*本記事は2021年4月23日にNTT Ltd. 社 Azeem Aleem が同社ブログに投稿した記事の抄訳です。

元記事：https://hello.global.ntt/ja-jp/insights/blog/are-you-exhausted-chasing-rabbits/

中国には「二兎を追う者は一兎をも得ず」ということわざがあります。これは今、サイバーセキュリティの専門家にとって素晴らしい哲学です。

経済が徐々に開放されるにつれ、サイバーセキュリティの課題は軽減されるどころか、多くの組織はさらに広範囲な脅威に直面しています。多くの最高情報責任者（CIO）は、従業員の勤務地、パターン、エンドポイント・セキュリティ、認証など、新たな複雑なリスクを管理しています。一方で、多くの企業はリソースを削減し、脅威インテリジェンスとのギャップを拡大しており、デジタルネットワークとOTネットワークの両方における既存の脆弱性に対処する能力に影響を与えている可能性があります。

すでに認識されている脆弱性への対応の重要度は、今年に入ってさらに増しています。脅威アクターは当初、MESソフトウェアのゼロデイ脆弱性を悪用して検出され、世界中のパッチが適用されていないコンピュータのネットワークにウェブシェルを感染させ、電子メールアカウントにアクセスしていました。数週間前にマイクロソフト社をはじめとする業界の専門家が、これらの侵入行為の影響を特定して軽減するための検出ツールやパッチなどの情報を共有しました。

3月中旬には、できるだけ多くのシステムからウェブシェルを削除するために、各国政府がこの対応に追われました。FBIの行動についてはよく知られていますが、修復に直接関与したのは米国政府だけではありません。オーストラリアのサイバーセキュリティセンター（ACSC）や英国のナショナルサイバーセキュリティセンター（NCSC）も、現地の組織と協力して、感染したサーバーからマルウェアを除去しています。それは、なくてはならないが骨の折れる追いかけっこのようなものです。

世界的にも、サイバー脅威に対する取り組みは増加していますが、企業はこの増大する課題に対して積極的なアプローチをとる必要があります。

サイバーセキュリティのリーダーたちは、疲弊した消火活動を続けるか、新たに実用的なインテリジェンスに基づいた積極的で多層な防御に焦点を当てて主導権を取り戻すか、の選択を迫られています。では、世界規模の復元力を脅かすサイバー犯罪者や国家機関に反撃するために、何が起こっているのでしょうか？

受け身の守りから攻めの守りへ

ステップ1 – ウサギを認識する

最近の出来事が示すように、サイバーの世界では、「ウサギを追いかける」という言葉が、脅威への対応に追われているときの状況をよく表しています。セキュリティチームにとって、ケースバイケースでインシデントに対応し続けるよりも、プロアクティブなアプローチの方が効率的かつ効果的です。このようなアプローチは、ストレスを増大させるだけでなく、意思決定に影響を与え、さらにスペシャリストがビジネスにおける戦略的パートナーになることを妨げます。

サイバープロフェッショナルとして、データ、アプリケーション、デバイス、システムの中で、守るべき宝がどこにあるのかを知っています。この知識は、攻撃者がどのようにしてその資産にアクセスしようとしているのかを理解するための情報となり、ゼロデイ脅威に直面しても必要なシステムアップデートやパッチ管理を優先しても、私たちの行動の指針となります。

攻撃者を理解し、そのサイバーキルチェーンの中で使用されているツール、手順、戦術を理解することは、監視・対応計画を策定する上で基本となります。これは、組織の実用的なインテリジェンスの一部を形成します。

ステップ2 – トラップの変更

組織のインフラの基礎となるテクノロジーの一部とは異なり、サイバー脅威は時代遅れになったり、無関係になったりすることはありません。システムの将来性を高めるためには、サイバー専門家が、過去の関連する脅威と現在の脅威の両方の学習に基づいて、弾力性を注入する必要があります。これは、従来のOT（Operation Technology）システムや新しいIoTデバイスでは、連携しているソフトウェアの透明性が不足しているために、特に困難な場合があります。

攻撃者と彼らのターゲットを理解することで、セキュリティチームはサイバー攻撃者の視点からネットワークを再検討し、最も困難な状況を作り出す方法を考えることができます。 収集した情報に基づいて組織のインフラに変更を加えることで、攻撃者にツールの適応を迫り、攻撃の矛先を逸らすことができます。十中八九、攻撃者は二度と攻撃してこないでしょう。

また、多くの企業がネットワークにマイクロセグメンテーションを導入しており、攻撃者が横方向に移動することを困難にし、システムの混乱と修復にかかるコストを最小限に抑えています。

ステップ3 – 実用的なインテリジェンスでウサギを追わない

脅威の情報は事欠くことがありません。しかし、あまりにも多くの情報が氾濫しているため、企業にとっては、何が自社の特定の環境や状況に関連しているのか、判断が困難な場合があります。つまり、企業は誰が攻撃しているのかを判断し、その足跡をどのように定義すればよいのでしょうか？

実用的なインテリジェンスとは何を意味するのでしょうか。簡単に言えば、収集した情報を分析して、ネットワーク上の防御と文脈化できる一連のデータに変換して出力することです。言い換えれば、アクショナブル・インテリジェンスとは、ウサギを追いかけるのをやめて、より積極的なミッションにリソースを集中させることができるのです。

アクショナブル・インテリジェンスの価値に焦点を当てるために、組織は以下を定義する必要があります。

1. ビジネスとリスクの調整：リスクを軽減するために必要な目的、範囲、権限を理解する。
2. 可視性：ミッションへの準備を万全にするために必要な可視性を定義する。
3. コンテンツ：ユースケース、状況認識、ベースラインを含む、検知のためのイネーブルメントを構築する。
4. 応用情報と分析：脅威の分析、属性、予測を行い、目標を再設定する。

ステップ4 – ウサギが帽子から出てきたら ー インシデントの対応

効果的なインシデント・レスポンス（IR）計画は、あらゆるインシデントを迅速に処理し、コストを削減し、サイバー環境とビジネスの信頼性に与える影響を軽減するための最良の方法です。インシデントが発生したときに何をすべきか、誰に相談すべきかを明確にしておくことは、効果的な対応を行う上で非常に重要です。

最も重要なことは、計画をテストすることです。火災の避難計画のように、外部の組織がテストを主催し、テストシナリオを作成し、チームメンバー全員が適切に対応しているかどうかのプランの確認をします。この外部チームは、あらゆる差異を特定し、必要に応じて追加支援やトレーニングを行います。 

誰もがウサギを追いかけることを楽しんでいません。専門家のスキルを維持しなければならないというサイバーリーダーのプレッシャーの中で、チームを維持するための明確で積極的な目的が必要です。可能な限り自動化することで、これまで以上に複雑化したインフラストラクチャの復元力を維持し、実用的なインテリジェンスを活用して正しい判断を下すことができず努力、投資、信頼が損なわれることがないようにできます。

NTT Com DDが提供するセキュリティソリューション