Mandiant mWISE 2023が開催
Google Cloud傘下のMandiantが2022年に開催したセキュリティ関連のイベント「Mandiant mWISE」では、Mandiantの最高経営責任者(CEO: Chief Executive Officer)であるKevin Mandia氏が、「サイバー攻撃に1社だけで対応することはもはや現実的ではない。セキュリティベンダーや政府が協力する必要がある」と指摘した点が印象的だった。
そんな発表から一年。脅威者は戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)を変えながらサイバー攻撃を継続している。利用する技術や手口は変わっているものの、フィッシング詐欺メールを初期の攻撃ベクトルとする大枠は変わっていない。そして組織を取り巻くサイバーセキュリティ事情が厳しい状況のままであることも継続している。
Kevin Mandia氏は、今年のmWISE Conferenceでは、脅威者に侵入されたことを前提とした対応が大切であることを指摘するとともに、人工知能(AI: Artificial Intelligence)技術がオフェンス側よりもディフェンス側に有利であるという点を強調した。侵入を受けることを前提とした対応が必要であること、AIがセキュリティ業界を大きく変えることになると指摘している点が注目される。
侵入を防止するのは現実的ではない
ここ数年間、セキュリティの分野では「ゼロトラスト」の取り組みが大きく浸透した。ゼロトラスト以前のセキュリティ対策はエッジ部分を強固にしておけば大丈夫という考えが支持されていた。しかし、クラウドの利用が増え、ハイブリッドワークのように世界中のさまざまな場所から接続して利用するような業務形態になると、エッジを固めるだけでは守り切れないという状況になった。
たった一つのアカウント窃取や、たった一つの脆弱性が穴となり、脅威者の侵入を許してしまう。侵入されたあとは、企業システムの内部で自由自在に横移動が行われ、機密情報の窃取やデータの暗号化が行われてしまう。守りを完璧にするのは難しいどころかもはや不可能に近い状況にある。
Kevin Mandia氏は、エッジでの防御が困難な状況を次のように説明した。
「仮想プライベートネットワーク(VPN: Virtual Private Network)ソフトウェアやファイアウォール・ソフトウェア、ルータソフトウェアなど、多くのソフトウェアが標的になっている。 サイバーセキュリティ脅威者はこの手のデバイスにおいてエンドポイント検出応答(EDR: Endpoint Detection and Response)が動作していないことを承知している」
こうした状況を打破するアプローチが「ゼロトラスト」だ。侵入されたことを前提としてセキュリティ対策を設計し実施する。Kevin Mandia氏は、「すべてにゼロデイを検討する必要があり、ネットワークに侵入された後にこれを検知する必要がある」と、ゼロトラストの必要性を訴えた。
Mandiantは2004年に発足した企業だが、発足当時から「サイバーセキュリティは予防策だけに頼ってはいけない」という考えを持っている。つまり、サイバーセキュリティにおいて侵入は避けられないと考えている。Kevin Mandia氏は、「この20年間でこの考え方が真実であることが証明されたと考えている」と説明した。
長い戦いで燃え尽きないための切り札、それは「AI」
セキュリティ対策の問題の一つに担当者の「燃え尽き症候群」がある。セキュリティ対策には終わりがない。成果も見えにくく、見えない敵との戦いを続けなければならない。目に見えるような成果が出ない業務であり、想定以上に精神的な負担が多いケースがある。
Kevin Mandia氏は、この状況を次のように説明した。
「自分の役割や週末が尊重されているとは思えず、上昇志向も感じられない。燃え尽き症候群を引き起こしている最大の原因は、そのような感覚にある。担当者は自分の仕事を非効率的であると感じ、一日中ログファイルに目を通し、何かを探す。こうしたことがプレッシャーになっている可能性がある」
Mandia氏は労力を軽減しこうした状況を変える必要があると指摘し、これを可能にする技術がAIと語った。「今後数年間、AIが多くのことをきわめて早く変えることになる」(同氏)
FBIが取り組みを発表
Mandiant mWISEの特徴の一つに、政府関係者との結びつきの強さを挙げることができる。米国は政府機関が積極的にセキュリティ対策に取り組んでおり、米国連邦調査局(FBI: Federal Bureau of Investigation)もそうした組織の一つだ。Mandiant mWISE 2023には、FBIからディレクターを務めるChristopher Wray氏が登壇して同機関の活動について報告した。
米国連邦調査局は米国内外の組織と連携しながらサイバーセキュリティ攻撃への対応や撲滅といった取り組みも行っている。大規模オペレーションを通じてボットネットなどの撲滅などにも取り組みを行っている。