セキュリティ分科会 Meetup #6 を開催しました!
こんにちは!Jagu’e’rセキュリティ分科会 運営担当の田中です。
2023年11月30日に、渋谷ストリームにて第6回Meetupを開催しました!
今回のMeetupでは、「セキュリティ分科会 第6回Meetup 2023年を振り返る!」と題してLT大会を行いました。
オンライン、オフラインあわせて30名程度の方にご参加いただいたほか、質疑応答も活発で大盛り上がりの会となりました!
アジェンダ
1.Sysdig 川端さん 「Sysdigが提唱するThe 5/5/5 benchmarkとは? - 変化の激しいCNAPP最新情報を20分に凝縮してお伝えします -」
2.フューチャー 田中「CVSSでの脆弱性管理に疲弊していませんか?」
3.クラウドエース 塩瀬さん「Chronicle が分裂した!」
4.Google Cloud 高橋さん
1.「Sysdigが提唱するThe 5/5/5 benchmarkとは? - 変化の激しいCNAPP最新情報を20分に凝縮してお伝えします -」
クラウド、コンテナセキュリティを提供するSysdig社の川端さんより、The 5/5/5 benchmarkのご説明をいただきました!
The 5/5/5 benchmarkとは、Sysdig社が提唱しているインシデント検知から対応開始までの時間についての基準であり、5/5/5はそれぞれ「5秒で検知、5分で分析、5分で対応開始」を意味しているそうです。
インシデント対応の対応時間の目安としては、他にも「1分で検知、10分で分析、60分で対処」を意味する1-10-60ルールがありました。しかしながら、現在では実際に攻撃者がクラウドに侵入するまでにかかる平均時間はわずか10分(短い!)であり、1-10-60ルールでは不十分な可能性があるそうです。そのため、今のスピーディな攻撃に対応する新たなベンチマークとして5/5/5が提唱されたとのことでした。
川端さんのお話にもありましたが、The 5/5/5 benchmarkを満たすには人対応では無理があるので、Sysdigのような検知から分析、対応までを包括支援するツールの活用が必須と思いました。
2.フューチャー 田中「CVSSでの脆弱性管理に疲弊していませんか?」
わたくし田中は、CVSSにおける課題とそれを解決するSSVCという脆弱性評価指標をテーマとしてLTをしました!
CVSSは脆弱性評価の有名な指標ですが、CVSSのベーススコアでは十分に対応すべき脆弱性を絞り込めません。たとえば、CVSSスコアが7以上の脆弱性は「重要」な脆弱性に分類されますが、NVDという脆弱性データベースではCVSSスコアが7以上の脆弱性は全体の半分以上を占めています。
そのため、CVSSのみを利用して対応すべき脆弱性を絞り込み、パッチを当てていくような脆弱性対応は運用が回らない可能性があります。そのようなCVSSの課題を解決するものとして、米カーネギーメロン大学から「SSVC」という脆弱性評価の指標が公開されました。
SSVCは、脆弱性そのものの評価しかしないCVSSのベーススコアとは異なり、脆弱性、脅威、資産重要度といった実際のリスクベースで脆弱性の評価を行います。CVSSよりも効果的に脆弱性の絞り込みをおこなうことができ、米CISAも推奨する脆弱性評価指標です。
フューチャーが開発している脆弱性管理製品FutureVulsもSSVCを用いた脆弱性のトリアージ(絞り込み)機能を搭載しており、より効果的な脆弱性対応が可能です!
3.クラウドエース 塩瀬さん「Chronicle が分裂した!」
クラウドエース塩瀬さんのLTはなんとも興味がひかれるタイトルです。Chronicle が分裂した!という言葉が意味することはいったい何なのでしょうか..?
その答えは、GoogleのSIEMソリューションであるChronicleが、Chronicle SIEM、Chronicle SOAR、Chronicle SecOpsの三つに分裂したことでした。
Chronicle SIEMはセキュリティイベントのログ保管と分析を、Chronicle SOARはセキュリティイベントの自動対応を、Chronicle SecOpsはそれらの運用プラットフォームだそうです。この点については、塩瀬さんのスライドの一説がとても分かりやすいので引用させていただきます。
はじめに神はChronicleを創造された
神は「自動対応あれ」と言った (2023年7月)
神は自動対応を Chronicle SOAR と名づけられ、
元の Chronicle を Chronicle SIEM と名付けられた
神は「運用プラットフォームあれ」と言った (2023年9月)
神はそのプラットフォームを Chronicle SecOps と名づけられた
なお、Chronicle SIEMは629種類のログタイプにデフォルトパーサを用意しているそうで、これは大助かりですね。Chronicle SIEMとSOARについては、Google Cloud Skills Boostにコースが用意されておりここから勉強できるそうです。興味のある方はぜひトライしてみてはいかがでしょうか!
https://www.cloudskillsboost.google/paths/187
4.Google Cloud 高橋(悟史)さん
今のセキュリティ対応における課題として、脅威の高度化、それに伴う対応の複雑化、セキュリティ人材不足が叫ばれています。そのような課題の解決策として、Google Cloudの高橋さんからはGoogle Cloudにおける生成AIの活用事例についてご紹介いただきました。
まず、Mandiant threat intelligenceの例では、GoogleのLLMであるPaLM2をセキュリティに特化させたsec-PaLM2によって、専門家以外には難解だったMandiant threat intelligenceによる脅威インテリジェンスの分析結果をサマライズしたレポートを出力できるそうです。(使ってみたい..)
また、Chronicle SecOpsにおけるAI活用事例として、検知したい挙動を自然言語で指示すると適切なクエリを生成してくれる機能もご紹介もいただきました。
さいごに、Virus TotalにおけるAI活用事例をご紹介いただきました。
マルウェアの疑いがある不審なファイルを調査する際はサンドボックス内で実際に実行し挙動を分析する事も多いと思います。しかし、Virus Totalでは、ファイルを実行することなくAIが怪しいファイルの情報を分析し結果を説明してくれるそうです。
生成AIの実力、身に沁みますね..。私も精進せねば、と思いました。
おわりに
セキュリティ分科会では、以下の方を随時募集しています。
- 分科会参加メンバー
- 分科会でLTやりたい方
- 分科会の運営委員
私は前回のMeetupからセキュリティ分科会に参加しましたが、とても面白いコミュニティです!
LTを聞くだけでも得る物は多いですが、それに加えてMeetup後の懇親会で様々な企業の方と様々なテーマでお話しさせていただくことも大変刺激になります。
セキュリティ分科会は、ベテラン、若手といった区別なく、セキュリティに関わる皆さまのご参加をお待ちしています。ご興味のある方は、まずは次回meetupへお気軽にご参加頂ければと思います。すでに本分科会に参加している方も、次回meetupには会社の同僚やお知り合いも連れてご参加ください。また、何か話すネタがある方は、LTまでして頂けると嬉しいです。テーマはセキュリティに関わるものであればなんでもOKです。
そして、運営委員も随時募集しています。
現在は田中と塩瀬さんが加わり5名体制ですが、これからのセキュリティ分科会の発展にむけてご協力のほどよろしくお願いします!一緒にセキュリティ分科会を盛り上げていきましょう!
セキュリティ分科会は四半期に1回の頻度でMeetUpを開催するようにしており、次回は2月末ごろを予定しています。
多くの方のご参加、お待ちしております!