「Microsoft Sentinelの活用方法」を動画でご紹介

◆はじめに
リモートワークの広がりから、SASE（Secure Access Service Edge）に対応したセキュリティ施策が各企業で求められるケースが増えてきました。仕組みづくりはもちろんですが、どのように運用していくか、が企業の情報システム部門では課題となってくることが予想されます。
タイトルでは、無償検証サービスの提供を上げていますが、このトピックでは、なぜPSCはMicrosoftのSIEMを取り扱うのか、そもそもSIEMは有効なのか、 Azure Sentinelの無償検証サービスとは、の3点について掲載します。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
◆なぜPSCはマイクロソフトSIEMを取り扱うのか
　PSCでは、IBM QRadarを中心としたSIEMの導入から運用、そして運用後のアセスメントやコンサルティングを幅広く行ってまいりましたが、より幅広いお客様にSIEM環境を利用する機会を増やしていただくために、Microsoft社のSentinelの提供を開始いたしました。

　もちろんIBM QRadarによる高機能検索、カスタマイズ性に優れたルール作成、はSIEM製品の中でも重要な役割を担っており、今後もその有用性は変わらないでしょうし、PSCのセキュリティサービスにとっても重要な分析ツールです。
ただ一方クラウドネイティブで提供し、かつマルチクラウド環境に適応したMicrosoft社のSIEMは、これまでSIEM製品を利用してこなかった企業、特にMicrosoft365を利用している企業にとって、SIEMをより利用しやすくしてくれる製品だと考えています。
しかも通常のSIEM製品と違い、ログの利用量に合わせた従量課金体系となっており、年間利用金額も比較的リーズナブルであるうえで、メンテナンスが不要なクラウドサービスという非常に強力なSIEM製品となっています。

　また、PSCでは、セキュリティサービスの提供だけではなく、Microsoft社のM365の販売、導入から、有効活用するクラウドツールの提供（商品名：CooKai）まで行っており、Microsoft製品のプロフェショナルがそろっているため、顧客の要望に多岐にわたってこたえる環境がそろっています。PSCのMicrosoft利用顧客へ、一層強化されたセキュリティ環境を提供する、という役割もあります。

◆そもそもSIEMは有効なのか

言い換えると「なぜSIEMが必要なのか？」

なぜ必要なのかというと、
① 企業のセキュリティ対策が一つの製品では賄うことができなくなったこと
② リモートワークの普及によってより、いままでなかった外部からの情報資産活用という機能を追加するために、企業のネットワークにセキュリティ対策を施す必要がでてきたこと
③ Emotetのような攻撃フェーズで活動が変化していくマルウェアは、面で発見する仕組みを作る必要があること
④ セキュリティインシデントが発生した時にいち早く被害状況を把握して被害を最小限にすること
など挙げたらきりがないほど理由はあります。

　では、どうして今まで普及が一部の企業にとどまっていたかというと、
・高価なセキュリティ製品だということ
・世間的にSIEMを有効活用するアナリストがすくない（教育がすすまない）
・リスクシナリオの重要性に対する認識不足
ことなどがあげられます。

上記に挙げた理由をひとつひとつひも解いていくことはしませんが、一つだけお話すると、Emotet対策とリスクシナリオの重要性は密接につながっています。

Emotetは企業の一般的なセキュリティ対策をよく知っています。各攻撃工程で、企業のセキュリティへ対策しながらターゲット情報へたどり着こうとし、活動を自動化することで素早く拡散的に動くことができます。

各工程でのリスクシナリオを立ててSIEMによるルール検知している場合は検知する確率が、工程が深くなるほど高くなりますが、マルウェア配送アクションや感染時アクションしか監視されていない環境では、重要なデータ流出局面で見逃す危険性が高くなります。早い段階ではマルウェアとして検知されないような活動を取ろうとするからです。

攻撃工程と工程ごとのリスクシナリオを組み立てる作業は今後のセキュリティ対策でより重要になってきます。Emotet対策をうたったセキュリティ製品は出てきますが、100％の検知が可能ではない以上、例えばActive Directoryへの活動や、Active Directory内の活動、データアップロードに関するサーバのイベントを含めて監視を行っていくことが必要となってきます。

SIEMはそういうリスクシナリオを想定しながら監視ポリシーを作成していくツールです。

◆Azure Sentinelの無償検証サービス
まずは、利用いただくことが一番説得力あると思いますので、Microsoft社の Azure Sentinelの無償検証サービスを2024年6月末（ご好評につき延長）までの利用申請をめどに提供いたします。

ホームページの問い合わせから、無償検証サービスを利用したいと連絡いただければ、まずはヒヤリングシートを送付します。
記入いただきましたら、一度打ち合わせを実施し、対応していただくこと、こちらで準備することを協議します。
検証期間中は、PSCのSOCで監視を実際に行います。
最終的に報告書を作成し、報告会でご説明して完了となります。

【検証の流れ】

レポートでは、以下に重点を置いて報告します。
・攻撃状況と分析結果
・Azure Sentinelを利用した場合のコスト感
・企業のセキュリティ課題

無償検証ですので、検証対象はMicrosoft製品と、サードパーティ製のネットワーク機器2つまでといたします。また、Microsoft製品のなかでもEDRであるDefenderATPは有償でのPoC対応となります。
検証期間は2週間を想定していますが、延長はプラス2週間可能とします。

ぜひ、一度ご利用いただき、SIEMの効果を体験ください。

次回トピックスでSentinelの対象製品や構成イメージなど具体的な説明を実施したいと思います。