サイバー攻撃対策でやるべきことは基本対策・可視性・準備
ここからが今回の本題となる。同社は年間1,300件以上のインシデントに対応しており、そこからセキュリティ運用の要は何かを紐解いていく。
同社の2019年度インシデント対応結果を見てみると、攻撃が検知されるまでの平均日数は111日。侵入経路で最も多いのがフィッシング、次に資格情報の窃取と続く。注意すべきは、わずか6%ではあるもののリモートデスクトップ(RDP)がある。2020年度はコロナ禍で慌ててテレワークを強行した企業が増えたので、この数字が増えるのは確実だ。古川氏は「先ほどのVPN同様、RDPもゴールに近いところからスタートできるので攻撃者に有利となります。昨年から攻撃が増えてきており、深刻な被害も出てきています」と厳しく指摘する。
インシデント対応の分析結果から分かる重要事項として、古川氏は「基本対策」「可視性」「準備」の3つを挙げる。まず基本対策(CSFの識別と防御)。これが十分であれば8割は予防できる。次に可視性(CSFの識別と検知)。半数の企業がエンドポイントやネットワークの可視性が不十分だ。そして準備(CSFの対応と復旧)。7割のインシデントではログの調査や質に問題があったことが分かっている。
[画像クリックで拡大表示]
こうしたことを踏まえ、セキュアワークスからの推奨事項は以下の6つ。
- 多要素認証(MFA)の実装
- 可視性の向上と(特定)ログ機能の強化
- エンドポイント検出機能の実装
- インシデント対応準備の改善とテスト
- セキュリティの警戒とポリシーに関するユーザーのトレーニング(利用者のサイバー衛生)
- ガバナンスのフレームワークの選択
昨今では一般向けニュースでも多要素認証の必要性が取り上げられているほどで、多要素認証の重要性は言うまでもないだろう。また、昨今ではログ収集機能を強化し、エンドポイントで検出できる機能の実装が「主流になりつつある」と古川氏。
先述したように、テレワークでVPNやRDPを使わざるを得なくなっている。このことについて古川氏は、「ディフェンスラインを下げているということ。ゴールに近いところで守らなくてはならないのです。これだけでも危ないのです。何か起きたらすぐに対応できるようにしなくてはなりません」と熱く語る。だからこそ、インシデント対応は準備万端でなくてはならず、ちゃんと機能するか常日頃からチェックしておかないとならない。
ユーザーのトレーニングも重要だ。毎日私たちが感染症を警戒して手洗いを励行しているように、サイバー攻撃にも警戒して行動できるようにトレーニングを積む必要がある。どんなに念入りにセキュリティ対策を施しても、エンドユーザーの行動一つで台無しになってしまうことがあるからだ。最後にガバナンスをきちんと運用できるように、フレームワークを選択する。
