EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

備えあればテレワークも憂いなし 年間1,000件以上のインシデント対応から見えたセキュリティ運用の要

edited by Security Online   2020/10/16 11:00

サイバー攻撃対策でやるべきことは基本対策・可視性・準備

 ここからが今回の本題となる。同社は年間1,300件以上のインシデントに対応しており、そこからセキュリティ運用の要は何かを紐解いていく。

 同社の2019年度インシデント対応結果を見てみると、攻撃が検知されるまでの平均日数は111日。侵入経路で最も多いのがフィッシング、次に資格情報の窃取と続く。注意すべきは、わずか6%ではあるもののリモートデスクトップ(RDP)がある。2020年度はコロナ禍で慌ててテレワークを強行した企業が増えたので、この数字が増えるのは確実だ。古川氏は「先ほどのVPN同様、RDPもゴールに近いところからスタートできるので攻撃者に有利となります。昨年から攻撃が増えてきており、深刻な被害も出てきています」と厳しく指摘する。

 インシデント対応の分析結果から分かる重要事項として、古川氏は「基本対策」「可視性」「準備」の3つを挙げる。まず基本対策(CSFの識別と防御)。これが十分であれば8割は予防できる。次に可視性(CSFの識別と検知)。半数の企業がエンドポイントやネットワークの可視性が不十分だ。そして準備(CSFの対応と復旧)。7割のインシデントではログの調査や質に問題があったことが分かっている。

インシデント対応の分析結果から分かる重要事項「基本対策」「可視性」「準備」
インシデント対応の分析結果から分かる重要事項「基本対策」「可視性」「準備」
[画像クリックで拡大表示]

 こうしたことを踏まえ、セキュアワークスからの推奨事項は以下の6つ。

  1. 多要素認証(MFA)の実装
  2. 可視性の向上と(特定)ログ機能の強化
  3. エンドポイント検出機能の実装
  4. インシデント対応準備の改善とテスト
  5. セキュリティの警戒とポリシーに関するユーザーのトレーニング(利用者のサイバー衛生)
  6. ガバナンスのフレームワークの選択

 昨今では一般向けニュースでも多要素認証の必要性が取り上げられているほどで、多要素認証の重要性は言うまでもないだろう。また、昨今ではログ収集機能を強化し、エンドポイントで検出できる機能の実装が「主流になりつつある」と古川氏。

 先述したように、テレワークでVPNやRDPを使わざるを得なくなっている。このことについて古川氏は、「ディフェンスラインを下げているということ。ゴールに近いところで守らなくてはならないのです。これだけでも危ないのです。何か起きたらすぐに対応できるようにしなくてはなりません」と熱く語る。だからこそ、インシデント対応は準備万端でなくてはならず、ちゃんと機能するか常日頃からチェックしておかないとならない。

 ユーザーのトレーニングも重要だ。毎日私たちが感染症を警戒して手洗いを励行しているように、サイバー攻撃にも警戒して行動できるようにトレーニングを積む必要がある。どんなに念入りにセキュリティ対策を施しても、エンドユーザーの行動一つで台無しになってしまうことがあるからだ。最後にガバナンスをきちんと運用できるように、フレームワークを選択する。


関連リンク

著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。 Webサイト:http://emiekayama.net

  • 関口 達朗(セキグチ タツロウ)

    フリーカメラマン 1985年生まれ。 東京工芸大学芸術学部写真学科卒業。大学卒業後、小学館スクウェア写真事業部入社。契約満期後、朝日新聞出版写真部にて 政治家、アーティストなどのポートレートを中心に、物イメージカットなどジャンルを問わず撮影。現在自然を愛するフリーカメラマンとして活動中。

バックナンバー

連載:Security Online Day 2020レポート

もっと読む

All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5