サイバー攻撃から守るべき対象=アセットは何か
サイバー攻撃はまったくフェアではない。攻撃側はたとえ1回でも攻撃が成功すれば目的を果たせるため、100回でも1万回でも攻撃を繰り返してくる。何度失敗してもいいのだ。対して、防御側は攻撃を9,999回ブロックできたとしても、たった1度の失敗が命取りになることもある。加えて、防御側は攻撃を“正確に”理解しないと復旧や封じ込め対策ができない。Splunk Services Japan(以下、スプランク)フィールドソリューション&セキュリティ・ストラテジー セキュリティ・ストラテジスト 矢崎誠二氏は「防御側は攻撃側よりも常にハンディキャップがあると考えるべき」と述べる。
明確な対策のためには、
- 組織が守るべき対象は何か
- 何が脅威となるか
- 脅威を見つけるための検知ポリシーとルール
- どのようなオペレーションで対応するか
上記4点について、明確な答えを定めておくことが重要だ。矢崎氏は「インシデントレスポンスはSOC同様に、『人』『プロセス』『テクノロジー』が重要な要素になる」と説く。
また、インシデントレスポンスを実際にハンドリングするのがCSIRT。トリアージからステークホルダーへの対応まで、様々なプロセスを定義・実行していく。検知までの時間(MTTD:Mean Time To Detect)、封じ込めまでの時間(MTTR:Mean Time To Recovery)、イベント件数などをレポートに記載して評価する役割も担う。
インシデントレスポンスでは、まず先に挙げた「組織が守るべき対象」が本質的かつ重要な要素となる。このときの“対象”とは「組織内のアセット」であり、具体的に何がどれくらいあるのかを把握しておく必要があるという。つまり、「何が(サーバー/ネットワーク/クライアントなど)」「どのくらいの数で、どこにあり(クラウド/オンプレミス)」「なぜ、いつ攻撃されたのか」を理解する必要がある。日常的な“アセット管理”も欠かせず、購入の計画から、いつ購入して、最終的にいつどのように廃棄するのかを定めておくことが欠かせない。
たとえば、アセット管理をスプランク製品で実施しようと考えた場合、うまく適合できるのが米国政府機関のセキュリティ水準向上のために策定された「CDM(Continuous Diagnostics and Mitigation:継続的な診断と緩和)」だ。ハードウェアやソフトウェア、設定、脆弱性の状況について、ホワイトリスト/ブラックリストと突合して確認することができる。
続いて着手すべきは「何が脅威となるか」、言い換えれば“脅威の識別”だ。2023年上半期を振り返ると、国内では特に製造業への攻撃が目立った。矢崎氏は最近の変化として「大々的な漏えいがなくても情報が公開されるようになってきた」と話す。
攻撃者側の変化は“4つの局面”から見てとれる。1点目は“金銭目的”。今ではサイバー攻撃における最大の動機が金銭となってきている。たとえば、「RaaS(Ransomware as a Service)」として情報の売買や攻撃そのものがサービス化されているため、ランサムウェアによる恐喝は劇的に増加した。2点目は“脅威グループ”。Mandiant社による調査では、新たに追跡すべき脅威グループ(アクター)が世界で650以上存在するとされており、そのリスクは増加している。
3点目は“攻撃局面の増加”。コロナ禍以降はリモートワークやクラウド利用増加により、アタックサーフェスが広がっている。そして4点目は“隠蔽性・秘匿性”。攻撃を隠蔽するようなテクニックが公開されており、利用されると攻撃に気づかないケースもある。矢崎氏は数ある攻撃テクニックの中から「何が自組織にとって脅威となるかを選定し、何を監視すべきか判断することも重要」と指摘する。
なお、最近では「アタックサーフェスマネジメント」という概念も出てきている。Webサーバーなど外部に露出した部分の脆弱性や脅威にフォーカスを当て、セキュリティ強化を図っていくアプローチがあることも知っておきたい。
