金銭搾取を目的としたサイバー攻撃が増え続け、その被害は拡大の一途を辿っている。
その背景には、ランサムウェアの産業化/商業化が進み、犯罪者が参入しやすくなったことが挙げられる。
被害を最小限に抑えるには、「自社のセキュリティレベル」を知り「運用措置」を確立することが重要だ。
絶えず変化し、凶暴化するサイバー攻撃に対して、柔軟かつ迅速に対処できる最先端のセキュリティ対策に迫る。
検挙率わずか0.05%、急増する金銭目的のサイバー攻撃
現在のサイバー攻撃は、自分たちの技術力を誇示する“売名行為”的なものは減り、セキュリティ侵害によってお金を得るという攻撃が増え、その深刻さが増している。しかも、以前は金銭目的であれば盗んだ個人情報などをアンダーグラウンドで販売するような手法が多かったが、現在では、より短時間に直接的に金銭を得る方法で攻撃するようになった。つまり、組織の情報を人質に取った身代金ビジネスへの移行である。こうしたランサムウェアによる被害は急激に増加しており、復旧コストなどの被害額も増加の一途をたどっている。
この背景には、ランサムウェアの産業化/商業化が進んだことがある。攻撃を支援するツールやサービスの作成者と、それを利用する攻撃者がおり、攻撃によって得た金銭の中からそのツールやサービスの利用料金を支払うといった分業体制ができあがり、犯罪者が参入しやすくなっているのだ。さらに深刻なのは、現在ではそれが進化し、「Ransomware-as-a-service(RaaS)」としてサービス化された攻撃プラットフォームが存在していることである。このため、ランサムウェアによる被害は今後さらに拡大、深刻になると予想されている。ランサムウェアのような脅威に対する備えは、企業において喫緊の課題となっている。
-
ランサムウェア攻撃の現状:
2017年に世界中を混乱させたランサムウェア「WannaCry」をきっかけに、ランサムウェアの被害は拡大し続けている。特に2020年に被害が急増している。
対策のカギは予防措置の先の「運用措置」
ランサムウェアのようなセキュリティの脅威に対する企業の取り組みは、「予防」と「運用」の2 つに大別される。
最初に企業が取り組むべきは、「予防」である。例えば、使用しているOS の最新のパッチの適用やウイルス対策ソフトウェアの更新などをきちんと行い、電子メールやWeb サーバーの脆弱性に対して万全の対策を行っておくことである。ランサムウェア、マルウェアの被害があった時は、有効な認証情報が抜き取られる。このため、認証基盤の強化などもポイントになるだろう。
しかし、どれだけ入念な予防装置を行っても、残念ながらランサムウェアやマルウェアの侵入は防ぎきれないのが現状だ。ランサムウェアなどのサイバー攻撃は、常に最新の技術が用いられており、攻撃者が有利な立場にあるからだ。このため、予防措置の効果は確かにあるが、すべてをブロックすることはできない。そこで重要になってくるのが、予防措置の次の段階である「運用」である。
-
Splunkが提示する「Security Journey」:
Splunkが提示しているセキュリティ対策のロードマップ。日本は、まだLevel1とLevel2の間ぐらいに位置しており、攻撃を受けてから対処するリアクティブの状態で、受け身の企業が多いとされる。
運用措置は検知/対応/復旧を行うフェーズに位置付けられる。予防措置でブロックできなかったものを、運用の中で検出し、対応していくというわけだ。実際に予防措置でブロックできなかったランサムウェアなども、その侵入(感染)を迅速に発見し、短時間で有効な対策を打てば、実質的な被害をゼロにできたり、被害を最小限に食い止めたりすることが可能だ。そういった知見を蓄積していけば、対策を効率化/迅速化し、サイバーセキュリティ対策の強化につなげていくこともできる。
運用措置は、NIST*のサイバーセキュリティフレームワークにおいても必須のものとして定義されており、現在のサイバーセキュリティ対策では、予防措置をしっかり行うことは大前提として、運用措置に重点をおいた対策を行うことが主流となる。運用措置をどれだけしっかりと行えるか、これが現在のサイバーセキュリティ対策のカギになるといってもよい。
*National Institute of Standards and Technology の略「米国国立標準技術研究所」
セキュリティ対策を強化するソリューション
そこで注目したいのが、Splunk のサイバーセキュリティ対策ソリューションだ。Splunk Cloud、Splunk Enterprise、Splunk Enterprise Security、Splunk SOAR などで構成されるこのソリューションは、企業が現在直面している人材不足や技術力不足といった課題も解決する。
Splunk のソリューションは、現在重視されている運用措置に特に大きな強みをもつ。構造化データ、非構造化データを問わずテキストデータであれば、それをクラウド、オンプレミスなど環境を選ぶことなく取り込み、セキュリティに関する詳細分析を一元的に実施できる。また、分析結果を用いたセキュリティオペレーションの自動化機能なども備える。この機能を利用すると、繰り返し行うタスクのほか、検出、調査、対応を自動化することでセキュリティインシデントのトリアージを迅速化できる。また、セキュリティアナリストの負荷を軽減し、業務の効率化や精度の向上といったところにフォーカス、シフトさせ、企業のセキュリティ強化に繋げることもできる。
車に例えれば、普通に走る/曲がる/止まるといったポイントを押さえたソリューションとなっているので、一般のIT エンジニアでも、使っていくことでナレッジを深めてプロフェッショナルにより近づくことができる。セキュリティ対策を強化したい企業は、業界のトップランナーでもある同社のソリューション導入をぜひ検討してほしい。
[PR]提供:Splunk
TP-Link製ルータに重大な脆弱性、使用中止を
