サイバーリスクが問題となっていることは周知のとおりですが、その規模を本当に把握している人はどのくらいいるでしょうか。

ある調査によると、世界の約3分の2の組織がランサムウェアの被害に遭っている一方でサイバー耐性があると答えた組織はわずか30%でした。さらに驚くべきことに、2027年までに、サイバー犯罪による被害額は全世界で23兆8,400億ドルに達すると予測されています。こうした事態は、サイバーセキュリティへの投資が増加しているにもかかわらず起こっています。

では、なぜ状況は改善されないのでしょうか。攻撃者は防御態勢を悪用したり、回避したりする方法を熟知しており、侵害や侵入が検出されるまで数カ月間、組織のネットワーク内に潜んで活動していることもあります。

最高レベルのツールや熟練したチームをもってしても、脅威の検出は、干し草の山から針を見つけなければならないほど、至難の業です。多くのサイバーセキュリティチームが、大量のアラートとデータに圧倒され、防御ではなく事後対応に追われています。

しかし、事後対応の準備だけでは対策としては不十分です。組織が脅威を回避するには、攻撃者に対し先手を打つために、受動的な防御戦略から能動的な防御戦略へと移行することが大切です。先行的な脅威ハンティング、つまりサイバー犯罪者が攻撃する前にチームがリスクを特定して無効化する予防的アプローチを取ることが必要となります。

脅威を先行的に捉えることが難しい理由

そこで、干し草の山から針を探すことを想像してみましょう。さらにその針が、干し草の奥深くに隠れていると考えてみましょう。

これが、脅威ハンターが日々直面している状況です。最新の脅威は非常に巧妙化しており、疑わしい動作を検出するだけのセキュリティツールでは、全体像を把握できないことが多くあります。脅威の全体像を把握するには、マルウェア分析、パケット分析、脅威インテリジェンスなど、多くのチームが十分に備えていない高度なスキルが求められます。

加えて、ほとんどのツールは孤立したデータポイントに重点を置いているため、ネットワークを全体的に把握できず、サイロが発生します。すべてのプラットフォームとデバイスを包括的かつ継続的に監視できなければ、組織は脆弱な状態に置かれてしまいます。さらに悪いことに、点と点をつなぐ適切なコンテキストを把握できなければ、データの山に埋もれ、チームは侵害の重要な兆候を見逃してしまいます。

サイバー犯罪者は、粘り強さとステルス性を武器にしています。彼らの攻撃は断続的に行われるものではなく継続的で常に進化している上、忍耐強いため、定期的なスキャンとチェックだけでは対策として不十分です。これに対抗するには、継続的な監視を行い、疑わしい活動や侵害の兆候を注意深く探す必要があります。

脅威を先回りしてリスクをあぶり出す

組織の環境は大規模かつ複雑で、ネットワークの複数のセグメントや世界中のサイトにまたがる場合があります。ドメイン固有のOT/IoTセキュリティツールやポイントソリューションでは、包括的な資産インベントリの構築、非従来型デバイスの脆弱性ステータスの収集、 変化の検出、脅威の評価を行うことは困難です。ポイントツールから収集されるデータと洞察は、資産固有のリスクを理解する上では貴重ですが、データのサイロ化を招くため、脅威を先行的に探すには不十分です。

組織のネットワークには複数のサイバーセキュリティレイヤーがあるため、アタックサーフェス全体を先行的に調査することが重要となります。最初のアクセスポイントのみに焦点を当てると、チームは拡大する脅威を見逃したり、ステルス性のある攻撃者の検出回避を許してしまったりするおそれがあります。 攻撃者がネットワーク内でラテラルムーブメントする兆候を先回りして探し、不正な権限昇格、アクセス権の乱用、その他の脅威を特定することで、当初は特定できなかった潜在的なリスクを明らかにすることができます。

攻撃者を先回りして特定する方法

脅威ハンティングを効果的に行うポイントは、可視性、コンテキスト(関連性)、アクションの3つです。これを実現するためには、脆弱性、オンプレミスおよびクラウド内の設定ミス、ユーザー、資産、攻撃経路など、アタックサーフェス(攻撃対象領域)全体を先行的に監視する必要があります。

ビジネスインテリジェンスと脅威インテリジェンスを組み合わせることで、セキュリティチームにコンテキストを提供し、疑わしいアクティビティや悪意のあるアクティビティの特定を支援します。

業務に影響を与える可能性が最も高い深刻な脆弱性にリソースを集中させることで、的を絞った効果的な解決と、セキュリティプログラムの効果を最大化できます。

脅威を先行的に特定しなければ、組織はシステム内に悪意のある攻撃者が潜んでいるかどうかを把握できません。システムに侵入したサイバー犯罪者は、長期間にわたってネットワーク内に留まり、データを収集し、組織のより深いシステムにアクセスするための機密情報や資格情報を探します。

攻撃者による脅威は、取り返しのつかない経済的損害や風評被害をもたらす可能性があります。先行的な脅威ハンティングを実施すれば、初期防御を突破した悪意のある行為者を特定して根絶し、さらなる侵害を未然に防ぐことができるのです。

著者プロフィール


貴島 直也(きしま なおや)

Tenable Network Security Japan株式会社 カントリーマネージャー

アダムネット株式会社(現 三井情報株式会社)やEMCジャパン株式会社で主に金融担当営業および営業マネージャーを経て、EMCジャパンのセキュリティ部門であるRSAに執行役員として所属。GRCソリューションやxDRのビジネスの立ち上げ・拡大に従事、さらに韓国のゼネラルマネージャーも兼務。その後、RSAの独立に伴い執行役員社長としてRSAのビジネスの拡張を牽引。2021年4月より現職。日本企業のセキュリティマーケットの拡大およびチャネルアクティビティの実行を統括。