マクニカネットワークスは2020年6月9日、「MITRE ATT&CK(マイターアタック)」フレームワークを活用した、SIEM(セキュリティ情報/イベント管理)運営者向けのセキュリティコンサルティングサービス「簡易セキュリティコンサルティングパッケージ ~フレームワークベースリスクアセスメント&SIEMユースケースデザイン~」を開始した。セキュリティ専門家によるアセスメントとSIEM検知ルール設計を、パッケージで提供する。スポット契約のサービスで、価格(税別)は、580万円。
マクニカネットワークスの「簡易セキュリティコンサルティングパッケージ」は、 専門家によるMITRE ATT&CKフレームワークとのフィット&ギャップ分析と、ここから抽出したリスクに対処する検知ルール(SIEMユースケース)の設計を、パッケージ化したサービスである。約1カ月のコンサルティングで、コストを抑えて提供する。
同社によると、SIEMをセキュリティ対策の中核として有効活用するためには、目的に応じた検知ルールの効果的な設計と、これにリンクしたログ管理や解析運用に対する事前設計が必要になるという。「設計の際には、各種団体の公表しているセキュリティ標準規格、MITRE ATT&CKフレームワークやCIS Controlsなどのセキュリティフレームワークの活用が効果的である」(同社)
同社は、フレームワークを活用することで、専門家や有識者の知見をベースに、セキュリティリスクや攻撃手法を網羅的かつ効果的にカバーできると指摘する。「セキュリティ担当者は、リスク低減に直結する施策や設計を、漏れを抑えて検討することが可能になる。一方で、十分に活用するためには、専門的なセキュリティスキルや知見が求められる」
以下の5ステップで進行する。
- 事前ヒアリングシートとインタビューを通したユーザー環境/プロセスなどの情報整理
- MITRE ATT&CKフレームワークとユーザー環境の照合分析(主要リスク/ギャップの特定)
- フレームワークから必要な検知ルールを特定
- 具体的かつ詳細な検知ルールの設計
- 1~4の結果を詳細なドキュメント形式で納品
ステップ1~3の概要を図1に示している。MITRE ATT&CKフレームワークを活用し、最新のリスクや攻撃者テクニックと照合した、ユーザー環境におけるセキュリティ対策状況のアセスメントを実施する。この後、アセスメント結果として抽出した、主要リスクや主要ギャップを補完する「検知ルール」をデザインする(上限10個)。アセスメントは、テンプレート化された事前ヒアリングシートの活用により、2週間程度で完了する。
拡大画像表示
ステップ4~5の概要を説明している。検知ルールのデザインは、対応するフレームワーク上の脅威、実装に必要なデータソース、SIEMの内部ロジック、測定頻度やメトリックなど、具体的で詳細な設計情報を含む形式で提供する。実装レベルの具体的な情報を提供するため、セキュリティ担当チームは、情報を参照して迅速に実装を検討することができる。ステップ1~3の結果と合わせて、詳細なドキュメントを提供する。セキュリティ関係者の設計検討や、エグゼクティブのセキュリティ施策の意思決定に活用できる。
サービス提供の背景として同社は、昨今、サイバー攻撃の巧妙さが増している状況と、新型コロナウイルス感染症の拡大により、急いで構築されたテレワーク環境の脆弱性や設定不備を悪用した攻撃、家庭用ルーターへの攻撃など、テレワーク環境特有の脅威も確認されている状況を指摘する。「SIEMによるログ分析ベースのセキュリティ(検知/相関ルール/アラート管理/分析など)の導入といった、対策が求められている」(同社)
なお、MITRE ATT&CKフレームワークは、CVE採番を実施する団体として知られる米マイター(MITRE)が、サイバー攻撃の流れや手法などを体系化したものである。一方、CIS Controlsは、NSAなどの米国の公的機関や情報セキュリティ専門企業などが共同で研究し、米国のセキュリティ専門団体であるSANS Instituteが取りまとめたフレームワークのことである。The Center for Internet Securityが管理している。