企業は悪質なサイバー攻撃に対抗するために何をすべきか？

年々、市場で提供されているセキュリティ・ソリューションは増えているが、残念ながら、企業を襲うサイバー攻撃はとどまるところがない。やはり、攻めるよりも守るほうが難しく、被害は深刻化する一方だ。

こうした中、企業はどうすれば、サイバー攻撃に対抗することができるのだろうか。米CrowdStrike アジア環太平洋地域担当サービスマネージャーを務めるMark Goudie氏は、3つのポイントに分けて、企業が自社を守るために実行すべきことを教えてくれた。

米CrowdStrike アジア環太平洋地域担当サービスマネージャー Mark Goudie氏

攻撃者から侵害を受けていないかどうかを確認する

Goudie氏は「これが最も重要」と前置きをして、まずは、自社が攻撃者によって侵害されていないかどうかを把握する必要があると語った。

特定の企業を狙う攻撃者は、長期間にわたり侵入し、情報収集などを水面下で行いながら、徐々に攻撃を進めていくと言われている。つまり、攻撃者は存在を発見されないように、細心の注意を払って行動しているため、セキュリティ・ソリューションを導入していても気づけない状況が生じている。

それには、自社の資産管理をきっちり行っておく必要があるという。以前、ある企業の調査を行った際、2年前までは使われていたけど既に使われていなかったシステムから脆弱性が発見されたそうだ。使っていないシステムでも、脆弱な状態でネットワークに接続していたら、攻撃者に悪用され、そこから攻撃が拡大するおそれがある。

セキュリティ体制の成熟度を確認する

自社の状況を把握できたら、次は、セキュリティ体制の成熟度を確認する必要がある。Goudie氏は成熟度を測定する有効な手段としてテストを挙げた。このテストは企業の環境で実施すべきだそうだ。「慣れていくことは重要」と同氏。

Goudie氏は「成熟度を上げていくには、人間、プロセス、テクノロジー」が一体となって進めていく必要がある。ラグビーのチームも、選手、戦術、練習という3つの側面を極めることで、戦力を高めている。セキュリティ対策も同じ」と話す。

CrowdStrikeは、企業が成熟度を高めている上でのゴールとして、効果的な防御に関する3つの指標を定めている。それは、「1分以内に検知し、10分以内に調査し、60分以内に修復する」というものだ。同社はこの指標を「1-10-60ルール」と呼んでいる。

正直なところ、3つの指標をすべてクリアするのは難しいように思う。ただし、Goudie氏は「すべての企業がこの指標を達成する必要はないが、この指標に受けて、改善していくことが大切」と語る。

そして、セキュリティ体制の成熟度を高めていく上で、敵を知ることも重要だという。敵、つまり攻撃者の実態を知ることで、有効な防御策を練ることが可能になる。

Goudie氏は、攻撃者がエンドポイントに侵入してから組織内の横方向に動き始めるまでの時間を「ブレイクアウトタイム」として、各国に拠点を置く攻撃者チームのランクを示した。

最もブレイクアウトタイムが短いのはロシアに拠点を置く攻撃チームで約18分となっている。これに続くのが、約2時間20分の北朝鮮である。なお、ブレイクアウトタイムは攻撃者の能力を示すものではないという。

国別に見た攻撃チームのブレイクアウトタイムの平均時間　資料：CrowdStrike

攻撃に備えてトレーニングを行う

最後のポイントが、攻撃を受けることを前提として、トレーニングを行うことだ。陳腐な言葉だが、セキュリティの世界で「100%安全」ということはありえない。

Goudie氏は「顧客に対し成熟度評価を行った際によくあるのが、評価ツールを導入しているにもかかわらず、使いこなせていないことだ。これは、トレーニングが足りないから」と話す。

トレーニングを行う際に重要なことは、経営層にサイバー攻撃の脅威を理解してもらうことだ。IT部門がセキュリティ業界の用語を使って説明するだけでは、経営層に理解してもらうことは難しい。

Goudie氏がある金融機関で、経営層に対して攻撃を受けたら、取引が停止することを示したところ、態度が一変したという。経営層がセキュリティに対し正面から向かい合うことで、より有効なプログラムを構築することが可能になる。

例えば、攻撃する側のRedTeamと防御する側のBlueTeamに分かれて、模擬攻撃を行うというトレーニングは非常に効果的だそうだ。

Goudie氏は、「トレーニングの中で『自社の弱点がどこにある』『なぜそれを検知できなかったのか』」ということを明らかにすることが大切だと指摘する。トレーニングもやりっぱなしではいけないということだ。

ビジネスにおいてITを利用する限り、セキュリティ対策は常に刷新していく必要がある。「1-10-60ルール」を1つの指標に、自社のセキュリティ対策を改善してみてはいかがだろうか。

企業は悪質なサイバー攻撃に対抗するために何をすべきか？

攻撃者から侵害を受けていないかどうかを確認する

セキュリティ体制の成熟度を確認する

攻撃に備えてトレーニングを行う

Members+ 会員限定記事

【独占】MIXI木村弘毅社長に聴く“ブレない理念” どんな事業でも「コミュニケーション」を追求

後継者としてトップに就任した3人が明かす、DX推進のポイント

1年生全員がPython認定基礎試験を受験した秋田県立新屋高校、その狙いと成果とは

FinOpsを実践するメルカリ、その道のりと気づき、今後の展望 - 後編

OracleのCEOキャッツ氏が初来日、「ゆっくり動くことはリスクになる」日本企業に提言

米オラクルCEOキャッツ氏、日本に対する1.2兆円の投資の狙いを説明

編集部が選ぶ関連記事

Microsoftのクラウド、1日3億件以上の不正サインインの試行受ける

Google、Chromeのパスワード利用状況を公開 - 最も危険なサイトは？

広告が表示されたら要注意、簡単に削除できないAndroidアプリ発見

DXの進展で増大する脆弱性のリスク - 経営層がとるべき対処法とは？

関連リンク

シスコ、AIネイティブなセキュリティアーキテクチャ「Cisco Hypershield」発表

大麻投資詐欺で9人逮捕、大麻をエサにした投資詐欺に警戒を

KELA、生成AIセキュリティソリューション「AiFort」国内販売開始

Oracle Java SEのアップデート公開、13件の脆弱性を修正

TP-Linkの無線LANルータの古い脆弱性を悪用するサイバー攻撃が拡大中、注意を

エンカレッジ・テクノロジが次世代型特権ID管理ソフトの最新版などを発表

このカテゴリーについて