マイクロソフトの Cyber Defense Operations Center がベスト プラクティスを共有
2017 年 1 月 17 日 - Microsoft Secure Blog スタッフ - マイクロソフト
執筆者: Kristina Laidler (サイバー セキュリティ サービスおよびエンジニアリング、セキュリティ プリンシパル)
このポストは「Microsoft’s Cyber Defense Operations Center shares best practices」の翻訳です。
毎週のように、世界のどこかでサイバーセキュリティ侵害が新たに発覚しています。2016 年だけでも、いくつかの有名な攻撃により世界中で 30 億件の顧客データ レコードが侵害を受けました。サイバーセキュリティの課題の現状を見ると、攻撃の種類は同じであっても、それぞれの攻撃の巧妙さと範囲は拡大、進化を続けていることがわかります。サイバー敵対者は、セキュリティの最新動向に基づいて戦術と標的を変えているのです。たとえば、オペレーティング システムのセキュリティが向上すると、ハッカーは対象を資格情報の侵害に戻すといった具合です。Microsoft Windows のセキュリティは絶えず向上しているため、ハッカーは他のシステムやサード パーティ アプリケーションを攻撃するようになっています。
インターネットとモノのインターネット (IoT) の両方の拡大を受けて接続デバイスが増加していますが、そうしたデバイスの多くは安全ではなく、より大規模な分散型サービス拒否 (DDoS) 攻撃の踏み台になっています。インターネットに接続された組み込みデバイスは、実装が安全でないため日常的にハッキングされてサイバー攻撃に使用されています。数百万通の悪意のあるスパム メールを送信するために、スマート テレビ、さらには冷蔵庫までもが使用されたことがあります。ビットコインのマイニングにはプリンターとセットトップ ボックスが使用されました。サイバー犯罪者は DDoS 攻撃を実行するために CCTV カメラ (一般的な IoT デバイス) を標的にしたこともあります。
マイクロソフトは進化する脅威の動向を独自の方法で視覚化しています。これは、世界中の 200 以上のクラウド サービス、100 以上のデータセンター、数百万台のデバイス、および十億以上のお客様で構成されるハイパースケール クラウドの展開と、安全な開発、保護、検出、および対応の各機能を専門とするセキュリティ専門家への投資によるものです。攻撃軽減の取り組みの一環として、マイクロソフトは、DDoS 攻撃への迅速な対応を実現する自動化プラットフォームを Microsoft Azure の一部として開発しました。マイクロソフトのソフトウェアによるネットワーク上では、サービスや企業環境が攻撃にさらされていても、データ プレーンをアップグレードして、ネットワーク トラフィックに事前に対応できます。マイクロソフトの DDoS 対策プラットフォームは、トラフィックをリアルタイムで分析し、検出から 90 秒以内に攻撃に対応して軽減する機能を備えています。
Microsoft Cyber Defense Operations Center はサイバー脅威に対する防御のために 24 時間 365 日稼働
2015 年 11 月、マイクロソフトはサイバー攻撃者に対抗するために Cyber Defense Operations Center (CDOC) を開設し、そのサイバーセキュリティ スペシャリストとデータ サイエンティストを 24 時間 365 日体制の施設に集結させました。
- 意識向上トレーニング。 ユーザーとセキュリティ チームの信頼関係を育み、ユーザーが結果に対して不安を持つことなく問題や異常を報告できる環境を構築します。
一連の優れた制御と多層防御戦略を導入すると、万が一 1 つの領域が機能しなくなっても、他の領域にそれを補完する制御が存在するため、お客様のセキュリティとプライバシー、クラウド サービス、およびマイクロソフトのインフラストラクチャ環境を維持できます。マイクロソフトは、「侵害を前提とする」体制で業務に当たっています。つまり、自社に導入されている防御保護策を信頼しつつも、敵対者はセキュリティ境界の突破方法を発見できるし、いずれ必ず発見するということを前提としています。したがって、敵対者を速やかに検出してネットワークから排除することが重要になります。
マイクロソフトの検出戦略の内容は次のとおりです。
- ネットワークと物理環境の監視。 潜在的なサイバーセキュリティ イベントが発生していないか、24 時間 365 日監視します。行動プロファイリング、使用パターン、およびマイクロソフトのサービスに対する固有の脅威の知見に基づいて行います。
- ID および行動分析。これを発展させて、異常なアクティビティを判別しやすくします。
- 機械学習。機械学習ソフトウェア ツールと機械学習手法を日常的に使用し、異常を検出してフラグを設定します。
- 高度な分析ツールとプロセス。これらを展開して、異常なアクティビティの特定を促進し、革新的な相関機能を実現します。これにより、膨大な量のデータから状況を正確に反映した検出をほぼリアルタイムで実現できます。
- 自動化されたソフトウェア ベースのプロセス。有効性向上のため、継続的に監査して進化させます。
- データ サイエンティストとセキュリティ専門家。常に連携して作業にあたり、標的の詳細な分析を必要とする、異常な特性を示すエスカレーション イベントに対応します。これにより、実施可能な対応活動と修復活動を決定できます。
システムに異常を検出すると、対応チームが関与を開始します。
マイクロソフトの対応戦略の内容は次のとおりです。
- 自動化された対応システム。リスク ベースのアルゴリズムを使用して、人間の介入が必要なイベントにフラグを設定します。
- 文書化された明確でスケーラブルなインシデント対応プロセス。継続的改善モデルの中に設けられ、すべての対応担当者が利用できるようにすることで、常に敵対者より先に行動できます。
- 領域の専門知識。チーム全体で共有された、複数のセキュリティ領域 (危機管理、フォレンジクス、侵入分析など) の専門知識と、クラウド データセンターで運用されているプラットフォーム、サービス、およびアプリケーションの深い理解は、インシデントに対応するための多様なスキル セットとなります。
- 広範なエンタープライズ検索。クラウド、ハイブリッド、およびオンプレミスのすべてのデータとシステムを検索して、インシデントの範囲を判断します。
- 詳細なフォレンジクス分析。主要な脅威を対象にスペシャリストによって実行され、インシデントを理解して、その封じ込めと根絶を支援できるようにします。
- マイクロソフトのセキュリティ ソフトウェア ツールと、自動化されハイパースケール クラウドなインフラストラクチャ。セキュリティ専門家は、サイバー攻撃の検出、調査、分析、対応、および回復の時間を短縮できます。
この戦略概要には、有益なデータやヒントが多数掲載されています。『Cyber Defense Operations Center strategy brief』 (Cyber Defense Operations Center の戦略概要) をダウンロードして、マイクロソフトがサイバーセキュリティの脅威の防止、検出、および対応にどのように取り組んでいるかについて、さらに洞察を深めることができます。また、ユーザーがエンドポイントを保護し、脅威検出に対して迅速に行動して、セキュリティ違反に対応できるようにするために、マイクロソフトがどのようにマイクロソフトの製品とサービスにセキュリティを組み込んでいるかの詳細については、Microsoft Secure の Web サイトにアクセスすることをお勧めします。