Blackpanda K.K. Launch Partyに参加しました ~DIFRとは~
Preface
4月上旬、かねてより個人的に応援しております、シンガポール発のセキュリティベンダーであるBlackpandaのKKローンチパーティにご招待いただきました。(ヘッダー画像はBlackpandaのLinkedInより拝借いたしました。)
昨年9月に日本法人を設立されたBlackpandaですが、コロナ禍の規制が緩和されたこのタイミングでの開催が、新製品 IR-1のローンチや花見の頃合いと重なり、ナイスタイミングだったように思います。
CEOのGeneをはじめとするシンガポール本社の方々を迎えられた、とても楽しいネットワーキングイベントでした。
さて、BlackpandaはDFIR (Digital Forensics Incident Response)のベンダーなのですが、「セキュリティベンダー未経験だがセキュリティに興味がある!」という方からするとなかなか耳馴染みのないソリューションに思えます。
この機会に、同じくセキュリティベンダー未経験者の視点から、DFIRがエンタープライズITにおいてどのようなところでバリューを発揮されるのか、またBlackpandaがどのような観点からイケているのか、自身の勉強がてら、書き記します。(もちろん有識者の方からのご指導ご鞭撻などもお待ちしております。)
DFIRとは
DFIRとはDigital Forensics & Incident Response の略称です。まずは2つに分けてみていきましょう:
◎Digital Forensics
刑事モノの海外ドラマをご覧になられる方ならよくご存知の通り、Forensicsとは刑事事件における鑑識のことです。
それと呼応して、デジタルフォレンジックとはサイバーの世界で起きた事件、つまりインシデントの捜査という行為を指します。
刑事ドラマの例からも想起されるように、何らかのインシデントが起きてから役に立ちます。
◎Incident Response
インシデントリスポンスとは読んで字のごとく、セキュリティ事故(=インシデント)に対して対応をする部隊のことです。
インシデントの原因解明、影響が及んだ範囲の特定、被害のcontainment、インシデントのmitigationなどがミッションです。
インシデントリスポンスの過程で、デジタルフォレンジック行為が行われるため、まとめてDFIRと呼ばれるようです。
上記から、DFIRはネットワークセキュリティ、エンドポイントセキュリティなどに代表される「テクノロジー」というよりむしろ人が直接関わる「サービス」であるということに理解が及びます。
DFIRの位置付け
DFIRがその他のセキュリティ製品と比較してどのような位置づけにあるのかを俯瞰してみましょう。
セキュリティは様々な文脈で捉えられますが、DFIRはNISTが提唱するサイバーセキュリティフレームワークで申すところの対応復旧、つまり「事後対策」に重点を置くソリューションです。
ちなみにEDRは「検知対応復旧までをカバーする」と言いますが、重大インシデントの対応復旧はパートナー経由でSOCのサービスと併せ売りをすることが、日本では通例となっております。
(EDR関連で学んだことはまた別途おまとめします。)
SOCとIRの違い
ここまでで、DFIRはいわゆるセキュリティ人材により提供される、対応復旧サービスということがわかりましたが、人がオペレーションする点で、SOCと何が違うねんという疑問が浮かびます。
下図の通り、SOC(Security Operations Center)はIRの機能を内包することもあるようです。
ちなみにSOCは自社運用されることもあるようですが、セキュリティ人材不足なども相まって、原則アウトソーシングされる傾向にあるイメージです。
SOCアナリストの仕事 vs Incident Responderの仕事という切り口で見るならば、
SOCアナリストはSIEMを用いて収集したログ・ネットワークトラフィックなどを監視・分析し、脅威や脆弱性を洗い出すことがミッションである一方、
IRチームメンバーは起きたインシデントへ対応するスペシャリストです。
詳細が気になる方は下記のリンクを参考になさってください。
BlackpandaのValue Proposition
さて、前座が長くなりましたが、この度日本法人を設立されたBlackpandaに話の主軸を移します。
Blackpandaは自らをサイバー有事対応の特殊部隊と称する、DFIRに特化した危機管理の専門集団です。
CEOのGeneや日本のManaging Directorを務めるDavidはよくサイバーセキュリティとは、もはやITの領域にとどまらず、広くセキュリティという文脈で捉える必要がある (Cyber Security is not an IT problem, it’s a security problem)と話しておりますが、まさにこの意識こそがBlackpandaのvalue propositionなのではないかと肌で感じております。
Geneは米軍特殊部隊のバックグラウンドを持ち、家族ぐるみでの付き合いをしていた方の誘拐犯との交渉に成功した経験があります。Davidのキャリアは企業の知的財産を守るためのCorporate Investigationに端を発しております。
なるほど、彼らがサイバーセキュリティを広くセキュリティの問題であると捉えるマインドセットには説得力がありますね!
リクルーターとして、私自身は元々前職でITベンダー担当のチームで、たまたまセキュリティベンダー担当にアサインをされた背景があり、ITの範疇でのみサイバーセキュリティを捉えておりましたので、Davidと出会ってから毎度eye-openingな議論を重ねております。
考えてみれば当然なのですが、あらゆるインシデントの黒幕は、何かしらのアジェンダを掲げた、物理空間にいる「人」であり、その「人」という根源と太刀打ちしていく必要があります。
BlackpandaはCEOのGeneだけでなく、元CIA、元FBIといった有事対応のプロとして錚々たるメンツを揃えており、例えば誘拐事件の身代金交渉人としての経験を持つ方が、セキュリティインシデントの身代金交渉をするので、非常に頼もしい限りです。
とてもミーハーな所感で恐縮ですが、刑事モノの海外ドラマでよく出てくる交渉人・ネゴシエーターがランサムウェアを仕掛ける脅威の裏側にいる人とやり取りをするのだと思うと、頼もしい限りだなーと思う次第です。
結局どんな製品なん?
私はBlackpandaの回し者ではない第三者、かつ導入検討者でもないよくわからん冷やかしのファンのような立場なので、先方からいただいた資料を解説するようなお門違いなことはいたしません。(そもそも許可もらってない)
Blackpandaが提供するのはDFIRそのものだけでなく、IRの準備段階、プレイブック作成などを通して有事に備えることも取り扱いサービスの一環です。SentinelOne, Crowdstrikeと、カッティングエッジかつマーケットリーダーなEDRベンダーとアライアンスを締結しているようです。(前座であえてEDRに触れたのはここでその話をしたかったからです)
今回のパーティは、そんなBlackpandaのソリューションをSMB向けにテーラリングしたIR-1のリリースのお祝いでもありました。
攻撃手法の変化に伴い、中小企業だからといって油断できる情勢ではなくなってきた昨今、SMB向けのパッケージがあるのはユーザーサイドからしても心強いのではないでしょうか。
それらに加え、Blackpandaの関連会社Pandamaticsはサイバー保険やアンダーライティングのサービスを扱われており、こちらは金融機関ともパートナーシップを締結されている様子です。
Epilogue
日本法人スタートアップフェーズのご支援が大好きなリクルーターとして、K.K.ローンチパーティにご招待をいただけたのはとても貴重な機会でした。
ましてやかねてより交流のあるDavidの晴れの舞台の日に、一緒にお祝いができて感無量でした。
パーティの参加者には顔なじみや、よく噂を聞いていた方などもいらっしゃり、純粋な交流を楽しめました。Davidが「このパーティは私たちが主役のようなタイトルだが、本当はみんなにとって実りのある時間にしてほしい」とおっしゃっていたので、強欲を承知ですが、自分にとってとても実りのある機会となりました。
ちなみに外資系企業がジャパンエンティティを設立することをK.K.設立と言いますが、K.K.とはKabushiki Kaishaの略称だそうです。「なんでGaishaとちゃうねん」と思ったら、法律の世界ではKabushiki Kaishaと呼ぶ、という記述を発見し、ひとまず納得することにしました。
米国にオリジンがあるものの、HQがシンガポールに位置するために、スケール感はあるが経営陣が日本に近いBlackpandaの、今後の日本での展開に注目です!
この記事が気に入ったらサポートをしてみませんか?