RSA イノベーション サンドボックス インベントリ | Obsidian - SaaS アプリケーションにセキュリティ保護を提供するクラウド検出および対応プラットフォーム

2020年2月24日から28日まで、サイバーセキュリティ業界の主要イベントであるRSAカンファレンスがサンフランシスコで開幕しました。本日、Green Alliance は、今年の RSAC Innovation Sandbox に選ばれたトップ 10 スタートアップの 1 つである Obsidian を引き続き紹介します。

1.会社紹介

Obsidan Securityは2017年に設立され、2017年7月に950万ドルのシリーズA資金調達を完了しました。現在、総資金調達額は2,950万ドルに達しており、主にGreylock Partners、Wing、GVからの投資によるものです。

Obsidian は、カリフォルニア州ニューポートビーチに拠点を置くクラウド検出および対応企業です。創設チームは、Cylance、Carbon Black、NSA 出身者です。 Cylance の元 CTO である Glen Chishholder 氏が創設者で CEO を務め、Cylance の元主任データ サイエンティストで NSA のコンピューター サイエンティストである Matt Wolfe 氏が CTO を務め、Carbon Black の元 CTO 兼共同創設者で NSA のコンピューター サイエンティストである Ben Johnson 氏が主任データ サイエンティストを務めています。

​​

Obsidian は、SaaS アプリケーションにセキュリティ保護を提供し、セキュリティ運用チームが侵入や内部の脅威を検出して対応できるようにする CDR (クラウド検出と対応) という新しいコンセプトを提案しました。 SaaS アプリケーションの脆弱性と内部脅威を迅速に検出、調査、対応できるように設計されており、ビジネスに影響を与えることなく継続的な監視と分析を可能にします。

2. 製品紹介

1. 製品の背景

過去 10 年間で、SaaS およびパブリック クラウド サービスの利用は飛躍的に増加しました。組織は、電子メール、コラボレーション、人事、販売、マーケティング、運用などのビジネス システムをすでにクラウドに移行しているか、移行中です。 2019 年の ESG Research 調査の参加者の 3 分の 2 (67%) は、アプリケーションの 20% 以上が現在 SaaS ベースであると報告し、58% を超える組織は 2019 年に IaaS を使用していると報告しました。

​​

2011年から2019年にかけてインフラストラクチャ・アズ・ア・サービス（IaaS）を使用している組織の割合

2. クラウド検出と対応（CDR）

クラウド検出と対応は、Obsidian が提案した新しい概念であり、現在のクラウド セキュリティ システムに欠けている部分でもあります。

クラウド アクセス セキュリティ ブローカー (CASB) などのソリューションは、予防的なアプローチを採用しています。 CASB は構造的にはクラウド環境のファイアウォールに似ており、組織のインフラストラクチャとクラウド サービス間の仲介役として機能し、主にアクセスをブロックすることでデータの損失や漏洩、マルウェアの露出を防ぎます。

しかし、ガートナーが適応型セキュリティの概念で述べたように、予防制御だけではクラウド環境を攻撃から保護するには不十分です。最善の予防的セキュリティ ソリューションを導入していても、攻撃者は防御を突破または回避してクラウド資産にアクセスする可能性があります。クラウドでは、セキュリティ チームは脅威を迅速に検出し、調査し、対応する必要があります。そのためには、疑わしい動作をリアルタイムで検出して対応するための視覚化と豊富なユーザー コンテキスト情報が必要です。これこそが、今日の SaaS およびクラウド サービスに欠けているものです。

クラウド環境における可視性の問題は、EDR 環境の場合とは異なり、より複雑です。ユーザーはアプリケーションごとに異なる権限を持っているため、SaaS アプリケーションではプラットフォーム内での承認管理が必要です。たとえば、セキュリティ管理者が Salesforce でユーザーがアクセスできる内容や G Suite でユーザーが行っている操作を確認する場合、管理者はまず対応する権限と動作ログを取得し、各サービスの認証モデルと動作ログの形式を理解した上で、この情報に基づいて疑わしい攻撃が発生したかどうかを判断する必要があります。アクセス記録と動作情報が大量にあるため、脅威の検出は非常に複雑になります。通常、関連するコンテキスト データは TB レベルのデータを生成し、実際の脅威または攻撃イベント空間が大量のデータ ストリームに埋もれてしまいます。

これまでのニーズに応えて、クラウド検出および対応 (CDR) ソリューションが提案されました。 CDR は、SaaS およびクラウド サービスから大量のステータスおよび動作データを継続的に収集、正規化、分析し、クラウド内の脅威を検出、調査、対応するために必要な包括的な視覚情報をセキュリティ専門家に提供します。

したがって、CDR は次のコア機能を提供する必要があります。

（１）グローバルな可視化

CDR は、クラウド サービス全体のユーザー アクセスと動作情報を表示するためのグローバルな視覚化ビューを提供する必要があります。このグローバルな視覚化では、状態とユーザーの行動データが融合され、脅威インテリジェンスと関連するコンテキスト情報 (場所、デバイス、ブラウザなど) が統合されます。セキュリティ チームは、この視覚的なビューに基づいて、さまざまな段階で脅威を効果的に検出し、インシデントを迅速に調査して対応できます。

（２）自動検出

CDR が分析する必要があるデータは通常、大量です。そのため、現在のクラウド環境の問題は、脅威や攻撃が通常、大量のデータやアラームの中に埋もれてしまうことです。したがって、CDR は、機械学習とルール分析を使用して、SOC が大量のノイズの多いデータから貴重な情報を抽出するのに役立ちます。

（３）脅威予測

CDR は、既存の脅威や攻撃を検出する機能に加えて、クラウド環境で発生する可能性のある次の異常な動作や脅威となる動作を予測することもできます。これにより、セキュリティ管理者は脅威となる行為が発生する前に予防措置を講じることができます。

3. 黒曜石のプラットフォーム

Obsidian Cloud Detection and Response は、SaaS にシームレスなセキュリティを提供します。独自の ID 中心のアプローチと機械学習を使用して、クラウドでの高度な攻撃を阻止します。このプラットフォームは、SaaS アプリケーションにセキュリティ保護を提供し、セキュリティ運用チームが侵入や内部脅威を検出して対応するのに役立ちます。 SaaS アプリケーションの脆弱性と内部脅威を迅速に検出、調査、対応できるように設計されており、ビジネスに影響を与えることなく継続的な監視と分析を可能にします。

Obsidian は API 統合を介して SaaS サービスとして利用可能であり、展開するものがないため、ソリューションを数分で起動し、数時間で結果を出すことができます。

Obsidian は、クラウド アプリケーションに関するデータを自動的に収集して正規化し、脅威インテリジェンスとコンテキストでデータを強化します。 Obsidian は、機械学習とルールに基づいて違反やイントラネットの脅威動作に関するアラートを生成し、個人およびグループの行動パターンからデータ資産にアクセスする方法を継続的に学習します。

Obsidian プラットフォームは、ユーザーの権限と動作の統合ビューに基づいて、インシデント対応、調査、脅威ハンティングを可能にします。このプラットフォームでは、期限切れのアカウントを削除し、誤った構成を修正することで、クラウド セキュリティ アプリケーションのセキュリティを強化することを推奨します。

​​

Obsidian プラットフォームの機能

（１）可視性

Obsidian は、クラウド内のユーザー、データ、アプリケーションの初めての統合ビューを提供し、ユーザーとサービス アカウントの動作を継続的に監視し、脅威や衛生上の問題に関するアラートを発行できます。可視性の主な機能は次のとおりです。

• 各サービスのアクセス権と権限の一覧
• 特権ユーザーのアクティビティ
• SaaS アプリケーション全体のアクティビティ監視
• API経由でダウンロード可能な正規化されたデータモデル

（２）警報

コンプライアンス違反、危険な動作、ポリシー違反に関するアラートなど、ルールベースのトリガーと機械学習に関するアラートを取得します。 Obsidian プラットフォームは、SaaS の永続性、OAuth トークンの不正使用、およびその他の関連する異常を検出できます。機能モジュールには以下が含まれます。

• 組み込みルールは、ポリシー違反や異常な動作を警告するための組み込みルールを実装します。
• 機械学習を用いた異常行動検出
• アラートに優先順位を付けて、過負荷のセキュリティチームのアラート疲労を軽減します。
• SOARとサービス管理との統合

​​

3. 報告

アプリケーションの使用状況、新たな脅威、危険な動作に関する独自の洞察を提供する、さまざまな役割に基づいたレポートを取得します。したがって、プラットフォームには次の機能があります。

• 組織内のさまざまな役割のニーズに合わせてレポートとダッシュボードをカスタマイズします
• 要件に応じてさまざまな形式でデータをエクスポートします

4. 応答的な行動

このプラットフォームは、ユーザーとその業界の統一されたビューに基づいて、迅速かつ効果的な異常検出と内部脅威の特定を可能にし、アカウント共有、ファイルのアップロードとアクセスの履歴動作を追跡することでユーザーの横方向の移動を識別します。また、プラットフォームの組み込み機能を通じて、データ漏洩をブロックし、アカウントの不正使用を禁止することもできます。したがって、プラットフォームには次の機能が必要です。

• 時間相関のあるユーザー行動とそのコンテキスト情報に基づく異常検出および脅威識別。
• 処分を導くための推奨アクションを提供します。

​​

例:

（１）アカウント保護

a) SaaSアカウントを侵害や不正使用から保護する

クラウド環境において重要なのは、正当なユーザー エクスペリエンスに影響を与えずにクラウド資産のセキュリティを確保する方法です。 Obsidian は、グローバルな可視性により、どのユーザーがどのレベルで SaaS アプリケーションにアクセスできるのかを表示できます。プラットフォームは、これらのアプリでのユーザーの行動を継続的に監視し、非アクティブなアカウントを削除して、攻撃対象領域を減らし、コストを削減することもできます。

​​

上の図は、各サービスで誰がどのような権限を持っているか、その権限がアクティブかどうか、またその権限をどのように使用しているかを示しています。

b) 特権アカウントのディレクトリへのアクセス

各サービス内の特権アカウントのインベントリを取得します。

​​

c) アクティブアカウントと非アクティブアカウント

Obsidian は、サービスを通じて、アクティビティの履歴の変化など、アクティブ アカウントと非アクティブ アカウントの概要を取得できます。また、これらのアカウントのアクティビティ情報に基づいて、非アクティブなアカウントがクリーンアップされ、日常的な ID クリーンアップが改善され、コストが削減されます。

​​

d) 複数の特権ロールを持つユーザー

複数の権限を持つユーザーは、組織に高いリスクをもたらす可能性があります。

​​

e) 非アクティブなアカウントの古いユーザー監視

Obsidian は、ユーザーが役割を変更したか、会社を辞めたかを検出するためにアカウントアクティビティを監視する場合があります。

​​

（２）脅威ハンティング

a) 違反の是正と脅威の特定

SaaS アプリケーションは本質的にマルチクラウド環境であるため、SaaS 環境での脅威の検出は困難です。 Salesforce、G Suite、Slack などのアプリケーションには固有の ID とアクセス モデルがあり、権限とアクティビティに関する情報がサイロに保存されます。 Obsidian は、脅威の検出、侵害の修復、セキュリティ強化のための統合された視覚化を提供し、異常なログイン、SaaS の永続性、データの流出、横方向の移動、OAuth トークンの悪用、その他の脅威の兆候を迅速に検出し、違反を迅速に修正して脅威を特定できます。

​​

b) 警告

Obsidian は、設定なしでさまざまな脅威に関するアラートを受け取ることができます。 Obidian のアラートは、よく知られている悪意のある攻撃をカバーし、アラートの重大度の並べ替えを実装します。

​​

c) 位置情報履歴

Obsidian は、ユーザーがどこからログインしたかを監視できます。異常なログイン、アクティビティの兆候などを検出します。

​​

d) 脅威ハンティングのためのアクティビティビュー

Obsidian は、場所、イベント タイプ、ISP、デバイス、権限、アクセス履歴などによる権限、アクティビティ、コンテキストの統合ビューを使用して、SaaS 環境における未知の脅威をプロアクティブに検出します。

​​

（３）インシデント対応

a) グローバルな可視化に基づく迅速な対応

インシデント対応チームは、システム運用に影響を与えることなく、根本原因を検出し、特定し、影響を迅速に評価できます。 Obsidian は、SaaS アプリケーションから大量の状態データとアクティビティ データを収集、正規化、保存することで、クラウド インシデントへの迅速な対応を可能にします。

​​

Obsidian は、ユーザー、権限、アクティビティに関する統合データを使用して効率的な情報検索を可能にします。プラットフォームは、ユーザー、アクセス、権限をアクティビティにリンクし、場所、イベント タイプ、IP アドレス、デバイスごとにこの機能を強化します。

b) IPで検索

既知の悪意のある IP と関心のある IP アドレスを検索して、そのアドレスに関連する追加のアクティビティを見つけます。

​​

c) ユーザーまたはドキュメントによるアクティビティログの検索

特定のユーザーに関連するすべてのアクティビティ、または関連するドキュメントやアセットに対して実行されたすべてのアクティビティを検索します。

​​

3. イノベーションと課題

クラウド アクセス セキュリティ ブローカー (CASB) などのソリューションを使用して予防戦略を実装することはできますが、クラウド環境を攻撃から保護するにはそれだけでは不十分です。最善の予防的セキュリティ ソリューションを導入していても、攻撃者は防御を突破または回避してクラウド資産にアクセスする可能性があります。クラウド検出と対応は、xDR の概念をクラウドに適用した Obsidian が提案する新しい概念です。クラウド セキュリティ チームは、脅威を迅速に検出し、調査し、対応する必要があります。疑わしい動作をリアルタイムで検出して対応するには、視覚化と豊富なユーザー コンテキスト情報が必要です。これこそが、今日の SaaS およびクラウド サービスに欠けているものです。クラウド検出および対応 (CDR) ソリューションは、SaaS およびクラウド サービスから大量の状態データと動作データを継続的に収集、正規化、分析することで、セキュリティ専門家にクラウド内の脅威を検出、調査、対応するために必要な包括的な可視性を提供します。 Obsidian のイノベーションには主に、クラウド環境の可視性、自動検出、セキュリティ リスク監視などがあり、これらは SaaS の中核要件であり、クラウド セキュリティの問題点を解決します。

もちろん、その商業化には大きな課題があることも認識する必要があります。 xDR 製品をうまく適用するには、ユーザーのセキュリティ チームが高度なセキュリティ運用能力を備えている必要があります。そうでなければ、セキュリティ チームは本来の役割を果たすことができません。クラウドベースの企業（特に中小企業）が適切な運用能力を備えていない場合は、クラウド アプリケーションをサポートする MDR サービスを検討する必要があります。例えば、昨年のRSA会場以外では、Googleが主催したエコシステム展示会で、パブリッククラウド向けのMDRサービスを提供できるBlueVoyantという会社がありました。データサイエンスに基づく自動化された Tier 1 サービスと Tier 2 バックエンド サービスのほとんどを通じて、多数のクラウド顧客にスケーラブルなセキュリティ運用サービスを提供できます。

[[316012]]

IV.結論

Obsidian の創設者は Cylance と Carbon Black 出身で、それぞれクラウド ゼロ トラストとターミナル EDR で実績を持っています。この製品は、クラウド SaaS アプリケーションの実際のリスクを理解し、検出と対応のテクノロジーに基づいて顧客のクラウド移行の問題点を解決できると考えています。おそらく、CDR は、顧客が脅威をタイムリーに検出して軽減するのに役立つ新しい「ポスト CASB」製品になるでしょう。

参考リンク

[1] クラウドの検出と対応はクラウドセキュリティに欠けている要素である。

https://www.obsidiansecurity.com/cloud-detection-and-response-missing-element/

[2] Obsidian公式サイト、https://www.obsidiansecurity.com/