以前はネットワーク系製品のイメージが強かった東京エレクトロン デバイス株式会社(TED)だが、ふと気がついたらすっかりサイバーセキュリティ製品の目利き企業になっていて驚いた。運用の知見も着実に蓄積しているようで TED が 20 名体制の SOC(セキュリティオペレーションセンター)を運用していることは今回の取材で初めて知った。
「Netskope」を最初に日本に紹介した頃を皮切りにして、現在同社は「SentinelOne」「Pentera」等々、個性の強い先端サイバーセキュリティ製品をいくつも取り扱い、国内に新風を送り込んでいる。
しかも単に販売や保守管理をするのではなく、スタートアップ段階から US 本社とコミュニケーションをとって日本市場にフィットさせるよう製品を育てたり、シリコンバレーに同社スタッフを常駐させ、リエゾンとして最新情報収集を行い、Magic Quadrant に新規に入った企業を訪問したり、将来有望なサイバーセキュリティの新興企業を積極的に探している。ここまでやっている/できている企業はおそらく国内にそう多くないだろう。
10 月に大阪・東京・名古屋で開催される総合セキュリティカンファレンス Security Days Fall 2024 でふたつの講演を行う同社に、その内容や見どころについて話を聞いた。
● 「特異点」は超えたか? SingularityXDR
東京エレクトロン デバイス株式会社 CNBU CN技術本部 セキュリティ&サービス技術部 第1グループ 小方 滋雪(おがた しゆき)氏の講演「進化し続けるセキュリティプラットフォーム
SentinelOne Singularity XDRを活用した脅威対策とは?」の「SentinelOne」とは、EDR 製品としてまず誕生した。
他の EDR 製品のようにクラウドへ指示を仰がず AI で自律的に駆動するため、対応スピードが競合より速い点などが評価されユーザーを増やした。アンチウイルスとシームレスに統合されている点も特徴で、EPP と EDR をこれひとつで兼ねる。SentinelOne は開発当初から検知に AI を用いていた。丁寧に AI 検知エンジンを育てあげ、検知率を向上させた。「MITRE Engenuity ATT&CK 評価」の攻撃シミュレーションテストでは検知で 100 % を獲得してもいる。攻めの姿勢を持つ尖った製品である。
小方氏の講演では、この SentinelOne の XDR 製品「SingularityXDR」が果たしてどんな機能や特徴を持つのか具体的に紹介される。
ニア・ズークによる最初の XDR の定義にあった「幅広い製品からのログ取り込み」「可視化向上」「対応自動化による運用負荷低減」の、三つめの「自動化」に関して、AI で自律駆動することを身上とする SentinelOne が、人力で行われていた作業部分をどう AI が代替してくれるのかに特に期待が高まる。「Singularity」と製品名にあるとおり「特異点」を超える実力なのかどうか是非会場で目撃して欲しい。
日本的な「SIer 丸投げ」ではなく、自社で SOC や CSIRT を構築しているような、デジタル技術やセキュリティのグリップをユーザー企業自身で持ちたいタイプの企業なら、本講演を聞いておいて損はないだろう。また、中小企業のセキュリティ管理者にも思わぬ発見や拾いものがあるかもしれない。ブースでは製品のパネル展示と製品のデモンストレーションが行われる。骨のある本誌読者なら、是非 SingularityXDR のブースを訪問して、目が覚めるような本質的質問を発して欲しい。
● 活用法の夢広がる 自動ペネトレーションテストツール「Pentera」
Pentera社 Japan Country Manager ミッチェル・ディバート氏による講演のタイトル「Penteraセキュリティ戦国絵巻 ~ CTEMの実装は検証から」にある「CTEM」とは「継続的脅威エクスポージャー管理(Continuous Threat Exposure Management)」の頭文字である。
いったい何をする製品なのか。ひらたく言えば「自動ペネトレーションテストツール」である。
自社で実施している対策が、いざという時に本当に機能するかどうかは実際に攻撃を受けてみなけりゃわからない。これはあたりまえ。しかし、1 回 500 万円も 800 万円もするペネトレーションテストはコスト的にそうそう実施できないしテスト範囲もごく限定的でしかも時間がかかる。これらの課題を解決するのが、2020 年から一次代理店として TED が独占的に取り扱う「Pentera(ペンテラ)」である。
2023 年に経済産業省から「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」が公開されてから Pentera への問い合わせが急増したという。
Pentera は外部から侵入を試みるモードと、内部に入られた後の横展開や権限昇格などを試すモード、大きくこの 2 軸で診断を行う。後者の内部に入られた後の侵入試験は、社内のネットワーク内に端末を設置し、そこに Pentera のソフトウェアをインストールし、その端末を起点に内部ネットワークに接続して、さまざまな攻撃アルゴリズムのもと「最適な」攻撃を実施する。外部からの侵入経路は組み合わせが無限に存在するから、まずは内部から診断を行って万全にしてから、次に外堀を固めていく方がより効率が良い。これが Pentera の提案するコンセプトである。
もともと年一などの頻度でペネトレーションテストを実施してきたが、その頻度を上げたい企業こそ Pentera 想定ユーザーの第一カテゴリである。毎日何度テストを実施しても料金は変わらないライセンス体系で、まさに継続的に(Continuous)にペンテストを行うことが可能。
他にもたとえば、SIEM の検知ルールが機能するかどうか調べたり、アンチウイルス等々の各種セキュリティ製品が想定通り駆動するか攻撃を実際に仕掛けて確認する、といった使い方もあるという。複数の脆弱性がある場合、Pentera を走らせた結果をみて、どのパッチを優先して適用するか決める、といった使い方をするユーザーもいるそうだ。いずれにせよ本誌 ScanNetSecurity 読者なら、何か思いもよらない便利な活用法を夢想してしまう製品である。
とはいえ上級者向けの製品とは思うなかれ。Pentera はシンプルで設定項目が限られており、必ずしも高いリテラシーは必要としない。ランサムウェアを使って攻撃を仕掛け、安全かどうか判断する機能も実装されているので、こうした機能をすぐにでも使うことができる。
かつてのような、保険やエビデンスとして年 1 回か 2 回、あるいは新サービスのローンチ直前にだけ診断やペネトレーションテストを実施していた時代と現在とでは、状況が大きく変わっている。継続的に被攻撃対象を監視していくニーズは、おそらく今後あたりまえになっていくだろう。
追加で書いておくと、Pentera と違って端末にエージェントをインストールする必要がある BAS(Breach and Attack Simulation)製品の情報収集をしている読者がいたらこの講演は聞いた方がいい。Pentera も展示会場のブースでデモを見ることができる。何ができて何ができないか是非ブースで確認してほしい。
(編集部註:講演タイトルに「Penteraセキュリティ戦国絵巻」とあるのは、日本語が超達者なミッチェル・ディバート氏による講演が、「SHOGUN」ならぬ「SAMURAI TALE」と題し、戦国時代の大名の城に Ninja が潜入するストーリーをたとえ話にしてプレゼンテーションが展開されるからとのこと)
10.22(火) 16:10-16:50 | RoomB
進化し続けるセキュリティプラットフォーム
SentinelOne Singularity XDRを活用した脅威対策とは?
東京エレクトロン デバイス株式会社
CNBU CN技術本部 セキュリティ&サービス技術部 第1グループ
小方 滋雪 氏
10.23(水) 14:30-15:10 | RoomB
Penteraセキュリティ戦国絵巻 ~CTEMの実装は検証から~
Pentera
Japan Country Manager
ミッチェル・ディバート氏
