Google Cloudの攻撃の痕跡 (IOA) の解説

クラウドテクノロジーはビジネスにおいて数多くの利点をもたらし、さまざまなユースケースに役立ちます。しかし、クラウドテクノロジーは幅広いセキュリティ上の懸念に対してますます脆弱になっており、これらの弱点に対処するために最先端のセキュリティツールや技術が求められています。攻撃の痕跡 (IOA) は、潜在的な攻撃が進行中であることを示す兆候であり、侵害に対する早期警告システムとして働きます。

この記事では、IOAがどのようにしてクラウドセキュリティに変革をもたらすのか、そしてIOAを活用してGoogle Cloudのセキュリティを強化するにはどうすればよいかを見ていきます。また、Google Cloudと統合されたCrowdStrike Falcon®プラットフォームが、AIを活用した強化されたIOA機能やGoogle Cloudアカウントに対する堅牢なセキュリティポスチャをどのように実現するかについても説明します。

クラウドセキュリティにおけるIOAの重要性

IOAは、侵害の痕跡 (IOC) とは異なり、攻撃者が侵害を成功させる前に攻撃パターンを特定することを目的としています。それに対してIOCは、本質的に事後対応的であり、侵害発生後のフォレンジックプロセスに役立ちます。IOAは、ゼロデイエクスプロイトや持続的標的型攻撃（APT攻撃）などの高度な脅威に共通する異常な振る舞いや疑わしいパターンを検知するために開発されました。この振る舞いベースの独特なクラウドセキュリティへのアプローチは、ネットワーク侵入防止システム (NIPS) のような従来のシグネチャベースおよびルールベースの検知方法に比べて大きな利点があります。

IOAは、着眼点をテレメトリデータ検査のような静的なイベント分析から攻撃者の意図と方法論に移します。IOAに照準を合わせることで、攻撃を迅速に診断して対応する態勢を取ることができます。セキュリティアナリストが攻撃者の動きを追跡し、潜在的な脅威と進行中の脅威の両方に先手を打つことが可能です。最終的に、セキュリティチームはより隠密的で高度な脅威を検知する能力を飛躍的に高めることができます。

Google CloudでのIOA

Google Cloudは、世界トップクラスのクラウドプロバイダーです。他のクラウド環境と同様に、これほど広大で多様なシステムにおいてセキュリティの脅威を検知すること、およびすべてのリソースにわたって一貫したセキュリティを維持することはきわめて困難であり、最高のサイバーセキュリティツールが必要となります。

IOAベースの脅威防御ツールは、Google Cloud監査ログとVPCフローログをリアルタイムでモニタリングして分析することにより、Google Cloudアカウントの異常なネットワークアクティビティを検知します。トラフィックの急激な増加や減少、ポートスキャン、外部ロケーションへの並外れて大量なデータ転送などの異常なアクティビティは、悪意のあるアクティビティを示す早期の兆候である可能性があります。

ユーザーの不審な振る舞いも、IOAベースの脅威防御ツールによって検知される主な危険信号の1つです。ログイン試行の反復的な失敗、異常な時間帯のログイン試行、予期しない地理的ロケーションからのログインはすべて、攻撃の痕跡です。このような痕跡を迅速に発見して適切な対策を講じなければ、壊滅的な侵害につながる可能性があります。

IOAベースの脅威防御ツールは、システムレベルのIOAの検知に優れています。例えば、適切な認可なしでの重要なファイルの変更、リソース使用量の異常な急増、新しい未知のソフトウェアのインストールなどを検知できます。

クラウドストライクとGoogle Cloudの統合

IOAベースの脅威防御ツールが持つ機能セット、高度化のレベル、Google Cloudのようなクラウドプロバイダーへの適合性は、どれも同じというわけではありません。FalconプラットフォームはGoogle Cloudとシームレスに統合されており、AIを活用したIOAを使用してセキュリティ機能を強化します。

継続的モニタリングと可視性

CrowdStrike Falcon® Cloud SecurityはCSPM（クラウドセキュリティポスチャ管理） にバンドルされており、Google Cloud環境にデプロイされたアセットを継続的にモニタリングしてスキャンします。これにより、潜在的な不規則性、設定ミス、コンプライアンスリスク、セキュリティ問題を迅速に特定できます。

クラウドセキュリティダッシュボードは、クラウドリソースの設定、アクセス権限、コンプライアンスステータス、修復手順を詳細に可視化します。これにより、潜在的な脆弱性を修正し、クラウドセキュリティのベストプラクティスを適用して、規制要件の完全な遵守を確保できます。

リアルタイムの脅威検知と修復

脅威が発生した場合、それが壊滅的な侵害につながるか、あるいは緩和策が成功するかは、数秒とは言わないまでも、ほんの数分の差で決まることがあります。Falcon Cloud SecurityはGoogle Cloudとシームレスに統合されており、リアルタイムのデータ処理を提供します。これにより、攻撃が侵害に発展する前に、直ちに対策を講じて攻撃を阻止することができます。Falcon Cloud Securityは、ノイズをインテリジェントにフィルタリングして、重大な問題や脆弱性とすぐに対処しなくてよい問題や脆弱性を区別します。脅威に効率的に優先順位を付けることで、セキュリティチームは最も差し迫ったリスクへの対応に集中できます。

脅威インテリジェンスと振る舞いベースの分析

Falcon Cloud Securityは、振る舞いベースの戦術、手法、手順を利用して、異常なユーザーアクティビティのパターンを特定できます。このソリューションは、脅威インテリジェンスを活用して異常なパターンを既知の攻撃メカニズムと比較し、その振る舞いを悪意のあるアクティビティとして高い確度で分類できるかどうかを判断します。

まとめ

クラウドへの侵入は驚異的な速度で増加しており、世界規模でビジネスオペレーションに影響を及ぼしています。組織のクラウド環境を保護する最適な方法は、攻撃防御（IOAベースの脅威防御ツールなど）と侵害発生後のフォレンジック（IOCベースの検知ツールなど）に役立つクラス最高のセキュリティツールを使用することです。AIを活用したIOAが組み込まれたクラウドセキュリティプラットフォームとCSPMツールは、疑わしい振る舞いを即座に特定し、フィルタリングによってイベントからノイズやフォールスポジティブを除去することで、リアルタイムの脅威検知とプロアクティブな修復を可能にします。

詳細については、CrowdStrike Falcon Cloud Securityのインタラクティブデモをご覧ください。