[レポート] クラウドネイティブSIEMが可能にするセキュリティ・オペレーションの未来 #SecurityDaysSpring2023

最初に

東京で開催された Security Days Spring 2023 に参加してきました！視聴させていただいたセッションは下記です。
クラウドネイティブSIEMが可能にするセキュリティ・オペレーションの未来 | Security Days Spring 2023

セッション概要

SIEMが市場に登場して久しい一方、聞こえてくるのは「導入したはいいけど使いこなせない」という多くのお客様の声です。本セッションでは、クラウドかオンプレかを問わず、あらゆるログを集約してこれまでにないレベルの高速処理を実現するセキュリティ運用ソリューション「Chronicle Security Operations」についてご紹介。脅威インテリジェンスとのネイティブな連携など、Googleならではの特徴と併せて、セキュリティ運用のあるべき姿と具体的な進化のアプローチについてお話しします。 キーワード：SIEM、SOAR、ログ管理、セキュリティ運用、脅威インテリジェンス

スピーカー

グーグル・クラウド・ジャパン カスタマーエンジニア（セキュリティスペシャリスト） 古澤 一憲 様

レポート

• Google では、サイバーセキュリティを「嵐」と表現している。
• 現在、ウクライナ進行におけるサイバー攻撃として APT 攻撃が増えている。
• こういった攻撃が高度かつ、質・量ともに増えている。

• DX の進展に関して
• デジタルトランスフォーメーションが進むにつれて、攻撃の種類が増え、多様化している。
• DX 推進に向けては、逃げずにしっかり対応していく所存

• 人材のスキルに関して
• グローバルにみても足りているというお話は聞いたことがないのが現状
• やることがかなり増えた + 難しくなったが、やる人が足りない状況である
• こうした状況の中で、Security Operation チームが最も大変であると考えている。

• セキュリティ課題とチャレンジ
• データを貯めたはいいが、容量の問題、サーチ、分析しても、多すぎてレスポンスが遅い
• 攻撃の多様化で、一組織で補うには、脅威インテリジェンスの活用が必須
• 人材育成は重要だが、自動化、外部支援でリソースを担うことが必要にもなる

これらは、Google も同じで苦しんできた

特に、Google でも問題視したのが、2010年頃の Operation Aurora という国家規模のAPT 攻撃を受けたこと。

EP000: Operation Aurora | HACKING GOOGLE

その後、10年で10倍以上の攻撃を受けることにもなった。
サーバー犯罪の進化は目覚ましく、前の年と同じオペレーションでは、破綻してしまう状況だった。

その状況で何をしたか？

10倍の効率を求めて、目標として取り組んだ。Operationの改善を積み重ねてクリアした。
そのため、SRE の考えを取り入れ、SRE で重要とされている概念である「労力を排除する」ことに注力した。 ※ SRE の「労力」の定義は、手動での繰り返しな作業は永続的な価値がない。つまり、サービスをスケーリングするには邪魔になる。=　労力

具体的にセキュリティ面では、手作業、マニュアル運用を半分にすることにした。手作業を次やるときには自動化できているように残りの半分の時間を設けた。これは、運用にかけていい時間が半分になることを意味しており、当時の人たちは自動化して「労力」を削減するために必死に動いていた。

また、CDCR（Continuous Detection、Continuous Response）のモデルを提唱して、継続的検知、継続的対応の無限のサイクルを回すようにした。

• データを可視化する
• IT 機器のログを一元管理して分析するための準備

• 見つける調べる
• 脅威を探したり、評価する

• 対応する
• アラート扱いのものを詳細に対応する
• 対応プロセスはプレイブックとして定義して、自動化につなげる

• 改善する
• 対応を見直して自動化させる

こうしたノウハウをプロダクトに反映させたのが、Chronicle

Chronicle

• Chronicle SIEM、Chronicle SOAR の展開
• どちらもクラウドネイティブ
• ブラウザベースのサービス

• SIEM
• Security Information、Event Management
• 大量データを使ってセキュリティイベントを解析する

• SOAR
• Security Automation、Security Orchestration、Response
• Response の自動化や、Collaboration がなされる

Chronicleでユーザに届けたい価値

• SIEM でアラート化したものを SOAR に送り込む
• SIEM と SOAR で、一貫した対応を叶える
• SIEM は見つける調べるの範囲
• SOAR は対応、改善（自動化）
• SOAR ではオートメーションで毎回毎回対応を改善していくということを実現する

脅威インテリジェンスは、Google で持っているものにプラスして、今後は Mandiant のインテリジェンスも取り入れて強化していく。

Chronicle SIEM について、機能（価値）として実装されているか

• 利用者の無駄な時間をなくして、より良い結果が返されるようにお助けしたいというコンセプト
• Google クラウドを基盤としているため、大量のデータの高速処理が得意
• 特に SIEM は大量データを処理するので、Chronicle のアドバンテージ
• NW、EDR、のログは大量になりがちだが、ペタバイト規模のデータに対応できる。これは検索の会社としての強みとしてナレッジがあるため。
• クラウドネイティブの利点として、柔軟にリソースを使えるメリット
• ビジネス面では、SIEM はデータ量で従量課金が多い中、Chronicle は従業員ベースなので、ログ量コストは変わらない。
• これは、「今月はログ量が多いので、取り込みに制限をかけるなどの運用面の負荷をかけさせたくないという考えをもとにオファーをさせていただいている

検知に関して

• YARA-L 言語でどういうログを検知したいかルール化できる
• YARA 言語は、ウイルストータル、マルウェアを探すときに使うが、Chronicle の場合は、ログの特徴を検知するために拡張しました.YARA-L 言語（LはログのL）
• 大体のルールは 30行ぐらいで、やりたいことを表現できるというぐらいのサイズ感で使っていただいているケースがほとんど

ルールをコード化するのは一見面倒くさそうだが、なぜかというと、改善のサイクルの概念を取り入れており、ルールを育てていただくためです。脅威は進化しており、オペレーションも変わる。イコール、過検知、誤検知で捕まえたいものを捕まえられないため、コードベースのオプションを提供することが重要と考えている。とはいえ、ルールを作成するのは大変なので、Google のマネージドルールとして推奨のルールも提供している。こちらは、有効にするか、しないかで使える。細かい制御は出来ないが、その分簡単に使えるようにしている。例としては、不正なログインを検知するなどのルールを提供している。

SOAR に関して

• SIEM のアラートの対処状況の管理
• 管理もコード化する
• 脅威視点のケースマネジメント
• 1アラート 1レスポンスではなく、アラートをカテゴライズして、カテゴリ単位で管理対応できる仕組み。
• プレイブックのテンプレート、コラボレーションもダウンロードしてケースごとに使用可能

今後の展望

• Google クラウドで、Mandiant と交流させていただけたことでシナジーをより進める。
• Mandiant の特徴
• 攻撃者視点のインテリジェンスはグローバルレベルで持っている
• プロフェッショナルサービス潤沢なので、今後の人材不足を補う人のサービスも提供していく所存
• コンセプト「あらゆる可能性を想定して、起こりうる侵害への対処にじしんをもてるようにする。」というところで、より包括的な備えが出来るようにサービスを提供していきたい。

まとめ

このセッションでは、Google のセキュリティオペレーション課題に対する取り組みと、製品（Chronicle）、今後の展望をご紹介いただきました。製品のコンセプトには、SRE の概念が反映されており、ユーザはシンプルで、効率的な SIEM、SOAR を活用できるため、導入後の使いこなせない問題も低減できるのではないかと感じました。