今一度、不正アクセスに向き合う
サイバー攻撃に打ち勝つためには?

企業へのアドバイス:攻撃者の立場で考える


ハイルマン氏は、攻撃者に打ち勝つ最善策は、攻撃者になった気分で対策を取ることだと考えている。つまり、攻撃を受けてから対応するのではなく、攻撃者がどのように攻撃してくるかを考え、それに対して事前に策を講じるということだ。また組織内の異常な兆候を特定し、検知する必要がある。


HPEのカバレッツ氏は、会社の脅威状況を経営陣が把握しておくことも勧める。最も重要で厳重な保護を必要とするアセットは何かを知ることが、サイバー攻撃の脅威に極めて有効な対策となる。「組織が蓄積している価値ある情報が何かを理解しておく必要があります。これらの情報を盗もうとするのは誰でしょうか。これらのことを考えることでリスクの概要を把握することができます。」とカバレッツ氏は述べる。「その上で、すでに不正アクセスされているか、システムのどこが脆弱かを検討します。」そして最も重要な問題として「不正アクセスの連絡を受けた時に何をするか、正確に理解しているでしょうか。」と、カバレッツ氏は問いかける。「組織のサイバーセキュリティリーダーや最高情報セキュリティ責任者(CISO)は、組織の代表としてこの質問に答えられなければなりません。もし彼らが答えられないのであれば、極めて危険な状況にあると言えるでしょう。」


他の多くの犯罪と同じで、不正アクセスがあってから48時間の初動対応が極めて重要だ。一方、組織がいかに迅速に、どのように侵害に対応し解決できるかは、侵害が起きる前にどのような対策をしていたかにより左右される。「緊急時の初動対応は、完全に、そして本質的に事前準備に依存します。インシデント対応計画を文書化し、内容を把握した上で、初動対応者を始めとする関係者の役割と責任を明確にし、訓練を実施しておきます。」とカバレッツ氏は言う。何度も訓練を重ねることも極めて重要だ。「サイバー攻撃を受けたことを想定した訓練や、レッドチーム演習(現実的なシミュレーション)を実施し、サイバー攻撃を受けたというシナリオで会社役員の対応を訓練しておく必要があります。これにより、実際に攻撃を受けた時でも、訓練の経験に基づいて慌てずに対応することができます。」


サイバー攻撃は1回で終わらないことも理解しておく必要がある。HPEの最新のサイバーリスクレポートでは、サイバー攻撃件数は増加傾向にあり、攻撃者はファイアウォールやウィルス対策ソフトなど従来型のセキュリティ対策をすり抜けるために比較的古い手法を利用し続ける一方で、手口がより巧妙になっていることが報告されている。不正アクセスを検知する、より高度な学習機能を持つ新型サイバーセキュリティ技術に対抗して、攻撃者の技術も高度化している。さらに攻撃者は連携してサイバー攻撃を仕掛けられるよう、複雑なビジネスモデルを構築し、携帯電話やタブレット端末、クラウドサービス、IoT(Internet of Things/モノのインターネット)など、インターネットに接続しているあらゆるものに侵入しようとしている。これらすべてに対応しようとすると、企業や組織に膨大な費用がかかる。Ponemon Instituteが2015年に252社を対象に実施した調査によると、サイバー攻撃による平均損失額は年間で770万ドルにも登り、中には損失額が6,500万ドルとなった企業さえあった。


攻撃者の手口が巧妙化する中、防御側のセキュリティ対策を高度化させる必要がある。そのため、HPEは業界標準のサイバー・リファレンス・アーキテクチャ(CRA)(英語)を開発した。これは、Advanced Threat Protection(先進的な脅威から保護する)サービスの青写真とインシデント対応能力を顧客に提供するものだ。CRAは、FireEyeのAPT攻撃(不正アクセス手段を確立し、システム内に持続的に潜伏して深刻な被害をもたらす種類の攻撃)に関する最新の情報を組み込んでいる。


CRAは「サイバーセキュリティの手引書」のようなものだとHPEのリーチ氏は言う。「リファレンス・アーキテクチャは、組織のサイバー攻撃対策について、主要アセットは何か、責任の範囲、測定基準などを具体的に説明しています。企業内で攻撃を想定した対応訓練を行う戦略的部分から、対応者やオペレーション、実際に攻撃を受けた際の対応手順まで、幅広く明記しています。」とリーチ氏は説明する。


また、このアーキテクチャには具体的な使用方法に関する記載もあり、よくある攻撃を統合し、CRAにマッピングすることにより、全体的なリスクや運用リスクに対応しているかを確認することができるとリーチ氏は言う。「最高情報セキュリティ責任者(CISO)は、可能な限り積極的にリスク対策を講じていることだろうと思います。しかし、CISOがリファレンス・アーキテクチャに記載されるすべてを完全に網羅しているとは限りません。対策を万全なものにするためには、他者と連携する必要があります。CRAは有益なエンドツーエンドの指針です。」


1 2 3 4 5