「未知の領域を狙ったサイバー攻撃が発生している」と彼は語り、その「未知の領域」をさらに、「未把握」「未実施」「未取得」「未検出」の四つに腑分けして見せた。デジタルフォレンジックの専門家らしい几帳面さが今回のインタビューで伝わった。
東京駅南口から(信号が青なら)徒歩 30 秒の KITTE で 10 月に開催される Security Days Fall 2023 で、東京及び大阪で「被害事例に学ぶ、今のサイバーセキュリティ実態と進化した対策の肝とは?」と題した講演を行う、エムオーテックス株式会社 サイバーセキュリティ本部 エキスパート / エバンジェリスト 西井 晃(にしい あきら)氏に話を聞いた。
──さまざまなセキュリティ侵害のフォレンジック調査を多数経験されてきたと思いますが、インシデントに見舞われる組織にはどんな課題があると思いますか?
講演の中でお話しさせていただこうと思っているのですが、感染や被害がどこまで広がったのかを正確に把握できていないという事態が多いです。たとえば、ネットワークや端末のログが取れていないことなどが原因です。
「未把握」「未実施」「未取得」「未検出」の 四つの「未知の領域」があることで、被害が発生したり、被害が拡大していく傾向があります。
たとえば資産管理で把握しきれていない「未把握」の端末が感染するのは、把握されていないためにパッチ適用が「未実施」だからかもしれません。ログを「未取得」であれば、事故原因や被害範囲の分析は難しくなりますし、従来のアンチウイルスだけではモニタリングできない攻撃は、当然「未検出」つまり検知することができません。
──それらの未知の領域への対策としてエムオーテックスはどんな提案をしますか?
NIST(米国国立標準技術研究所)の Cyber Security Framework(CSF)の現行バージョンにある、「識別」「防御」「検知」「対応」「復旧」の各段階に応じて、IT資産や操作ログを把握する「LANSCOPE エンドポイントマネージャー」にはじまり、サプライチェーンを含めたリスク評価の「Panorays」、AI を活用した EPP/EDR「Cylance」 などによるエンドポイント対策、ネットワークを AI で監視する NDR「Darktrace」といったプロダクト・ソリューションを活用して、フレームワークの全領域をカバーする対策がエムオーテックスの提案です。
──講演の要旨には「過去のインシデントのフォレンジック調査等で判明した痕跡を元にセキュリティ課題の本質を紐解く」とあります。フォレンジックの現場を踏んだ経験を持つ西井さんならではの、生々しい分析なども語られるのでしょうか?
そうですね。生々しい話は会場におこしいただいた方だけに向けて口頭で説明させていただこうと思います。
──ありがとうございました
現役のデジタルフォレンジックの技術者が、こうした講演に登壇する例はあまり多くないと思う。しかも講演では、イニシャルアクセスブローカーから購入したクレデンシャルで VPN やリモートデスクトップを突破する手順や、パッカー等々の検出回避技術、「サイバー犯罪者の AK47」の異名を持つツール Mimikatz による認証情報窃取、さらにサプライチェーン攻撃の具体的事例などが挙げられ、さまざまな分析や知見が示される予定だ。本誌読者なら間違いなく必見の講演である。では本編は会場で。
Security Days Fall 2023 東京
10.17(火) 11:30-12:10 | RoomA
「被害事例に学ぶ、今のサイバーセキュリティ実態と進化した対策の肝とは?」
Security Days Fall 2023 大阪
10.26(木) 14:20-15:00 | RoomA
「被害事例に学ぶ、今のサイバーセキュリティ実態と進化した対策の肝とは?」
