Defender’s Advantage - 防御側の優位性 :効果的なサイバー防御のためのアプローチと考え方
Mandiant
このブログ記事では、「Defender's Advantage - 防御側の優位性」eBookガイドの主要なメッセージをまとめ、サイバーセキュリティに対する予防的、かつインテリジェンス主導のアプローチと考え方を紹介します。
「防御側の優位性」とはなにか?
一般に、サイバーセキュリティの世界では「攻撃側が有利」と言われます。というのも、攻撃側は数多くの標的組織の中からターゲットを定めて何度も攻撃を仕掛け、失敗を繰り返したとしても、たった一度でも成功すれば標的組織のネットワークへの不正侵入を達成することができるからです。脅威アクターの数は多く、豊富なリソースを持ち、一般の企業がさまざまな法律や規制を順守しているのを横目に、攻撃者はそれらの制限を受けずに自由に活動します。1つの脆弱性があればそれを悪用して侵入を達成することができます。その一方、防御側は毎日気を緩めることなく防御にあたり、数百もの攻撃を阻止したとしても、たった一度の失敗が大きな被害につながってしまう可能性があります。いつ、どこからやってくるかわからない攻撃に備え、100 %の防御が求められるのです。攻撃者が優位と言われるのには、こうした背景があります。
では、本 eBook の主題となっている「防御側の優位性」とはどのような意味なのでしょうか。これは、組織がそれぞれの事業活動を行うためのシステムやネットワーク環境は、通常自らが管理・制御している。つまり、守らなければならない環境を管理・制御できる立場にあるという点において、防御側こそがサイバーセキュリティにおける本質的な優位性を持っているという、基本的かつ重要な原則に焦点を当てた考え方です。しかし、これはサイバー防御が容易であることを意味するものではありません。実際、この防御側の優位性を生かすことができている組織は多くはありません。つまり、ここにギャップがあるのです。組織は自社のシステムとインフラストラクチャの理解を深め、守るべき環境の制御権を持っているという優位性を積極的に活用することで、攻撃者とのパワーバランスを有利にシフトさせることができます。システム環境の管理・運用を外部パートナーに委託しているかどうかとは関係ありません。実際の運用業務をアウトソースしているとしても、重要なのは事業者自体が主体となってサイバーセキュリティ戦略を策定し、自組織のシステム環境を理解して適切に防御できる態勢を構築することなのです。
脅威は常に変化する。自組織が本来持っている優位性を、決して忘れてはならない。どんな攻撃者よりも、自社のビジネス、システム、トポロジー、インフラについて把握しているのは、あなたたち自身のはずだ。これは極めて大きな優位性と言える
ケビン マンディア, Mandiant 創設者
セキュリティ運用からサイバー防御へ
Defender’s Advantage - 防御側の優位性 eBook では、攻撃に対して守備的にではなく積極的に対峙し、侵害の影響を最小限に抑えることをサイバー防御と定義しています。サイバー防御は、セキュリティガバナンス、セキュリティアーキテクチャ、およびセキュリティリスク管理とともに、情報セキュリティの 4 つのドメインの 1 つを構成しています。
では、防御側の優位性最大限に生かしたサイバー防御の考え方とはどのようなものなのでしょうか?年間 1000 件以上もの侵害調査に従事し、最前線でさまざまな攻撃を目の当たりにしている Mandiant の脅威レポート M-Trends では、攻撃者が被害組織の環境に侵入してから検知されるまでの日数を攻撃の滞留時間( Dwell-Time )と呼び、重要な指標として、毎年観察・報告しています。Mandiant がこの Dwell-Time に着目しているのは、「スピード」が重要であるという考え方が背景にあるからです。
最新の M-Trends レポートによると、2023 年の Dwell-Time の中央値は過去もっとも少ない 9 日(アジア太平洋地域)でした。2017 年に 498 日だったのに比べると、ここ数年で防御側の検知・対応能力が著しく向上したように見えますが、ランサムウェアとその他の攻撃、例えばサイバースパイ活動とを分けて見ると、ランサムウェア攻撃の Dwell-Time は 3 日であり、非ランサムウェアでは 26 日と報告されています。このことから、ランサムウェア攻撃の展開スピードが従来に比べて圧倒的に早くなっていること、また、サイバースパイ攻撃など潜伏型の攻撃は以前として約 1 ヶ月もの間検知されず、組織のネットワーク内を自由に活動している状況がわかります。
「マルウェアに感染した」、あるいは「攻撃者に不正アクセスされた」という状況で、それをセキュリティ対策の失敗ととらえるのは適切ではありません。これは、セキュリティに携わる人であれば理解していることですが、経営層など直接セキュリティに携わっていない方からは、依然としてよく聞く誤解です。マルウェアに感染しても、あるいは攻撃者が不正に自組織のネットワーク環境に侵入しても、ビジネスに影響を及ぼす前に検知して適切に対処できれば、その防御は成功したと言えます。ゼロデイ攻撃や、セキュリティ対策を回避する戦術など、そもそも侵入を阻止することができない攻撃が増えている中、重要なのは 阻止できるものをきちんと阻止できる基本的な対策をしっかりと行うこと。そして、侵入を許したとしても、それを早期に検知して迅速に対処・対応できる態勢を構築することです。
阻止できるものを阻止し、阻止できないものを早期に検知・対処できるサイバー防御態勢の構築が求められる
効果的なサイバー防御に求められる 6 つの重要な機能
サイバー防御とは、受け身の保護対策にとどまることなく、能動的に抵抗し、侵害の影響を軽減することです。効果的なサイバー防御には、インテリジェンス、検出、対応、検証、脅威ハンティング、管制の 6 つの重要な機能が必要となり、これらを協調的に推進することが重要です。
- インテリジェンス: 指針の提供
脅威インテリジェンスは強力なサイバー防御プログラムの基盤です。脅威アクターとその戦術、手法、手順(TTP)に関する情報の収集、分析、伝達を行います。攻撃者の行動を理解することで、組織は予防的に防御戦略を実行でき、情報に基づいたリスク管理の意思決定をすることができます。
- 悪意のあるアクティビティの検出と調査
悪意のあるアクティビティの効果的な検出は TTP の把握と、それに合わせた検出メカニズムの調整にかかっています。分析と適応の継続的サイクルである検出エンジニアリングが、TTP に基づくロギング、信頼性の高いアラートの追求、継続的な最適化を行います。検出のスケーリング、アラート疲れの軽減、対応時間の短縮には自動化が重要な役割を果たします。
- セキュリティ侵害への対応
インシデント対応は、サイバー防御の重要な要素です。初期トリアージのプロセスには、セキュリティ侵害の範囲と性質を把握するための迅速な評価とデータの収集が含まれます。判断ポイントと後続の手順で対応プロセスを導き、ハンドブックで効果的な修復のための構造化された手順を提供します。
- セキュリティ対策とオペレーションのターゲットを絞ったテストと検証
攻撃対象領域を予防的に管理し、セキュリティ検証の構成要素を包括的に理解することがは、復元力の高い防御体制にとって不可欠です。インテリジェンス主導の検証は、最も関連性の高い脅威に絞ってセキュリティ対策とオペレーションの効果を評価することに重点を置いています。検出エンジニアリングのライフサイクルを継続的に検証して強化し、効果的な脆弱性管理を行うことで、強力なセキュリティポスチャーを確立することができます。
- アクティブな脅威ハンティング
脅威ハンティングでは、既存の検出メカニズムを回避した可能性がある隠れた脅威をプロアクティブに探索します。インテリジェンスの分析情報と脅威モデリングに裏付けられ、適切に構造化された脅威ハンティングプログラムにより、未知であった脅威の特定が可能になります。脅威ハンティングのパイプラインが、仮説の作成から追跡の実行、検出のユースケースの作成まで、ハンティングのプロセスを推進します。
- 管制センターによるサイバー防御の連携
管制センターはサイバー防御の中枢神経系であり、組織全体の整合性、復元力、権限移譲、説明責任を推進します。効果的なリソース管理、スタッフ配置、プロセスと手順の作成が、強力なセキュリティポスチャーに寄与します。指標とトレンドにより、サイバー防御プログラムの効果についての分析情報が得られます。
重大インシデント発生時は、優れたリーダーシップと効果的なクライシスコミュニケーションが特に重要になります。準備を整え連携することで、迅速で効果的な対応が可能になり、セキュリティ侵害の影響を最小限に抑えることができます。
防御側の優位性をアクティブ化する
堅牢なサイバー防御プログラムをアクティブ化するには、リーダーシップと主要なステークホルダーからの賛同を得る必要があります。「サイバーセキュリティは経営課題である」という認識が一般的になっている一方で、予算割当ての話しになると実態が伴わないという状況は少なくありません。サイバーセキュリティチームのリーダーは、サイバー攻撃の被害が発生した場合のビジネスリスクと財務への影響を、ビジネス視点での言語に翻訳して明確に説明する必要があります。複雑な技術的概念をビジネスリーダーに響く言葉に変換することで、組織全体で意識を高め、サイバーセキュリティ イニシアチブを優先順位付けし、必要なリソースを確保することができるようになります。
防御側の優位性フレームワークを定着させることによって、進化するサイバー脅威の世界に立ち向かうための実用的なロードマップを組織に提供します。次に示すポイントを意識しながら、実践に取り入れていただければ幸いです。
- 予防的な考え方を受け入れる: 攻撃が発生するのを待つのではなく、脅威を能動的に探し、防御を検証し、インテリジェンスに基づいてセキュリティ態勢を継続的に適応させる
- セキュリティチームの能力を強化する: 信頼と説明責任の文化を育み、必要なトレーニング、リソース、および権限を提供する
- 外部の専門知識を活用する: マネージドサービスプロバイダーやその他のサービスを導入して、自組織の保有する能力を補完する。専門的な経験や知見を得ることで新たな気づきを得るだけでなく、チームの育成・強化にもつなげる
- 継続的な見直しと変革: 脅威動向は常に進化している。新たな脅威に先んじるために、トレーニングと専門能力開発に時間とリソースを投入し、継続的な進化を目指す
Defender's Advantage - 防御側の優位性ガイド
Defender's Advantage - 防御側の優位性ガイドをダウンロードして、予防的でインテリジェンス主導のサイバー防御プログラム構築のためのアプローチを学びましょう。組織横断的な連携を推進するために、本 eBook を共通のガイドとしてお使いいただくことも有効です。
Defender’s Advantage エグゼクティブサマリー(日本語版)はこちらからご覧いただけます。