マルウェア感染、デジタルフォレンジック、セキュリティインシデント発生後の被害を最小化する海外の専門家サービスを紹介する

マルウェアEmotetの登場は、これまでの機械的な検知や人間の注意力による対策をより困難にし、インターネットのセキュリティリスクは激増したといわれている。しかし新しい生活様式によるワークスタイルの変化は、インターネットを社内外とのコミュニケーションはもとより自社システムリソースへアクセスする手段としてもより利活用を広めている。

しかしながら毎日のようにサイバー犯罪による情報漏洩事件が発生している。中小企業や特定法人を踏み台として利用した犯罪も多発しており、サイバー犯罪者はその取引先や個人に対してより巧妙に偽装された手法でマルウェアを送付し、攻撃の成功度を高めている。

サイバーセキュリティリスクの増大に対応する為に、ゲートウェイセキュリティソリューションやEDR (Endpoint Detection and Response)製品導入を検討・策定している企業も多いだろう。しかしセキュリティインシデント発生後の対応についてはどうだろうか。被害を最小化する為の体制は見直されているだろうか。

初動の遅れによる被害の拡大、復旧の長期化、そして不正アクセス経路や犯行手口の解明、被害範囲の特定の困難化など、セキュリティインシデント発生後のリスクも増大している。自社もマルウェアに感染し、サイバー犯罪のターゲットになることを前提とした事前・事後の対策はできているか。そしてそれをサポートする社外専門家は未知の攻撃と対峙できる先端のナレッジを有しているか、迅速に対応を開始して被害を最小化できるか、そして信用できる体制・組織なのか、あらためて見直して頂きたい。

セキュリティインシデント発生後の被害を最小化にする為の体制の見直し

ここでは海外の専門家によるDFIR （Digital Forensics & Incident Response）の有効性を紹介する。自社のインシデントレスポンス体制の見直しのご一考にして欲しい。

• 世界中で先端の脅威に対峙している海外の専門家集団

Singtelのセキュリティ部門Trustwave*には約2,000名が従事している。そのうち専門家集団であるSpiderLabs**に従事しているのは250名程度で、世界10か国に分散してネットワークソーシングしている。この250名は業界経験年数が平均12年を超える、世界中で先端の脅威に対峙し、新しいナレッジを発見し公表する活動に寄与できる世界トップレベルのエキスパートである。海外のナレッジを翻訳しながら入手しているレベルの人材はSpiderLabsのメンバーになるのは適わない。このSpiderLabs からDFIR （Digital Forensics & Incident Response）のサポートを受けることは未知の脅威による被害を最小化する為のより積極的なアプローチになるだろう。

*Trustwaveの評価
Trustwaveはサイバーセキュリティの分野で第三者機関からリーダーポジションとして評価されている。
https://www.trustwave.com/en-us/company/newsroom/news/trustwave-named-a-leader-in-two-idc-marketscapes-on-asia-pacific-cybersecurity/

**SpiderLabsの紹介
https://www.trustwave.com/ja-jp/company/about-us/spiderlabs/

• 世界中どこのサイトでも可能な限り対応

TrustwaveのDFIRは連絡があれば24時間365日世界中どこへでも契約企業のサイトをレスキューする。海外現法と国内現法でIR対応を分けるケースが多いと思われるが、TrustwaveのDFIRであれば海外と国外を含めた全サイトを包括した契約が可能になる。インシデント発生がどこであっても遅滞なく対応を開始できるのが、Trustwaveの強味だ。

• 英語でのサポート

サイバー空間では国際分業が当然であり、英語はもっとも使われている共通言語だ。英語を避けるほど即時性も失って初動や封じ込めが遅れ、被害の最小化からは遠のいてしまう。なぜなら自社で使用しているアプリケーションのプラットフォームやカーネルが米国発祥の製品であれば、そのサイバー攻撃には日本語によるランゲージバリアは有効で無いからだ。サイバー犯罪者の多くも海外からやってくる。彼らは英語に手間取る必要がない。

日本語によるサポートがプライマリーの場合でも、セカンダリーとして海外の専門家による英語のサポートを加えることで、より客観性と先進性を高めることができるのだ。

• 信用力

TrustwaveはAPACの中でも最高ランクの信用力を持つ企業Singtelのグループカンパニーである。Singtelは2015年4月に米Trustwave社を100%子会社におさめ、以後TrustwaveはSingelのセキュリティ部門として定着した。Singtel本体は1879年創業、現在は電気通信業界におけるASEAN最大の国際企業としてAPACエリアを中心に世界中へネットワーク＋セキュリティサービスの展開をしている。セキュリティインシデントはいつ起こるか分からない、その対応を委託する外部専門家サービスを提供する企業には高い信用力を求めたい。

• 内部統制

米国は内部統制に大変厳しく、不正排除の取り組み無しでは受託業務は成り立たない。Trustwave本社は米国にあり、米国公認会計士協会（AICPA）監査基準委員会が発行するSSAE18*に準拠しSOC1, 2, 3の報告書を提出している。

DFIRは自社の内部調査になるのだから、内部統制ができていることを第三者的に証明されている企業に所属する専門家に委託したい。

*SSAE18[旧SSAE16／SAS70]は日本の86号監査（SOC1）、IT7号（SOC2）及びIT2号（SOC3）。

• DFIRのパッケージ

1. Essential：緊急対応40時間
2. Standard：調査対応＋緊急対応80時間
3. Comprehensive：事前対応+調査対応＋緊急対応130時間

※費用はお問い合わせからご依頼ください。また予告なくパッケージの内容と金額は変更される場合があります。

【ご相談・お問い合わせ】

ご相談・お問い合わせは、Eメールにて件名に「DFIRの件」とご入力の上、、

s-stjmkt@singtel.com

までお問い合わせください。

■　インターネット上で自社他社の情報アセットがどのようなセキュリティリスクを抱えているか評価できるサービスに興味があればこちらもご参照頂きたい。

• 毎日900億＋のイベントをインターネット上で収集、リスク要因（指標）でフィルタリングし、企業のセキュリティを可視化。
• 侵入して診断する仕組みではない為、対象企業の準備や了解を必要とせず、幅広くモニタリングすることが可能。

Bitsight