サイバーインシデントが発生しにくい環境を作るには？～“被害後”の対策に学ぶ～

資料をダウンロード

インシデント対応支援のエキスパートが語る、セキュリティ体制強化のポイント

「本件を真摯に受け止め、引き続き外部の専門家と連携し、セキュリティ体制の強化を実施し、再発防止に努めます」。
このような文章を、サイバー攻撃の被害に遭った組織のプレスリリースなどで目にした方もいらっしゃるかもしれません。この「外部の専門家」とはどのような人たちで、「セキュリティ体制の強化」とは具体的にどのようなことを指すのでしょうか？

トレンドマイクロ主催のサイバーセキュリティカンファレンス「2024 Risk to Resilience World Tour Japan」において、当社の中村俊一（なかむら・しゅんいち）が登壇し、「外部の専門家」の視点で、「サイバー攻撃の被害に遭った企業は何を強化したのか」について解説しました。
中村は、法人のお客様向けにSOC・CSIRT運用支援、インシデント対応支援などを長年行っています。これまで多くのお客様のインシデント対応支援を行ってきた経験を踏まえ、実例を交えながらセキュリティ体制強化のポイントを説明しました。

セキュリティ体制強化は基本が重要

まず、被害に遭った組織が行ったこととして、「とにかく基本的な対策を見直した」ということを中村は強調します。昨今頻発するサイバー攻撃の次のシナリオを例にとって説明します。

①VPN装置の脆弱性を悪用して初期侵入
②ドメインコントローラに侵入
③ネットワークスキャンによる環境把握と権限昇格
④様々なファイルサーバやクライアントパソコンに侵入
⑤ランサムウェアを実行

こうした侵入経路と攻撃手法に対し、最初に思い浮かぶ対策としては、①のVPN装置への修正プログラム（パッチ）適用、②のドメインコントローラや④のファイルサーバへのEDR（Endpoint Detection and Response）導入が挙げられるでしょう。もちろんこれらの対策は妥当なものですが、セキュリティの専門家の視点はこれにとどまりません。次に挙げる例のように、お客様の環境の弱点を網羅的に検討し、それぞれ対策を行っていただくようアドバイスしています。

・他の侵入経路の洗い出し……DMZ（Demilitarized Zone：非武装地帯）の公開サーバはないか、パブリッククラウドの設定不備はないか、グローバルIPを持っているパソコンなどの機器がないか
・VPN機器の継続的なメンテナンス……保守業者がいる場合は、修正プログラム適用などメンテナンスの取り決めや契約内容が適切かどうか
・EPP（Endpoint Protection Platform）の導入、設定、バージョンアップ……EDRを十分活用するためにはEPPでも適切な対応をとる必要がある
・EDRの監視・運用体制……EDRは「導入したら終わり」ではない。監視はだれがやるのか、アウトソースする場合は社内の体制はどのようにするのか、などの検討が必要
・アクセス権限の見直し……Administratorアカウントですべてにログインできる必要があるかどうか
・アカウントの棚卸……不使用アカウントの放置や、パスワードの使い回しがないかどうか
・インシデント時の対応体制の確認、マニュアルの整備、等々

これらの項目は、ひとつひとつはシンプルで、基本的な対策であることに気づくのではないでしょうか？EDRなどの最新のソリューションは非常に有効ですが、基本を徹底できていないと、アラートが膨大に出てしまい、トリアージも難しくなります。基本的対策を行ってこそEDRが活きてくるという点を中村は強調しました。

参考記事：MITREの攻撃テクニックのみに注目するなかれ～Detection&Responseが効果を発揮するには“攻撃シナリオ”ベースの検知こそ重要

セキュリティ運用の継続には専門家の支援やテクノロジーも活用

被害に遭った組織が行ったことの2つ目のポイントとして、「セキュリティ運用を継続的に見直せる体制を整えた」ということが挙げられます。上述の基本的対策も最新のソリューションも、持続的な実施や、定期的なアップデートが必要である、ということです。ただ、脅威動向は日々変化し、それに合わせて基本的対策も変化していきます。それらに常にキャッチアップし、持続的にアップデートしていくのは難しいかもしれません。その場合には、専門家の力を借りることも検討するとよいでしょう。

トレンドマイクロでは、平時・有事ともにお客様を支援する体制を整えています。有事のインシデント対応支援はもちろんのこと、平時においても、最新の脅威動向に関する勉強会などで当社の知見を提供し、インシデントを未然に防ぐためにセキュリティレベルを上げる支援を行っています。当社が近年注力しているのは「先手を打つ」ということです。つまり、お客様の環境で攻撃対象になり得る脆弱性を可視化し、インシデントにつながらないよう、先んじて対策をとるというものです。実際に、Amazon S3バケットが公開設定になっている、外部公開されているコンピュータで3389ポート（主にリモートデスクトップで使用されるポート）が開いている、などのような脆弱性をお客様の環境で洗い出し、有事になるまえに対処いただいたという例もありました。

また、このような脆弱性への対処をアシストするもう１人の専門家として、AIの活用も検討するとよいでしょう。中村の講演では、AIアシスタント「Trend Companion」のデモンストレーションを行いました。AIにより、組織の環境で検出されたCVEのうち優先して対応したほうが良いものの提案や、クラウドアセットの設定不備を検出してもらうなどの支援が得られます。このようなテクノロジーをうまく活用し、専門家の支援も得て、平時にリスクを下げる活動を行っていくことで、インシデントが発生しにくい環境の構築が可能になります。

トレンドマイクロでは、豊富な対応支援実績により、様々なインシデント事例を技術レベルで熟知しています。そのうえで、お客様の環境によって実現可能な対策を提案します。そして、変化し続けるサイバー攻撃の機先を制し、最新のテクノロジーを迅速に取り入れながら進化を続け、お客様のセキュリティ・ライフサイクルに伴走してまいります。