生のシミュレートや、検知および対応方法の検証

インシデント対応文書・手順の整備

• 各種インシデント種別に応じた初期対応・封じ込め・解析などの手順

インシデント対応プロセスの整備

• 対応フロー• 体制と役割• インシデントの

深刻度判定基準• コミュニケーション

プラン

弊社関連ソリューション

取り組み

実戦的な演習および評価

• 実戦的な形式での組織の危機対応力の総合評価

• CSIRT（Blueチーム）の評価と教育に重点

実戦的な演習および評価

• サイバー攻撃や脅威を想定したリアルなシミュレーション

• 未知のリスクを洗い出し、低減

インシデント管理リテーナー（IMR）

インシデント対応計画（CSIRP）策定支援

インシデント対応手順

（Playbook）策定支援

机上訓練

First Responderトレーニング

サイバーセキュリティリスク

アセスメント

Purple

Team

Red

Team

事前準備評価

仮想的訓練および教育実戦的演習および教育

「準備」「訓練と教育」「評価」を体系的に行うことが重要


Red Teamによるゴール達成実績：１００％攻撃を達成

目的はお客様のサイバー攻撃への耐性評価、Goal達成はそのための手段

76

Physical AccessPiggy Backing

Dropbox without DHCP

MAC Address Spoofing HTTP Session Cloning

ID Card Cloning

Offline Mimikatz

ARP Spoofing

HTTPS MITM

DNS based RATDNS Exfiltration

Responder / Inveigh

UAC Zero Day Bypass

Remote Desktop over Reverse SSH over HTTP through Proxy

Zero Day Exploit

• 二要素認証の突破

• 数万件の個人情報を取得

• 1,000台以上のサーバを掌握

• ドメイン管理者権限の取得

• ワンタイムパスワードの突破

• 製品のソースコードを取得

• 立ち入り禁止エリアへの侵入


セキュリティを変革し、イノベーションを加速



アクセスDell Technologiesのセキュリティトランスフォーメーション

サイト：

www.delltechnologies.com/ja-

jp/what-we-do/

security-transformation.htm

活用ビジネスリスクの管理方法を理解するためのサービス、教育、および専門知識

お問い合わせ先

セキュリティをビジネス目標に結びつける方法を理解し、固有のセキュリティを得るため

のセールスチーム



Documents

セキュリティ トランスフォーメーション - Dell EMC...セキュリティ＆リスク コンサルティングサービス 24時間365日常時セキュリティ 監視・管理

セキュリティトランスフォーメーション - Dell EMC...セキュリティ＆リスクコンサルティングサービス 24時間365日常時セキュリティ監視・管理