サイバーセキュリティ3つのトレンドとCISOのためのセキュリティリスクの軽減戦略（後編）

サプライチェーン攻撃やランサムウェアなど、サイバー攻撃による事業活動への被害が相次いでいます。今組織には求められているのは、プロアクティブなセキュリティ戦略の確立です。本記事では、トレンドマイクロのThreat IntelligenceのVPであるJon Clay、Chief Cybersecurity OfficerのEd Cabreraの解説をもとに、本記事は後編として、最新のサイバーセキュリティ動向を踏まえたリスクの軽減策の在り方を考えます。

3つのセキュリティリスク軽減戦略見えていないものを止めることはできません。現在のサイバー攻撃のトレンドを理解することが、サイバーセキュリティ戦略を確立するための最初の一歩です。CISOは次の3つの軽減戦略を検討する必要があります。

軽減策① アタックサーフェスマネジメント（ASM）とくに商用ソフトウェアはその多くが管理のしにくさで知られるオープンソースコードで記述されているため※、ソフトウェアサプライチェーン攻撃の対策は非常に難しいように思えます。そこで役に立つのがアタックサーフェスマネジメント（ASM）です。
※参考：経済産業省商務情報政策局サイバーセキュリティ課 OSS の利活用及びそのセキュリティ確保に向けた管理手法に関する事例集令和3年4月21日
https://www.meti.go.jp/press/2021/04/20210421001/20210421001-1.pdf

「アタックサーフェスマネジメント（ASM）とは、組織のITインフラの特定、棚卸し、分類、監視を続けること」です※。アタックサーフェスマネジメント（ASM）と資産の特定や監視との違いは、アタックサーフェスマネジメント（ASM）では攻撃者の視点でセキュリティギャップを評価する点です。
※Tech Target　“What is attack surface management and why is it necessary?”
https://www.techtarget.com/searchsecurity/tip/What-is-attack-surface-management-and-why-is-it-necessary

攻撃者の視点でセキュリティにアプローチすることにより、攻撃対象領域のリスクの高い部分の優先順位付けと対処をより適切に実行できます。攻撃対象領域は常に進化し拡張しているので、環境を継続的に監視して、脆弱性に気づかない状態を防ぐことが重要です。定期的にテストすることで、脆弱なパスワード、修正プログラムを適用していないソフトウェア、暗号化の問題、設定ミス、開発ライフサイクルにおけるシャドークラウドなど、潜在的リスクを改善できます。

理想的には、アタックサーフェスマネジメント（ASM）機能を持つプラットフォームを選択して、組織のインフラ全体を包括的に可視化すべきです。これは、さまざまな環境にリソースが存在するマルチクラウドまたはハイブリッドクラウドでインフラを構築している場合には特に重要です。プラットフォームにより、アタックサーフェスマネジメント（ASM）を自動化することで、開発ワークフローを遅らせることなく、ソフトウェアサプライチェーンの安全を確保することができます。

軽減策② ランサムウェアのリスク軽減ランサムウェアの話題になると「身代金は払うべきでしょうか」とよく聞かれます。理想としては、「いいえ」です。支払うことで、犯罪を助長させ、支払いをいとわない被害者であると自ら証明し、さらに大きな標的となってしまうからです。しかし、危機のさなかに、あらゆる選択肢を徹底的に検討するのは難しい可能性があります。サイバー犯罪者が攻撃を計画するように、組織も対応を計画しておく必要があります。

運用上のリスク軽減や事業継続性を確保する方法、交渉の戦略まで、すべてのステークホルダーに関係するインパクトに対処するためのプレイブックを作成しておくことが重要です。

また「ランサムウェア攻撃の初期の兆候はどのようなものですか」という質問もよく聞かれます。覚えておいていただきたいのは、ランサムウェアは侵害後の攻撃だということです。そのため、何より最初のアクセスを阻止することが最優先です。

犯罪者を近づけないためには、ゼロトラストアプローチが非常に有効です。ユーザ、デバイス、アプリケーションのネットワークへのアクセスを許可する前には、必ず検証することです。初期検証後は必ず、ユーザ、デバイス、アプリケーションを継続的に監視して、複数の場所からの異常な同時サインオンの試行など、従来の侵害で使用されてきた通常の戦術、技術、手順（TTP：Tactics, Techniques, Procedures）を確認します。

繰り返しになりますが見えないものを止めることはできません。ゼロトラストアプローチをうまく適用するには、エンドポイント、メール、ネットワーク、サーバ、クラウド、組織全体にわたり包括的な可視性を提供するサイバーセキュリティプラットフォームを選択します。XDR機能を持つプラットフォームを探して、データの収集と相関を行うことで検知の精度をあげ、誤検出を減らし、セキュリティチームが最も重要なアラートの調査に貴重な時間を使えるようにします。

軽減策③ 脆弱性と修正プログラムの管理
2021年は、80以上のゼロデイ脆弱性※が攻撃に利用された記録的な年でした。効果的な脆弱性管理は、管理者権限アカウントや重要アプリのアカウント、データベースのアカウントの多要素認証化(Multi-factor Authentication)、修正プログラムの適用、高度な検知テクノロジの利用（機械学習やAI、挙動監視など）でセキュリティを強化することから始まります。
※ zero-day (0day) vulnerability tracking project　https://www.zero-day.cz/

修正プログラムの管理は非常に重要ですが、多くの組織にとってその管理は非常に難しいものです。修正プログラムだけでも膨大な量があり、マイクロソフトの月例セキュリティ更新プログラムがリリースされる火曜日（米国時間）には、100件近くの修正プログラムが提供されることもあるようです。しかもこれは、マイクロソフトに限った話です。複数のソフトウェアベンダを利用している場合、修正プログラムの適用対象を判断し、実際に修正プログラムを適用する、というのは不可能にも思えます。

また、脆弱性攻撃が行われるまでの時間が急激に短縮していることも、修正プログラムの適用を困難にする原因です。以前は、脆弱性が攻撃に利用されるまで、または公開された脆弱性について概念実証（POC）が作成されるまで、平均で30～45日かかっていました。現在、このすべては数時間のうちに行われているため、組織の対処にかけられる時間が少なくなっています。

そのため、あらかじめ修正プログラム適用の実行計画を作成し、準備することが重要です。これにより、迅速に対処し、攻撃の範囲を限定することができます。

アタックサーフェスマネジメント（ASM）の考えにもとづき、侵入された場合に、最も被害を受ける可能性がある領域を評価することで、重要なデータ、システム、ハードウェアに関連する脆弱性を把握し、保護、対処の優先度をつけることができます。

たとえば病院の場合、攻撃者は多くは、患者の医療デバイスや記録を標的にします。これが、最も迅速に業務停止に追い込める方法だと知っているのです。このため、病院は、こうした攻撃リスクの高い領域への保護や対処の優先順位を高くする必要があります。

こうして実行計画を用意しておくことで、エクスプロイトが発生しても、医療デバイスを最優先でロックダウンし、防御することが可能になるのです。理想的には、アクセスを試みるエクスプロイトを特定するために、ネットワークベースの侵入防御システム（IPS）でデバイスを保護することを推奨します。さらに、仮想パッチ機能を持つIPSであれば、脆弱性の影響を最小限にとどめ、円滑な運用業務を維持できるでしょう。

業種や規模などに、組織ごとにセキュリティリスクは異なります。アタックサーフェスマネジメント（ASM）、ゼロトラストいずれの前提になるのは、自組織のITインフラストラクチャの可視化です。見えないものは止めることができない、の原則に立ち返り、テレワークやクラウド移行で拡張したITインフラストラクチャを網羅的に可視化することで、リスクを継続的に特定、検証できる仕組みを実現できるのです。