サイバーリスクマネジメント - セキュリティオペレーションを近代化させるヒント
クラウドシフトやサイバー攻撃の変化をうけて、セキュリティ運用が危機的な状況に追い込まれている、そんな実態がトレンドマイクロの調査で明らかになりました。ビジネスリスクをはらむセキュリティの課題と解決のヒントを探っていきましょう。
74%が抱える不正侵入のリスクトレンドマイクロでは、21カ国2,300人以上のITセキュリティのリーダーを対象に、セキュリティの運用実態に関するインタビュー調査を実施しました。調査対象は、SOCチームを管理するリーダー(85%)、ITセキュリティチームでSecOpsを管理するリーダー(15%)です。
※A global study SECURITY OPERATIONS ON THE BACKFOOT(2021/05)
https://www.trendmicro.com/explore/en_gb_soc-research/00792-v1-en-tmr
この結果、回答者の4分の3(74%)が、すでに不正侵入の発生に対処しているか、もしくは年内にその被害が発生すると懸念していることがわかりました。
セキュリティで重要なことは、機密情報やビジネスの基盤となるシステムなど重要資産に攻撃者が到達できないよう、侵入の初期段階で迅速に対応することです。クラウドシフトの加速で、攻撃対象となる領域が拡大する中で、この迅速な検知と対応が一層重要になっています。
攻撃への対処を困難にし、組織がセキュリティリスクの高い状態に置かれる背景には、脅威やITインフラの変化があります。
・ランサムウェア増加
ランサムウェアの作成、販売というビジネスモデル化により攻撃が一般化していることにくわえ、金銭だけでなく組織の情報も狙った多重脅迫型の高度で巧妙なランサムウェアがまん延しています。トレンドマイクロでは、2020年に新しいランサムウェアのファミリーが前年比34%増加したことを確認しています。
・発見が難しい攻撃の一般化
攻撃の発見がより困難になっています。組織内で正規に利用されているシステム機能やツールが攻撃に悪用されているためです。
・クラウドへの移行
ITインフラがクラウドネイティブやハイブリッドへと移行し、セキュリティを必要とする対象やプロセスが増える一方で、適切な対策や設定ができていないなどの理由から、セキュリティリスクの高い状態が生じています。
・従業員の過失
クラウド移行と同様、在宅勤務の浸透も、攻撃対象領域の拡大を意味します。従業員の過失がより大きなリスクになるため、適した管理が必要です。しかし、在宅勤務という環境が、従業員にセキュリティリスクの高い行動を取らせている可能性があります。トレンドマイクロの別の調査では、在宅勤務において、半数以上が業務端末で業務以外のアプリを利用し、これに組織データをアップロードしたことがあると回答しています※。
・大量のセキュリティアラート
こうしたIT環境、脅威の変化をうけて、組織内で利用されている多くのセキュリティツールからは、これまで以上に大量のアラートが発生する事態が起こっています。これこそがサイバー攻撃への対処を困難にさせ、組織のセキュリティリスクを高めている主要因なのです。
セキュリティ運用の現場で起こっているアラートの問題を詳しく見ていきましょう。
※Employee Security Training is Vital to Remote Success
https://www.trendmicro.com/en_us/research/20/g/head-in-the-clouds-why-nuanced-security-training-is-essential-to-remote-working-success.html
セキュリティリスクにつながるアラート過負荷の放置 調査では、実際ITセキュリティリーダーの半数以上(51%)がアラートの洪水におぼれていると回答しています。誤検出の対応には、回答者の平均で4分の1以上の時間を費やしています。
また、回答者の半数以上(55%)はアラートの優先順位付けや対応に自信がないとしています。アラート対処が時間的な負担だけではなく、スキル面においてもセキュリティチームにとって課題となっており、ビジネスに深刻な影響を与えるリスクであることを示しています。
実際にビジネスリスクという点で、ITセキュリティチームはアラートの過負荷により、サイバー攻撃の被害を見落としにつながるセキュリティリスクの高い行動を選択しています。
・アラートを完全に無視し、他のことに取り組んだことがある(40%)
・圧倒されてコンピュータから立ち去った(43%)
・アラートをオフにした(43%)
・アラートを誤検出と判断した(49%)
さらに、約7割は、アラート過負荷によって精神的にもマイナスの影響を受けていると回答しています。この問題が、労働環境にも重大な影響を及ぼしていることが示しています。
専門人材の不足が叫ばれる昨今においては、セキュリティ資産への投資という点で、技術面だけではなく、労働環境の見直しなど従業員への投資も、組織に求められる取り組みの一つになるでしょう。
大量のアラートの問題にはいくつかの要因がありますが、その核となるのは、今日の高度な攻撃や、変化するIT環境に対処するための適切なセキュリティツールの欠如です。
つまり、広がる攻撃対象領域を横断的に管理したうえで、誤検知など精度の低いアラートを排除し、組織にとって深刻で重要度の高い本当に対処すべきリスクのみをアラートとして提供するセキュリティが欠如しているのです。
多くの組織がハイブリッドクラウド環境に移行する今、サイロ化されたポイントソリューションの運用では、サイバー攻撃を検知することは困難です。またクラウドにはオンプレミス環境のように境界がないため、組織外に置かれたエンドポイント、メール、クラウドワークロード、アプリケーション、ネットワークに分散した攻撃対象領域を横断的に管理、可視化できる高度なセキュリティが必要です。
セキュリティツールのポイント・組織の攻撃対象領域(エンドポイント、ネットワーク、メール、データセンター、クラウド)にわたり包括的な脅威の可視化と保護を提供する)
・組織特有の環境を考慮した、深刻度、重量度など優先順位付けに参考となる精度の高い情報、アラートを提供する(限られたアラートに対して、優先順位をつけた対処が可能になり、検知と対処かかる時間が短縮されます)
・検知から調査、封じ込めまでを一元管理する(これにより少ないリソースで迅速な対応ができます)
アラート過負荷の問題解決は、セキュリティリスク低減の第一歩です。DXの推進など、今後の更なるITインフラの変化を見据え、この変化に対応できるセキュリティを選択することが、ビジネス成長の貢献にもつながるのです。
統合サイバーセキュリティ・プラットフォーム「Trend Micro One」について
組織全体の可視化、検知、対応と、攻撃対象領域のリスクライフサイクルに必要なセキュリティ機能を包括的に提供します。
https://www.trendmicro.com/ja_jp/business/products/one-platform.html
Security GO新着記事
堀場製作所のDX責任者が語る“ほんまもん”のグローバルセキュリティ戦略
(2024年11月15日)
暗号資産マイニングマルウェアとは?~事業停止にもつながるサイバー脅威~
(2024年11月15日)
いまさら聞けないNDRの有効性~EDRとはどう違う?
(2024年11月14日)
