Trace Id is missing

CISO Insider: 第 2 号

 倉庫でタブをチェックする女性

サイバー犯罪の経済により、巧妙な攻撃が急増しています。本記事では、CISO が最前線で見ていることについて話を聞きます。

はじめに

CISO Insider 第 2 号へようこそ。Microsoft 365 Defender および Sentinel のエンジニアリング チームを統率する Rob Lefferts です。Microsoft Security では、ますます複雑化するお客様のセキュリティ環境の中で、お客様の声に耳を傾け、そこから学び続けています。CISO Insider は、お客様の同業者や Microsoft 独自の業界調査から得た推奨事項を共有する手段になるように設計されました。この第 2 号では、第 1 号で取り上げた脆弱性に続き、サイバー恐喝について詳しく見ていきます。また、ビジネスとセキュリティ チームへの影響を最小限に抑えながらこのような横方向の攻撃を阻止するためにセキュリティ リーダーが実践している方法を詳しく取り上げます。

 第 1 号では、CISO が最も懸念している、ハイブリッドやマルチクラウド環境における新たな脅威トレンドへの対応、サプライチェーンにおける脅威の管理、セキュリティに対応できる人材の不足という 3 つの課題について解説しました。本号では、このサイバー リスク要因の最悪の状況を詳しく見ていき、深刻化する脅威を打開するために組織がどのように戦術を進化させているかを明らかにします。まず、ランサムウェアのリスク プロファイルの変化と、ネットワーク全体に横展開するランサムウェアやその他の侵害を防止するためのベスト プラクティスを検証します。次に、侵害を防ぐだけでなく、最初の重要な瞬間に迅速に対応するために不可欠な 2 つの重要なリソース、拡張検出と応答 (XDR) と自動化について見ていきます。この 2 つは、第 1 号で取り上げた脆弱性、すなわち、ハイブリッド作業やサプライヤーのエコシステムに分散している今日のネットワークの拡張されたセキュリティと ID の境界、およびこれらの脅威を監視し対応する人的リソースの不足に対処するのに役立ちます。

サイバー犯罪の経済により、平均的なサイバー犯罪者はより優れたツールや自動化を利用できるようになり、規模の拡大とコストの削減が可能になっています。成功した攻撃の経済性と組み合わさることで、 ランサムウェア が急速に増える軌跡を描いています (Microsoft デジタル防衛レポート、2021 年)。攻撃者は、まず被害者に身代金を要求し、次に盗んだデータを公開する可能性があること示すという、二重の恐喝モデルを採用することで、リスクを高めています。また、重要インフラストラクチャを混乱させるために、運用技術アセットを標的にする攻撃も増加しています。CISO は、ビジネスの中断とデータ流出のどちらがビジネスにとって壊滅的なコストが発生する恐れがあるか、業種や準備のレベルによって違いを設けています。いずれにせよ、両方のリスクを管理するためには、準備がカギとなります。緩和策に加えて、エンドポイント セキュリティの強化、ID 保護、暗号化などの予防策を成功させることは、こうした攻撃の頻度と深刻さを考えると不可欠になっています。

CISO は、ランサムウェアのリスクにどのように対処するかについて、より戦略的に考えるようになっています。

ランサムウェアの攻撃者は、最も破壊的である、人質に取られた場合に価値がある、解放された場合に最も機密性が高いなど、最も金銭を引き出せると思われる最も価値のあるアセットを標的にしています。

業種は組織のリスク プロファイルを決定する重要な要素であり、製造業のリーダーはビジネスの中断を最大の懸念事項として挙げる一方で、小売業や金融サービスの CISO は個人を特定できる機密情報の保護を優先しています。そして、医療機関は、どちらの面でも同じように脆弱です。これに対応するセキュリティ リーダーは、境界線の強化、重要データのバックアップ、冗長システム、暗号化の強化などを通じて、データの損失や暴露からリスク プロファイルを積極的に移動させています。

現在、多くのリーダーにとってビジネスの中断が焦点となっています。たとえ短時間の中断であっても、ビジネスにはコストがかかります。ある医療機関の CISO は最近、ランサムウェアは運用上、大規模な停電と変わらないと話していました。適切なバックアップ システムがあれば、電力を迅速に復旧させることができますが、それでもビジネスを中断させるダウンタイムが発生します。別の CISO は、主要な企業ネットワークだけでなく、パイプラインの問題や、ランサムウェアによって主要なサプライヤーがシャット ダウンされることによる二次的な影響など、混乱が運用上の懸念にまでおよぶ可能性について考えていると述べています。

混乱を管理するための戦術には、ダウンタイムを最小化するための冗長システムとセグメンテーションの両方が含まれます。これにより組織は、影響を受けたセグメントを封じ込め、復旧させながら、トラフィックをネットワークの別の部分にシフトさせることができます。しかし、どんなに堅牢なバックアップやディザスター リカバリーのプロセスがあっても、ビジネスの中断やデータ流出の脅威を完全に解決することはできません。軽減策の対照的な面は予防です。

ランサムウェアから組織を守るために、以下のことをおすすめします。

  • 防御と回復の準備をする。 データ復旧、バックアップ、安全なアクセスのシステムを導入する一方で、想定される侵害に対して ゼロ トラスト の社内文化を採用します。多くのセキュリティ リーダーは、バックアップや暗号化によって攻撃の影響を軽減するという重要なステップを進めており、これによりデータの損失や暴露から身を守ることができます。保護フォルダーを指定することで、攻撃者による意図的な消去や暗号化からバックアップを保護することが重要です。リハーサル済みの事業継続/ディザスター リカバリー (BC/DR) 計画があれば、チームは影響を受けたシステムを迅速にオフラインにして攻撃の進行を妨害し、最小限のダウンタイムで業務を復旧させることができます。 ゼロ トラスト と安全なアクセスにより、攻撃を隔離し、攻撃者がネットワーク上を横方向に移動することを困難にすることで、組織は防御し、復旧することができます。
  •  ID を侵害から保護する。  特権アクセス戦略の導入により、資格情報の盗用と横方向の移動の可能性を最小限に抑えます。ランサムウェアに対する防御の重要なステップは、組織のネットワーク資格情報の包括的な監査です。特権資格情報は、他のすべてのセキュリティ保証の基礎となるものであり、攻撃者が特権アカウントをコントロールすることで、他のすべてのセキュリティ保証が損なわれる可能性があります。Microsoft が推奨する戦略は、特権アクセスの "クローズド ループ" システムを段階的に構築し、信頼できる "クリーン" なデバイス、アカウント、および仲介システムのみを、ビジネス上の機密システムへの特権アクセスに使用できるようにすることです。Microsoft が推奨する戦略は、特権アクセスの "クローズド ループ" システムを段階的に構築し、信頼できる "クリーン" なデバイス、アカウント、および仲介システムのみを、ビジネス上の機密システムへの特権アクセスに使用できるようにすることです。
  •  脅威を防止、検出して対応する。 包括的で統合された脅威検出および対応機能を活用することで、すべてのワークロードにわたる脅威から防御できます。サイロ化されたポイント ソリューションでは、予防的なギャップが生じ、身代金要求前のアクティビティの検出と対応が遅れることがよくあります。Microsoft は、統合  SIEM および XDR  により、マルチクラウド、マルチプラットフォームのデジタル資産全体にわたってクラス最高の予防、検知、対応を実現する包括的な脅威に対する保護ソリューションを提供します。

これら 3 つのベスト プラクティスが連動し、ゼロ トラスト アプローチに基づくデータ、ID、ネットワークの統合管理によって、包括的なセキュリティ戦略を形成します。多くの組織にとって、ゼロ トラストの導入は、より広範なセキュリティの変革につながります。多くのセキュリティ リーダーはゼロ トラストに向けて前進していますが、一部のセキュリティ リーダーは、セグメンテーションされた環境によって作業員やセキュリティ チームの生産性が阻害される可能性があるため、セグメンテーションを急速に進めることにはあまり価値がないと懸念を表明しています。

各組織には、それぞれ取り組むべき要件がありますが、私は、アクセスとセキュリティの両方の長所を利用することは可能であると述べたいと思います。セグメンテーションが破壊的である必要はありません。Microsoft は、組織が ID 管理をパスワードレス認証の導入のようなセキュリティ トランスフォーメーションの取り組みと組み合わせることで、多くの混乱を引き起こすログインをユーザーが管理する必要がなくなるというメリットを特に実感しています。Microsoft CISO である Bret Arsenault は、パスワードレスがどのようにセキュリティを促進するかを説明しています。"デバイスを保護することは重要ですが、それだけでは十分ではありません。個人のセキュリティにも焦点を当てる必要があります。あなたがパスワードになることで、お使いのエクスペリエンスとセキュリティを強化することができます。" ほとんどの攻撃の入り口は、盗まれた資格情報です。たとえば、2022 年の Verizon Data Breach Investigation Report (DBIR) によると、Web アプリケーションの侵害の 80% 以上が盗まれた資格情報によるものです。パスワードレスはこのような重要なセキュリティ ギャップを埋めるのにも役立ちます。

"デバイスを保護することは重要ですが、それだけでは十分ではありません。個人のセキュリティにも焦点を当てる必要があります。あなたがパスワードになることで、お使いのエクスペリエンスとセキュリティを強化することができます。"
Bret Arsenault (Microsoft CISO)

ランサムウェアへの包括的なアプローチには優れたツールが必要

私が話をする CISO の多くは攻撃の予防と検知に対してさまざまな組み合わせのアプローチを取っており、脆弱性テスト、境界テスト、自動化されたモニタリング、エンドポイント セキュリティ、ID 保護などをカバーするベンダーのソリューションを何重にも利用しています。これは意図的な冗長化であり、多層的なアプローチによりあらゆるギャップが埋められることを期待しているものです。スイス チーズの積み重ねのように、穴が一直線に並ばないことを期待しているのです。

私たちの経験では、このような多様性によって修復作業が複雑になり、潜在的にリスク露出が増えてしまう恐れがあることが示されています。ある CISO が指摘するように、複数のソリューションを組み合わせることの欠点は、断片化による可視性の欠如です。"私は最善のアプローチをとっていますが、それ自体に課題が生じています。なぜなら、脅威を管理するためのコンソールがそれぞれ独立して存在し、社内で何が起こっているのかを総合的に把握することができないため、総合的なリスクに対するインサイトが不足しているからです。(医療機関、従業員 1,100人) 攻撃者は複数の異種ソリューションにまたがる複雑な網を張っているため、キル チェーンの全体像を把握し、侵害の範囲を特定し、マルウェアのペイロードを完全に根絶することは困難です。進行中の攻撃を阻止するには、複数の経路を横断して攻撃をリアルタイムで検出、阻止、封じ込め/修復する能力が必要です。

結論

包括的で統合されたソリューションによって脆弱性を管理することで、攻撃面を減らし、重要なシグナルをノイズと区別することができます。アラートや擬陽性の絶え間ない流れから真の脅威を見分けるのに苦労している組織にとって、このシンプルさは極めて重要です。

XDR を使用してランサムウェアやその他の巧妙な攻撃から身を守る

多くのセキュリティ リーダーは、このようなプラットフォーム横断的な視点から、拡張検出と応答 (XDR) に注目しています。XDR を採用することで、エンドポイントだけでなくエコシステム全体のシグナルを調整し、高度な脅威の検出と対応を迅速に行うことができます。

XDR はエンドポイントでの検出と対応 (EDR) のように機能しますが、より広い範囲をカバーし、ID、インフラストラクチャ、アプリ、データ、ネットワーク、クラウドなど、デジタル環境全体にわたってセキュリティ脅威の検知とインシデント対応を行います。このような広範なスコープは、最新の攻撃が複雑な分散環境を利用してドメインを横断的に移動するなど巧妙化していることを考えると、非常に重要です。攻撃は、さまざまなクラウド、メール、SaaS アプリケーションなどを横方向に移動しながら、ますます非直線的に進行するようになっています。

XDR を使用することで、すべての異種システムからのデータを統合し、インシデント全体を端から端まで把握することができます。ポイント ソリューションでは、攻撃の一部しか表示されないため、このような包括的な可視化が困難となる可能性があります。また、さまざまなポータルからの複数の脅威シグナルを手作業で相関させるため、セキュリティ チームの負担が増大します。結局のところ、これでは脅威を完全に修復するのに時間がかかったり、場合によっては不可能になったりすることもあります。

EDR から XDR への飛躍

XDR は、まだ一部でしか有効に活用されていません。CISO の多くは、EDR を強力な出発点として導入しています。EDR は実績のあるアセットです。現在、エンドポイントでの検出と対応を使用しているユーザーは、ランサムウェアをより迅速に検出し、阻止しています。

しかし、XDR は EDR の進化形であるため、XDR の有用性に疑問を持っている CISO もいます。XDR は EDR にいくつかのポイント ソリューションを付加しただけのものなのか、まったく別のソリューションを使う必要があるのか、それとも、使用している EDR はいずれ同じ機能を提供するようになるのかなど、現在の XDR ソリューション市場は、ベンダーが先を争うように製品ポートフォリオに XDR 製品を追加しようとしているため、さらなる混乱を招いています。EDR ツールを拡張して脅威データを追加するベンダーもあれば、XDR 専用プラットフォームの構築に注力するベンダーもあります。後者は、セキュリティ アナリストのニーズを中心に、すぐに使える統合と機能を提供するためにゼロから構築されており、チームが手作業で埋めなければならないギャップが少なくなっています。

結論

XDR が今日のセキュリティ環境において非常に魅力的なのは、脅威を検出し、封じ込める際のカバレッジとスピードにあります。ランサムウェアやその他の悪意のある攻撃がますます一般的になるにつれ (あるインタビューに答えた人は、平均して *毎日* 攻撃を受けていると述べています)、セキュリティ リーダーは、24 時間年中無休の監視と、ほぼリアルタイムの対応を提供する自動化を重要なツールと見なしています。

自動化を活用してチームの影響力を高める

セキュリティの人材不足と脅威への迅速な対応の必要性に直面しているセキュリティ リーダーに対し、Microsoft は、パスワードのリセットなどの雑務を処理するのではなく、最悪の脅威に対する防御に集中できるよう、自動化を導入することを奨励してきました。興味深いことに、私が話を聞いたセキュリティ リーダーの多くは、自動化機能をまだ十分には活用していないと述べています。セキュリティ リーダーがこの機会を十分に認識していないケースもあれば、コントロールを失ったり、不正確さを招いたり、脅威の可視性が犠牲になったりすることを恐れて、自動化の導入をためらっているケースもあります。後者の懸念は理にかなっています。しかし、自動化を効果的に導入している企業では、コントロールの強化、擬陽性の低減、ノイズの軽減、実用的な分析情報の取得など、セキュリティ チームと一緒に導入することでチームの取り組みを導き、集中させることにより、自動化で正反対の効果を達成しています。

自動化には、基本的な管理タスクの自動化から、機械学習によるリスク評価まで、さまざまな機能が含まれます。ほとんどの CISO から、従来のイベント トリガまたはルールベースの自動化を採用していると報告されていますが、リスクベースのアクセス判断をリアルタイムで可能にする組み込みの人工知能や機械学習の機能を活用しているところはあまりありません。確かに、定型的なタスクを自動化することで、セキュリティ チームは人間が最も得意とするより戦略的な思考に集中することができます。しかし、例を挙げると、インシデント対応のトリアージなど、データ解析、パターン マッチング、インテリジェント パートナーなどの戦略的な領域においてこそ、自動化がセキュリティ チームの力になる可能性が最も高いのです。たとえば、AI と自動化は、セキュリティ シグナルを相関させて、侵害の包括的な検出と対応をサポートすることが得意です。Microsoft が最近実施した調査では、セキュリティ担当者の約半数が、シグナルを手作業で相関させなければならないと回答しています。1   これは、非常に時間のかかる作業であり、攻撃を阻止するために迅速に対応することはほとんど不可能です。セキュリティ シグナルの相関関係のような自動化を適切に適用すれば、攻撃をほぼリアルタイムで検出できることがよくあります。

"薄い利益率のためあまり多くの人を雇えないので、AI が必要なのです。" 
- レストラン/ホスピタリティ、従業員 6,000 人

多くのセキュリティ チームが、既に使用している既存のソリューションに組み込まれている自動化を十分に活用していないことが分かっています。多くの場合、自動化の適用は、固定ルールのアクセス ポリシーをリスクベースの条件付きアクセス ポリシーに置き換えたり、応答プレイブックを作成したりするなど、利用可能な機能を構成するのと同じくらい簡単で、大きなインパクトがあります。

自動化の機会を見送ることを選択する CISO は、多くの場合、人間による監視なしに運用されている間にシステムが回復不可能なエラーを起こすことを懸念しています。想定されるシナリオとしては、システムが不適切にユーザー データを削除したり、システムへのアクセスが必要な経営幹部に迷惑をかけたり、最悪の場合、脆弱性が悪用された場合の制御や可視性を失うことなどがあります。

"物事を自動で進めようとするとき、私は時々、何を上書きしているのだろう、何から回復しているのだろう、何がこの行動を起こさせたのだろう、と怖くなります。" 
- 金融サービス、従業員 1,125 人

しかし、セキュリティは、日々の小さな不都合と壊滅的な攻撃の絶え間ない脅威との間で天秤にかけられがちです。自動化は、そのような攻撃の早期警告システムとして機能する可能性を秘めており、その不便さは軽減または排除できる可能性があります。その上、自動化はそれ自体だけではなく、人間のオペレーターと連携することで最高の状態で動作します。その人工知能は人間のインテリジェンスに情報を提供し、また人間のインテリジェンスによってチェックされます。

スムーズに導入できるよう、Microsoft は、ロールアウト前の試運転を提供するために、Microsoft のソリューションにレポート専用モードを追加してきました。これにより、セキュリティ チームは自分のペースで自動化を導入し、自動化ルールを微調整し、自動化ツールのパフォーマンスを監視することができます。

自動化を最も効果的に導入しているセキュリティ リーダーは、チームと一緒になって自動化を導入し、ギャップを埋め、最初の防御ラインとして機能させています。ある CISO が、セキュリティ チームを常にあらゆる場所に配置することはほとんど不可能であり、法外なコストがかかること、仮に可能であったとしても、セキュリティ チームは頻繁に入れ替わる傾向があると、最近私に語りました。自動化は、トラフィックの監視や早期警戒システムなど、常時オンの継続性と一貫性のレイヤーを提供し、この一貫性が必要な分野でセキュリティ チームをサポートします。このようなサポート機能を導入することで、チームはログやシステムを手作業で確認する手間を省き、よりプロアクティブに行動できるようになります。自動化は人間に取って代わるものではなく、アラートに優先順位を付け、最も重要な部分に労力を集中させるためのツールです。

結論
最も強力な防御戦略は、AI と自動化ツールを、セキュリティ チームのより細かい警戒と戦術的対応と組み合わせることです。タスクを完了し、攻撃を封じ込めるために即座に行動を起こすという直接的なメリットだけでなく、自動化によってチームは時間を管理し、リソースをより効果的に調整できるようになるため、より高次の調査や修復アクティビティに専念できるようになります。

引用した Microsoft の調査はすべて、量的および質的調査の両方において、独立した調査会社を使用してセキュリティ専門家と連携しており、プライバシーの保護と分析の厳密性を保証しています。このドキュメントに含まれる引用および調査結果は、特に明記されていない限り、Microsoft による調査研究の結果です。

  1. [1]

    2021 Microsoft が CISO とセキュリティ担当者を対象に実施した調査

関連記事

CISO Insider 第 1 号

セキュリティのリーダー達からの独自の分析や推奨事項を活用して、脅威が存在する今日の状況をうまく切り抜けましょう。

Cyber Signals:第 1 号

ID の領域が新たな主戦場となりました。進化するサイバー脅威と、皆様の組織で保護策を強化するために取るべき手順に関する分析情報をご覧ください。

Cyber Signals 第 2 号: 強要の経済学

サービスとしてのランサムウェアの開発について、第一線のエキスパートから話を聞きます。プログラムやペイロードからアクセス ブローカーやアフィリエイトまで、サイバー犯罪者が好むツール、戦術、ターゲットについて学び、組織を守るためのガイダンスを入手しましょう。