フィッシング
セキュリティ意識の向上を支援する「Cyber Risk Exposure Management」
人的リスクに対処し、持続的な行動改善を促す戦略的アプローチについて解説します。
はじめに
現代の業務環境では、望むか否かを問わず、全ての社員がセキュリティの担い手となります。そして攻撃者は、「人」を最も突破しやすい侵入経路と見なし、その道筋をAI技術によって円滑化します。いかにも不審なリンクや誤字混じりのメールはすでに過去のものであり、現代の攻撃では、生成AIによる洗練されたコンテンツや、個々の標的に特化したソーシャルエンジニアリング技術が取り込まれています。こうした攻撃活動では、標的組織のワークフローを再現して同僚を装い、至極真っ当に見える依頼文をいとも簡単に作り上げてしまいます。
「人」は弱点だが、むやみに責めることはできない
社員は日々、セキュリティに関する判断を幾度も行っていますが、その多くは無意識的であり、時間をかけて思慮することは比較的稀です。一方、生成AIによって巧妙なフィッシングメールの作成作業が効率化し、所要時間が16時間から5分に短縮されたという報告もあります。こうしたAIを駆使する攻撃者は、SNS投稿を収集、分析(スクレイピング)するスクリプトを迅速に生成し、標的に合わせたフィッシングメールを容易に作成できます。現代では業務環境も複雑化しているため、一度のクリックによって侵入が成立すれば、その影響は組織全体に波及する可能性があります。
こうした中で従業員は、新たなツールに追従し、ポリシー変更に適応し、進化する攻撃手段を把握しながら、同時に本来の業務をこなすように求められています。多方面から来るプレッシャーは、往々にして「リスク疲れ」を引き起こします。
サイバー犯罪者は、人の振る舞いや技術上の脆弱性を幅広く捉え、「弱点のエコシステム」に目を向けています。これに対して企業や組織の多くは、依然としてリスクを「サイロ化」して管理しています。例えば、技術的なリスク監視に特定のツールを利用する一方、フィッシングのシミュレーションには全く別のツールを使用しているパターンが挙げられます。現代において、こうしたサイロ状態は、大きな足かせになります。
また、年度毎の定型的なフィッシング演習や研修モジュールなども、十分とは言えないでしょう。効果的な対策を実現するには、社員一人ひとりに合わせた戦略的なアプローチに基づき、適切なタイミングで確かな行動改善に繋げることが重要です。フィッシングのシミュレーションについても、脅威の実態に合わせて変化するべきと考えられます。実際に発生している攻撃の特徴を捉えたシミュレーションを行うことで、各社員が本当に遭遇しそうな脅威に備えることが可能です。
人的リスクを加味した露出管理
サイバーリスク露出管理の出発点は、可視性を確保することです。そして、「人的要素」を含めなければ、その可視性は常に不完全なものとなります。人的リスクを考慮することで、組織として脆弱な箇所を明確に把握し、十分な情報に基づいて脅威に対処することが可能です。
フィッシングシミュレーションの結果は、全体像の小さな一部を示すに過ぎません。本稿で挙げる戦略は、全ての活動データや脅威情報を活用し、従業員の包括的なリスクプロファイルを作成します。これにより、組織全体で画一的な研修を行うのではなく、部門や個人毎に、最も価値の見込まれる研修を優先的に選択できるようになります。
セキュリティ意識向上のための研修を露出管理戦略に統合することで、セキュリティチームでは、下記のようなメリットが得られます。
- 社員のアイデンティティ情報、セキュリティ習慣、意識レベルを分析し、人的リスクを測定する。
- 高リスクの社員に対して自動で研修プログラムを配信し、適切なタイミングで個人別ガイドを提供する。
- 攻撃経路に巻き込まれる可能性の高い社員を事前に予測し、教育を実施する。
- フィッシングシミュレーションの結果や研修の完了状況をリアルタイムでリスクスコアに反映し、継続的なフィードバックループを有効活用する。
- 条件や基準に基づき、該当する社員に研修を自動配信するワークフローを構築する。これにより、時間の節約が見込める。
はじめに時間や労力を節約するため、自動化ワークフローをセットアップします。このフローでは、アカウント侵害の兆候をツールによって検知した後、影響を被ったアカウントのパスワードを自動でリセットするとともに、詳細情報をセキュリティチーム宛てにメール通知します。また、対象ユーザに安全な行動規範を促して再発を防ぐため、適切なセキュリティ意識向上プログラムを配信し、パスワードや多要素認証(MFA)などに関する知識拡充やトレーニングを実施します。
次に、攻撃経路予測を活用し、主要な水平移動の範囲にいるユーザを特定します。こうした分析により、例えば攻撃者がインターネットに露出したデバイスを侵害し、エンドポイントを経由して水平移動・内部活動(Lateral Movement)を行い、最終的に高い権限のあるドメインアカウントに到達するケースなどが、浮かび上がります。そこで、経路上で接点のあるユーザを対象に、先手を打ってセキュリティ意識向上プログラムを配信することが、有効な対策となります。
社員のセキュリティ意識向上プログラムを完了すると、各個人のリスクスコアがリアルタイムで更新されます。セキュリティチームでは、改善状況を把握し、再び狙われる可能性の高いアカウントに焦点を当てた方針を組み立てることが可能です。こうした形で、セキュリティ研修は単なる「コンプライアンスのチェック項目」ではなく、戦略的な取り組みへと進化します。
次のステップ
企業や組織のリスクを考える上で人的要素は重要な一角を占めますが、それさえも、全体の一部でしかありません。これに対し、セキュリティプラットフォーム「Trend Vision One™」の「Cyber Risk Exposure Management(CREM)」を用いることで、攻撃対象領域(アタックサーフェス)の全体を把握、管理することが可能です。その対象には、サードパーティーや未知、非マネージドの情報資産も含まれます。トレンドマイクロでは、セキュリティ意識向上や脆弱性管理、アイデンティティ・セキュリティなどの重要機能を単一かつ強力なソリューションに統合して提供しております。これによって対応の優先順位を明確化し、戦略的にリスクを削減できるようになります。
真のレジリエンス(強靭性)とは、「人」を露出管理マップの一部として扱うことです。それを実現する代表例が、先述したCREMに含まれるアプリケーション「Security Awareness」です。トレンドマイクロが提供するセキュリティと手厚いサポート体制について、ぜひ、こちらからご確認ください。
参考記事:
Enhancing Security Awareness with Cyber Risk Exposure Management
By: Sanjana Sadh
翻訳:清水 浩平(Platform Marketing, Trend Micro™ Research)