セキュリティチームが避けられない3つの「S」~Stealth, Sustainability, Shortage~
現代のサイバーセキュリティチームは、多くの問題 に直面しています。本稿では、多岐にわたる問題の本質を、3つの「S」(Stealth、Sustainability、Shortage)に集約して解説します。3つのSを解決するために重要なポイントとは何なのか?についても考察します 。
サイバー犯罪者たちは巧妙さを増しており、検知がますます困難になっています。2022年には、Eメールから375万件の未知のマルウェアが検出されました※1。このように検出および防御が難しい未知のマルウェアを添付したメールは、昨年から46%増加しています 。一般的なフィッシングメールだけでなく、高度なスピアフィッシングやソーシャルエンジニアリングを組み合わせた攻撃も増えています。
※1 トレンドマイクロ「2022年 年間メール脅威レポート 」より。
さらに、国内のランサムウェアによるインシデント対応支援のうち94% が外部から攻撃者がインターネット経由で被害組織の端末を遠隔操作しながら攻撃を進めていく「Human-operatedの手法」で行われていることも分かっています※2。特にLiving off the Land(環境寄生型)という攻撃手法が頻繁に使用されており、既存のシステムや正規ツールを悪用して検出を回避します。
※2 2018年~2021年の期間に当社のIRチームが対応した国内組織のランサムウェア事案から算出。
またランサムウェア案件の平均デュエルタイム(攻撃者の滞留時間)は「5.82日 」となっており※3、昨年同時期の「6.22日」と比較すると短くなっています。 攻撃者は速やかにデータを暗号化し、身代金を要求するため、防御側は「気づきにくい攻撃」を「いかに早く捉えるか」という課題に直面しています。
※3 2018年~2022年の期間に当社のIRチームが対応した国内組織のランサムウェア事案から算出。
サイバーセキュリティは日々の運用により支えられていますが、昨今のセキュリティの現場では量的負荷が原因となり持続可能なセキュリティ運用が妨げられています。サイバーセキュリティの担当者は、日々膨大な量のデータを取り扱っています。 例えば、1,000台のデバイスからはわずか7日間で12.5億ものログが収集されます※4。セキュリティチームはこのデータの洪水から、本当に対処が必要な脅威を特定する必要があります。
※4 トレンドマイクロで検証した1,000デバイス/7日間のサンプルデータから算出 。
しかしながら、セキュリティツールの数やベンダーの数は予想以上に多いことがわかっています。約6割の企業で30以上のツールを使用しており、多い場合は100以上のセキュリティツールを導入しています。また、半数近くがインシデント対応時に20以上のツールを使用しています※5。これらのツールの数が増えるにつれ、それらを統合し、効果的に管理することが難しくなっています。
※5 IBM「Cyber Resilient Organization Study 2021」
また、2022年に公表されたCVEの件数は1日あたり68件に上りました※6。CVEの情報を手動でトリアージし、自社にとって対応の優先度が高いリスクなのかどうか判別することは困難であり、機械的な処理が求められています。
※6 Mind the Gap: A Closer Look at the Vulnerabilities Disclosed in 2022
現在、日本の市場全体で55,809人のセキュリティ専門人材が不足していると見られています ※7。この人材不足の問題については旧来より議論はされていますが、日本の人口減少と相まって、すべての企業にとって頭が痛い問題であることは間違いないでしょう 。
※7 (ISC)2 CYBERSECURITY WORKFORCE STUDY 2022
さらに、膨大なセキュリティテレメトリーやログを処理するためには、8人の正社員が必要という試算があります※8。それだけの人材を確保することは困難を極めるでしょう。SOCチームメンバーは、平均して業務時間の3分の1を本当の脅威ではないインシデントの調査/検証に費やしているということも考慮に入れる必要があります※9。
※8 The XDR Payoff: Better Security Posture
※9 Global Security Operations Center Study Results
たとえ人による対処を行ったとしても、現場のSOCチームの負荷が懸念されます。多くのSOC(Security Operations Center)メンバーが大量かつ絶え間ないアラートによって心理的なダメージを受けています。セキュリティアラートによって精神的な悪影響があると答えたSOCメンバーの割合は7割におよび※10、 アラートの数が増えるにつれて、それらを効果的に処理することは困難であり、負担が増える一方です。ただでさえ人材不足であるにもかかわらず、心理的・肉体的負担はメンバーの離職にも繋がるリスクのため、負荷の軽減は喫緊の課題と言えるでしょう。
※10 A Global Study: Security Operations on the Backfoot
課題へのアプローチ:持続可能なセキュリティ基盤
これら3つの問題に対処するためには、人間の意思決定を強力に支援できるサイバーセキュリティ基盤を、持続可能なかたちで構築する必要があります。そこでポイントとなるのは以下の4点です:
1. データの統合と自動化:
多様かつ大量のデータを統合し、サイバー攻撃の全体像を可視化します。 セキュリティテレメトリーやログを関連性に応じて統合することで、重要イベントの見落とし防止や、インシデント対応プロセスの断絶を無くします。
2. 脅威インテリジェンス駆動型の検知と対応:
ますますステルス化するサイバー攻撃を検知するには、複数の攻撃手法(TTPs)を「一連の攻撃」として捉える必要があります。脅威インテリジェンスをインシデント対応プロセスに統合することで、高度な相関分析により攻撃の予兆をいち早く検知します。
3. “Best-of-Breed”から“Best-of-Platform”への転換:
「点の防御力」の向上だけではセキュリティ全体の底上げが出来なくなってきています。自社のセキュリティを「プラットフォーム」として構築し、既存セキュリティツールの最大活用、運用コストの最小化、そして他ツールとの連携による機能拡張により、持続可能なセキュリティ運用を実現します。
4. プロフェッショナルサービスの検討:
自社が優先して取り組むべき範囲を見極めたうえで外部の支援も合わせてセキュリティ体制を構築します。ポリシー/プロセスや守るべき資産の定義は自社で必ず行い、セキュリティチームに必要な専門性は外部リソースの利用も検討します。
データ分析と洞察に基づいた運用は、より迅速かつ効果的な対応を可能にし、持続可能なサイバーセキュリティ基盤の構築に寄与するでしょう。
本稿を通じて、現代のサイバーセキュリティにおける問題と課題へのアプローチを ご紹介しました。高度な脅威に対抗するためには、持続可能性と革新的なテクノロジーが不可欠です。トレンドマイクロは、サイバー脅威に関する広く深い知見と、持続可能なセキュリティプラットフォームを提供することで、みなさまのデータ駆動型の意思決定を実現します。
Security GO新着記事
Telegram(テレグラム)とは?サイバー犯罪に悪用される理由
(2024年10月31日)
地政学リスク、CISOがやるべきことは?
(2024年10月30日)
PCI DSSとは? クレジット産業向けのデータセキュリティ基準を解説
(2024年10月29日)