コンテンツを開く

テーマのトレンド

対応までの時間差を縮めてサイバー攻撃による影響を軽減させる

Matt Lawrence

12.07.19 8 min. read

サイバー攻撃の検知能力は過去数年間で飛躍的な進歩を遂げていますが、さらなる向上が見込まれる領域です。

しかし、攻撃を検知してから適切に封じ込め対応措置が取られるまでには、かなりの時間差が生じています。

Ponemon Instituteの調査によると、企業が攻撃を検知してから対応の実施までに平均69日を要しています (攻撃が開始から検知するだけでも平均100日かかっています)。侵害から復旧するために発生する費用の中央値は1日あたり18,000ユーロです。 しかしながら、この費用にはシステムのダウンタイム、消失・破損したデータの回復、ビジネスクリティカルな機能の復旧、法規制による制裁金、顧客からの問い合わせへの対応、広報活動の増加といった費用は含まれていません。

データ侵害を迅速に封じ込めることができれば、コストが削減されビジネスへの影響も軽減

侵害の発生から対応の着手までに生ずる時間差には、いくつもの複雑な理由が存在します。多くの場合、対応のためにどれだけの投資を行っているのか、そして関連するタスク、役割、責任がどのように割り当てられ、リソースが投入され、サポートされるのかなど、企業の取り組みが背景として深く関わってきます。ひとまずこれらの理由を除いて考えると、次のような理由が浮かび上がってきます。

理由1:攻撃を検出したが、適切に対応が実施されない

攻撃の検出にはさまざまな機能が有ります。既知のマルウェアに対してはAVアラートがトリガーされ、正規のWindows機能が悪意のある活動を隠蔽しているかどうかを脅威ハンターが調査するなど多岐にわたります。疑わしい活動を検出する方法はさまざまですが、その活動にフラグを立て、対処し、エスカレートするためのプロセスが未整備の状態の組織が数多く見られます。最近、当社のクライアントが大規模な侵害を受け、サーバ全体が壊滅的な損害を被りました。アンチウイルスが警告を発したものの、それを監視するリソースが割り当てられていなかったのです。

理由2:攻撃を検知したが、対応実施の適切な技術が導入されていない

攻撃が検知されるまでにはさまざまなシナリオが想定されます。まれに攻撃の進行中に検知されることがありますが、ほとんどの場合は、事業に支障が生じているか、または生じていたことで侵害の発生に気が付きます。対応の観点からは、必要な技術が導入されていない場合は、いかなるシナリオにおいても困難が待ち受けています。調査をするための技術には、できるだけ多くの資産をカバーするエンドポイントにおける検知エージェントや、豊富なフォレンジックデータとログを取得する機能も含まれます。証拠は時間とともに消滅してしまうため、データとログを保持するようにエージェントを設定することは、重大侵害の特定を決定づける要素にもなります。さらに、IT環境は絶えず変化しており、企業買収も頻繁に行われています。攻撃から数ヶ月間、場合によっては数年間も対応を怠ってしまうと、完全な可視性を得ることは極めて困難です。

理由3:攻撃を検知したが、サイバースキル不足が対応を妨げる

攻撃を検知、対応するには、常にスキルに磨きをかけ続ける必要があります。しかし、全企業の半数はサイバーセキュリティのスキルギャップに苦しんでいます。これらの企業は、パッチ適応やシステム保守を担当するチームから、コールを受け付ける「初期対応者」を含むインシデント対応担当者に至るまで広範囲に及んでいます。対応への準備を整え、組織全体からリーダや代行を務めるさまざまな関係者を確保するためには、「初期対応者」の任命が極めて重要になります。これはITチームだけに留めるべき問題ではありません。

理由4:攻撃がまったく検知されない

大企業から中小企業に至るまで、ほとんどの企業には専任のセキュリティスタッフを配置させる余裕がありません。これは究極的には、法執行機関が登場するまで攻撃が検知されないことを意味します。通常、そのタイミングは攻撃者が目的を達成してから数ヶ月、時には数年後になります。

なぜ対応までの時間差の解消が困難なのか?

脅威を取り巻く状況が進化している中、対応までの時間差が企業を脅かしている理由はいくつかあります。

事実を明らかにする証拠は徐々に消えていく

対応に時間がかかるほど攻撃者がどのように侵入し、何を標的にし、成功したのかなどの影響の拡大を最小限に抑えるために不可欠である攻撃に関する貴重な情報を収集することができなくなります。多くの場合、ログ保存規定が組織の脅威プロファイルと一致していないため、特にフォレンジックやログの証拠は経過時間の影響を受けます。多くのIT資産は流動性があります。すなわち、技術はアップデートされ、従業員は入れ替わり、企業は買収されます。これらのすべてが、証拠が古くなったり削除されてしまう一因となるのです。

影響は時間の経過とともに拡大する

攻撃者は、企業のネットワーク内に長く潜むことができれば、より価値のある資産を特定でき、また、その企業やビジネス慣行についてより多くの事を知り得ることができます。特に国家が後ろ盾となっている攻撃者グループは、何年にもわたってネットワーク内に潜入し、ほぼ全てのビジネス慣行を知り、長期的な戦略計画にアクセスできるようになります。

対応までの時間差を縮めるために何ができるのか

多くの企業にとって、対応までの時間のギャップを狭めるためには、サイバーセキュリティ戦略を最初から策定し直す必要があります。ただし、そこには企業にとってより適切な対応を可能にする常識的なアプローチも含まれています。

1)トップダウンで対応の優先順位を付ける

2018年にエフセキュアが買収したMWR InfoSecurityの調査によると、予測、防御、検知、対応(PPDR)のフレームワークにおいて、4つの分野それぞれを同等に取り組むことが推奨されているにもかかわらず、対応を重要視する企業はわずか12%でした。

全社的にセキュリティプログラムを優先する旨を効果的に伝達し、4つの取り組みの平準化を図るには、取締役などの経営陣によるトップダウンでの決定が必要です。

ただし、経験上、多くの経営層のメンバーが必ずしもこの種の取り組みを自ら理解するとは限りません。対応のためにリーダーシップチームが下した意思決定は強力ですが、なぜ多大な投資が必要であるかに関しての理解を促すために、経験豊富な第三者を関与させることが重要です。

2)導入済みのツールを確認する

適切な対応は、インシデントが発生したときの事象を調査する能力に関わってくるので、最適なツールの活用はチームの行動を加速化を助けます。対応活動に必要なツールをすでに組織内で導入している場合もあります。たとえば、エンドポイントエージェントを導入している場合は、適切な要素を確実にアクティブにしておくことで対応の準備が一段と整います。

3)人、プロセス、技術にわたって基本的な準備をする

人、プロセス、技術に関して推奨される3つの基本的な対応策は以下の通りです。

人 – 誰が何をするのか?

前述したように、「初期対応者」は技術チームだけでなく、組織全体に配置されるべきです。攻撃は防御側にとって最も不都合な時間帯や休暇中に行われることが多いという事実を考慮して、インシデントが発生した時の専任のリーダー(複数可)と代行者をあらかじめ任命しておくことが非常に重要です。また、初期対応者は自社のサイバーセキュリティ規定に精通している必要があります。たとえば、マシンやサーバが侵害されていると疑われる場合は、証拠が失われることを避けるためこれらの機器の電源を切らないようにすることを全社的な方針とすべきです。

ヒント
インシデントが発生している間のコミュニケーション手段について考慮してください。今日のサイバー攻撃は、多くのケースで組織の通信インフラを侵害します。攻撃者はすべての通信をリアルタイムで傍受できる可能性があるため、復旧を成功させるには事前に代替手段を決めておくことが不可欠です。

プロセス – プレイブックを作成する

対応のプレイブックにより、誰もが共通認識を持つことができます。エフセキュアのホワイトペーパー『RETHINKING RESPONSE – 「対応」の時代』にはプレイブックのサンプルが掲載されています。これは、あなたのチームの出発点として役立つはずです。プレイブックの主なメリットは、攻撃が疑われるイベントをどうするか、どのようにエスカレートするか、インシデントが確認された時点で誰が関与する必要があるか、そして、どのようにコミュニケーションをとるかについて、可能な限りのシナリオをじっくりと考察することができる点です。

ヒント:
すでにプレイブックをお持ちでしたら、再度読み直し試行してみて、目的に合致していることを確認してください。

技術 – 可視性、制御力、そして柔軟性

このホワイトペーパーでは、あなたの社内で脅威プロファイルに関する議論を導くためのフレームワークを提供しています。企業として、直面するリスクに対する意識統一が為されたら、ホワイトペーパーから得られた教訓を脅威に対応するための適切な技術の実装へと結び付けてください。効果的に対応するためには以下の点への留意が不可欠です。

  • リスクを100%カバーすることは困難ですが、組織はできるだけ100%カバーすることに近づけるべきです。
  • 適切なデータを確保し、それを可能な限り迅速に分析して行動する能力が必要です。多くのツールを使用すると、得られた情報を処理するよりも情報の取得が優先されてしまいます。起こっている事象をすべて把握しようとすると、リードタイムが長期化する可能性があります。
  • 大半のツールは、攻撃者に気付かれないように攻撃を遅らせたり、攻撃を失敗に終わらせるためのアクションを可能にするはずです。

ヒント:
リスクアペタイトと脅威のプロファイルに基づいて、フォレンジック調査担当者が正確な情報を探し出すことができるように、通常の資産へのログの数を把握しておきます。たとえばDNSのログは、さまざまなマルウェアが依然としてDNSに依存していることから最初の通信の証拠となるため、必須項目となります。ゲートウェイログから最初のホストまでのDNSクエリをトレースバックする機能がない場合は、対応のアクティビティが遅れることがあります。

どこから始めるべきか?

長期にわたってサイバー攻撃の影響を受けている企業の例は数多くあります。いたずらに恐怖をあおることは避けるべきですが、サイバーセキュリティと対応の準備について経営陣で協議する際には、いくつかの目標とする投資が単なるお金の問題ではなく、時間、労力、人に対してどれほど貢献するのかを理解してもらうことが重要です。対応活動に与えられた猶予時間が限られている中で、そのスピードを上げることができれば、侵害から復旧する方法を劇的に変えられる可能性があります。

必要な知識が不足していると思われる場合は、適切に代行できる人を立てて経営会議での議事の進行をスピードアップさせてください。そして、正しい測定基準を引き出すのに役立つ第三者を関与させてください。組織に対して、これらの要素を認識させ行動させることができれば、サイバー攻撃に制御されるのではなく、サイバー攻撃を制御することができるでしょう。

Matt Lawrence

12.07.19 8 min. read

カテゴリ

コメントを残す

Oops! There was an error posting your comment. Please try again.

Thanks for participating! Your comment will appear once it's approved.

Posting comment...

Your email address will not be published. Required fields are marked *

関連する投稿

Newsletter modal

登録を受付ました。 購読受付のメールをお送りしたのでご確認ください。

Gated Content modal

下のボタンをクリックしてコンテンツを確認ください。