Trustwaveはセキュリティ・モニタリングの重要性を訴えています。セキュリティ・モニタリングでは、数百〜数千台のデバイスからイベントを取り込み、侵害時のフォレンジック調査を可能にします。また、疑わしいイベントをエキスパートレベルで自動的に関連付けし、脅威の疑いを特定してエスカレーションします。セキュリティ侵害の検出と封じ込めを迅速化することを目指しているのです。また、「脅威相関分析」にも、攻撃を早い段階で見つけるのに役立つとして価値があるとされています。
セキュリティ・モニタリングの前提として、「ハッカーの侵入を阻止できる信頼性の高い方法は存在しない」というものがあります。セキュリティ侵害は必ず起きるという考えのもと、侵害が未検出のままになると、組織全体で1日あたり数千ドルまたは数百万ドルの損害が生じる可能性があるため、セキュリティ・モニタリングは重要視されているのです。
セキュリティの世界でも、「攻撃は最大の防御なり」という言葉があります。スレットハンティングがその例であると言えるでしょう。スレットハンティングは、「ユーザーがネットワーク内で動作している潜在的な敵に対する積極的な探索・識別・理解」と定義される用語です。マニュアルから始めて継続的に自動化し、検索をある程度制限し、分析領域を分割、また除外することで効率的に脅威を追跡します。
Trustwaveは、セキュリティ深化度を上げるためには、新しい技術の導入、その技術を使いこなすメンバーの確保、運用プロセスの標準化・ノウハウの蓄積が必要だとしています。そして、自社で対応が難しい場合、外部サービスを積極的に活用していくことが望ましいということです。
Trustwaveのセキュリティ&コンプライアンス・モニタリングサービスでは、クライアントのセキュリティログを収集し、それをTrustwave ASOCに暗号化して安全に送信することで、クラウド上のTrustwave SIEMシステムによる分析とスペシャリストによる分析を行います。SIEM製品の導入やSOCへの人員配達を行わなくても、セキュリティ・モニタリングがもたらす真のメリットを即座に低料金で手に入れることができるのが、このサービスの特徴です。また、ログ・モニタリングや脅威分析などの作業は全てTrustwaveに委ねることができ、SpiderLabsの研究に裏付けられた脅威インテリジェンスで極めて早期における検出と封じ込めが可能になります。クライアントに適したオンプレミス機器(SIEM)の導入も可能で、その場合は一部の作業をクライアントが担当することもあるそうです。
次回はこの続きから解説していきます。