概要

お客さまの課題

従前のグローバルSOCチームの活動に加え、各地域にもSOC担当を置き、更なるセキュリティ体制の強化を行うことが決定。日本ではインフラエンジニアがSOC担当を兼任するため、セキュリティの運用負荷を最小限に抑えつつ、SOC業務を実現する仕組みを求めていた。

解決策と効果

Apex One SaaSとDeep Discovery Inspectorから集めたアクティビティティデータをTrend Vison Oneに集約・相関分析して脅威を可視化。リスクの高い挙動の全体像を素早く把握できるため、最小限の工数でSOC業務を可能に。

林新樹氏

"SOC業務の実現においてXDRは不可欠でしたが、一方で、これまでインフラ業務に携わってきたメンバーがいきなりSOCレベルのセキュリティ運用を行うことは難しいと考えました。Trend Vision Oneは、同様の課題を抱える多くのお客様にメリットを感じていただけるものと思います。"

トレンドマイクロ株式会社 インフォメーションサービス本部
シニアセキュリティスペシャリスト 兼
インフォメーションテクノロジー部
サイバーディフェンス&インフラストラクチャーサービス課 課長
林 新樹

梅川博輝氏

"Workbenchに上がってくるアラートを見ると、どのようなことが起きているのか、何に対応すれば良いのかが一目でわかります。Trend Vision Oneがなければ苦戦していたと思われるSOC業務も楽にこなせています。"

トレンドマイクロ株式会社 インフォメーションサービス本部
インフォメーションテクノロジー部
サイバーディフェンス&インフラストラクチャーサービス課
シニアエンジニア

梅川 博輝

導入の背景

サイバーセキュリティのリーディングカンパニーとして30年以上の歴史を持つトレンドマイクロ。日々変化する脅威に対して、お客様環境のセキュリティ強化をご支援することはもちろん、自社環境についても高い意識を持って対応している。
そんな中、2021年には全社のセキュリティ管理体制の見直しに着手。従来は「InfoSec」というグローバルのSOCチームが世界各国に広がる拠点のSOC業務を一括で担っていた。しかし更なるセキュリティ強化のため、新たに各地域にもSOC業務を担当するサイバーディフェンスチームを設置することが決定した。
この決定について日本のサイバーディフェンスチームを率いる林新樹は、「InfoSecの活動により、これまでも各地域・拠点のセキュリティは守られてきました。しかし、近年はサイバー攻撃の多様化・巧妙化が進んでおり、国や地域に固有のリスクなども顕在化しています。各地域が自ら適切な対策を検討・実行し、InfoSecと相互補完関係になることで、さらに安全性を高められると考えています」と語る。

お客さまの課題

SOC担当チームを新設するにあたり、日本では既存のインフラチームでその役割を兼任することが決定。わずか5名で約800名分の業務用PCと、それらが接続する社内環境のSOC業務を担うことになった。
しかしトレンドマイクロの社員とはいえ、インフラチームのメンバーはあくまでもインフラ構築・運用のプロであり、SOCに特化したメンバーではなかった。これまでSOC業務を担ってきたInfoSecに相当する知見や運用ナレッジは一朝一夕に獲得できるものではない。さらにSOC業務が増えたからといって、元々の役割であるインフラ関連の業務もおざなりにはできない。たった5名で約800名の社員が利用する社内環境に対するSOC業務を実現するにはセキュリティに関する知見・運用に必要なリソースの両面で課題があった。

ソリューション

こうした社内環境に対するサイバー攻撃の検出・分析・対応強化のために日本のSOCチームが採用したのは、既存のセキュリティ製品を活用したXDR(Extended Detection and Response)のアプローチだ。SOC業務の対象となる社内環境では、既にDeep Discovery™ Inspector with XDR(以下、Deep Discovery Inspector)とTrend Micro Apex One™ SaaS with XDR(以下、Apex One SaaS)が稼働していた。Deep Discovery Inspectorはネットワークの入口で標的型攻撃やゼロデイ攻撃など不審な通信を検出し、Apex One SaaSはパターンマッチングや機械学習型検索による不正プログラム対策などの強力なEPPで業務用PCそのものを保護している。
これらの製品を、システム内の様々なリスクを可視化してXDRなどの機能を提供するTrend Vision One™(以下、Trend Vison One)と連携させることを決定。Trend Vision OneのXDR機能では、Deep Discovery InspectorやApex One SaaSなど、複数のレイヤーからアクティビティデータをTrend Vison Oneに集約・トレンドマイクロの知見をもとに相関分析することで、脅威の有無や影響範囲などを可視化。さらに必要に応じて調査や感染端末の隔離などの機能も提供する。なお、Deep Discovery InspectorとApex One SaaS with XDRはコンソール上で連携用の設定作業を実施するだけでTrend Vision OneのXDR機能を利用できる。

選定理由

Trend Vison Oneの活用にあたり魅力を感じたのは、XDRによる可視性と運用負荷の低さだった。「複数のセキュリティ製品のコンソールを確認し、運用担当者がログを1つ1つ確認することは非常に大変ですし、セキュリティに関する高度な知見も必要です。Trend Vision Oneは、アクティビティデータを集約、トレンドマイクロの知見をもとに自動的に相関分析を実施して、結果を1つの画面で表示してくれます。検証を通してTrend Vison Oneなら簡単に扱えると感じました」とSOC担当者のひとりである梅川博輝は振り返る。

導入効果

日本のSOCチームの発足から約2年、インフラ関連の業務を圧迫することなく、必要最低限の運用工数でSOC業務にも対応できている。
現在はSOC担当者が1日3回、Trend Vision Oneのコンソールを確認し、リスクの高い挙動の有無や影響範囲を確認している。「確認する画面は大きく2つです。1つはアクティビティデータからリスクのある挙動を検出する『Observed Attack Techniques』。もう1つはObserved Attack Techniquesの検出結果を相関分析し、リスクの高い挙動に対して優先順位をつけてアラートを挙げる『Workbench』です」(梅川)。
さらに、Workbenchのアラート詳細画面では、関連する複数のアクティビティデータを紐づけて一連の挙動として表示する。そのため、1つのアクティビティデータだけでは危険性を判別しにくいファイルダウンロードなどのアクションについても、誰が・いつ・どのような状況で実行したのかを一目で確認でき、事態の早期把握と素早い対応に繋がっているという。
トレンドマイクロではWorkbenchに挙がってきたアラートは、チャットツールで自動的にSOCチームのメンバーに共有される。「Workbenchにアラートが挙がった場合、WorkbenchやObserved Attack Techniques上での詳細確認に30分、アラート対象の作業を実施した社員へのヒアリングに1時間、報告などの事後対応を含めて全部で2時間程度の時間をかけて対応しています。Trend Vision Oneがないと、セキュリティ製品のログ確認や分析といった作業に膨大な時間を取られるため、現状のようなヒアリングまでの素早い対応は難しいと考えます」(梅川)。
なお、社員へのヒアリングを通して、問題ないと判断した挙動はホワイトリストとして検知対象から除外するチューニングも実施して、さらなる運用負荷軽減も実現している。

Trend Vision One Workbenchの画面例:
システム内に侵入した攻撃者の行動履歴

攻撃者が攻撃対象の端末に侵入(①)、システム内を探索、より高い権限を持つユーザ(②)でPsExecを悪用して他のマシンへの侵入を施行(③)している。

万が一、業務用PCが不正プログラムに感染した場合には、Trend Vision Oneから当該端末を論理隔離することもできる。しかし幸いなことにDeep Discovery Inspectorが脅威を早期検知し、Apex One SaaSが脅威をブロックしているため、そのような事態は発生していない。

今後の展望

Trend Vision OneのXDR機能の活用により、社内環境のセキュリティ強化と効率的なSOC業務を実現したトレンドマイクロ。Workbenchにアラートとして検出された挙動は、四半期に1度、経営層にも共有してセキュリティ体制の見直しに役立てている。
今後はXDRに取り込む情報を増やして相関分析を充実させ、セキュリティをさらに強化するため、クラウド型セキュアWebゲートウェイ「Trend Micro Web Security as a Service™」など、他のトレンドマイクロ製品もXDRに組み込んでいく考えだ。
さらにXDR以外のTrend Vision Oneの機能、例えば組織全体やアカウントごとのリスクを可視化する「Attack Surface Risk Management」やユーザアカウントやデバイスのリスクに基づいてクラウドアプリケーションやSaaSの利用を制御する「Zero Trust Secure Access」などを活用したセキュリティの強化も検討している。「当社がどのような体制でどういった対策を講じているのか、お客様から質問を受けるケースは少なくありません。見本になる対策を実践していくことも当社の務めと考えています」(林)。

  • 製品・サービスの導入効果は、ご利用企業・組織の方の声に基づくものであり、お客さまご利用状況により効果は異なります。
  • 記載内容は2023年7月現在のものです。内容は予告なく変更される場合があります。