「巧妙化する手口」にどう対抗する？ 企業を脅威から守るために優先すべき「3つの重要領域」：海外セキュリティリーダーからの提言

サイバー攻撃の手口が巧妙化する今、これまでのアプローチとは異なったセキュリティ対策が必要だと筆者は主張します。さまざまなものが攻撃者に利用される今、企業を脅威から守るために優先すべき「3つの重要領域」とは何でしょうか。

[Amol Kulkarni，CrowdStrike]

この連載について

　サイバー攻撃の手法は日々進化しており多様化、巧妙化も著しい。またその攻撃対象も大手企業だけでなく中小企業や社会インフラにまで広がっている。こうした状況に向き合うわれわれも常に情報をアップデートし、手法や対策の在り方の更新が求められる。いち早く攻撃者の動向を察知し、対策を検討するセキュリティソリューションベンダーはこの状況をどう見ているだろうか。

　本連載はサイバーセキュリティベンダーなどのリーダーに、最新のサイバー攻撃の動向やその防御の考え方、技術的な課題などを解説いただく。

　連載1回目の本稿では、巧妙化するサイバー攻撃の手法に対抗するための戦略で優先すべき「3つの領域」についてクラウドストライクの見解をお伝えします。

　長年にわたり、サイバーセキュリティプログラムの運用方法を判断する中心的な柱は「人、プロセス、テクノロジー」でした。これには相応の理由があります。

優先すべき「3つの重要領域」

　企業には十分な教育を受けた「人材」や、侵害を防止し、仮に侵害された場合には対処できる確かな「プロセス」、悪意あるアクティビティーを検出してブロックできる最新の「テクノロジー」が必要です。こうした階層的なセキュリティアプローチが長い間組織を守ってきました。

　ところが、攻撃者の手口はますます巧妙になっています。今後はこのアプローチだけでは安全を確保できなくなる可能性があると筆者は考えています。

　もっとも、「人、プロセス、テクノロジー」という基本原則は今も重要です。ただしITチームやセキュリティチームは、防御戦略を策定する上で優先すべき3つの重要な領域に、この3本柱がどのような作用を及ぼすのかを考慮しなければなりません。

　セキュリティチームが優先すべき重要な3領域は「ワークロード」（エンドポイントとクラウド）や「アイデンティティー」（ユーザーとマシン）、「データ」です。これらを企業のセキュリティリスクの震源地として、今後の防御戦略へのアプローチを示す新たな「3本脚の腰掛け」として認識する必要があります。

　攻撃に対して先手を打つ唯一の方法は、適応することです。脅威アクティビティーを調査すると、企業のクラウド導入が進むにつれて、攻撃者もクラウドのワークロードを操作、悪用しようとスキル向上に励んでいることが判明します。攻撃者のスキルが磨かれているという“事実”が、全ての痕跡から浮かび上がるのです。

　アイデンティティーの侵害はあらゆるセキュリティ脅威の中でも重大な被害をもたらします。サイバー犯罪者にとって、従業員の認証情報の価値は高まっています。有効な認証情報一式、あるいは構成ミスが一カ所あれば、攻撃者はクラウドに存在している重要なデータなどの資産が増え続けるプールにアクセスできるのです。

ワークロード：エンドポイントとクラウド

　攻撃者はクラウドを、知的財産の盗難やデータ恐喝、ランサムウェア攻撃などを仕掛けるのに絶好の環境だと見なしています。クラウド攻撃の際には一般的に脆弱（ぜいじゃく）性の悪用や認証情報の盗難、クラウドサービスプロバイダーの不正利用、マルウェアホスティングやコマンド＆コントロール（C2）へのクラウドサービス悪用、構成ミスのあるイメージコンテナの悪用などが起こります。

　もちろん、保護すべき対象はクラウドだけではありません。セキュリティチームはエンドポイントも必ず保護しなければなりません。エンドポイントにはクラウドとは異なるリスク特性があり、異なる脅威の対象になる可能性があります。

　攻撃者がエンドポイントに狙いを定めた場合、マルウェアの領域を超えた行動を取ります。つまり、攻撃者は従来のウイルス対策製品による検出を回避するために、マルウェアではなく本物の認証情報やビルトインツールを使用します。この手法は「Living off the Land」（環境寄生型）と呼ばれます。

　企業が成長するにつれてエンドポイントやクラウドのワークロード、コンテナに加えて、これら全てを保護する新しいツールも増え続け、セキュリティ対策は複雑化します。こうした中で、データやマシンなどの資産を守るためにセキュリティチームが採るべき対策は何でしょうか。筆者は、ランタイム保護の導入やリアルタイムな可視性の確保、設定エラーの排除がベストプラクティスだと考えています。

アイデンティティー：ユーザーとマシン

　昨今の攻撃者は盗み取った数十億ものユーザー名やパスワードを使用して防御をすり抜け、あたかも本物のユーザーのようにふるまいます。現在の侵害はアイデンティティーに起因するものが多く、その割合は80％に上ります。セキュリティチームがアイデンティティー保護戦略について慎重に検討する必要があることを、この数字は物語っています。

　認証情報を基にしたクラウド環境への侵入は、標的型攻撃を中心としたサイバー犯罪における一般的な攻撃経路の一つです。サイバー攻撃者は、利用者の多いクラウドサービスの偽認証ページを用意して認証情報を収集して、被害者のアカウントに侵入しようとします。攻撃者が有効な認証情報を1つ獲得すれば、従業員を装ってログインできます。これを防ぐためには追加的なセキュリティ対策が必要です。

　具体的には、多要素認証（MFA）を全面的に導入すべきだと筆者は考えています。特に権限を持つアカウントについては、MFAをサポートしない従来の認証プロトコルを無効にし、ユーザーとクラウドサービス管理者両方の権限と認証情報を追跡、管理するなど徹底した対策が必要です。

データ：データ保護の重要性

　攻撃者の最終的な狙いはデータです。組織がデータ保護の将来について検討する場合は、ワークロード（エンドポイントとクラウド）、アイデンティティー（ユーザーとマシン）、データがそれぞれどのように結び付き、これら資産の関係によってどのようにデータが変化するのかを考慮すべきです。

　アイデンティティーの認証はエンドポイント経由で行われます。コードリポジトリやクラウドのワークロード、アプリケーションへのアクセスもエンドポイントを経由します。データは（デバイスをはじめとする）IT資産からIT資産へと流れるため、デバイスやクラウド環境の至るところに存在しています。

　従って、データ全てを保護するのは大仕事になります。データを保護する方法は企業によって若干異なるようです。ビジネスを支えるデータを保護するために、セキュリティチームが実践すべきステップの例として以下の3つをご紹介します。

1. クラウドワークロードの保護の実現：ワークロードを保護するためには、各ワークロードおよびコンテナイベントを可視化し、検出する。ワークロードやコンテナ、サーバレスアプリケーションなど自社が利用しているクラウドサービスに関わる要素全体のセキュリティを確保する
2. 全てのアイデンティティーの保護：攻撃者は盗んだ認証情報を使用して従来の防御を回避し、本物のユーザーを装う。セキュリティチームは脅威から企業を保護するために、アイデンティティーに重点を置く必要がある
3. 保護対象の把握：自社のデータ資産については企業規模で理解しなければならない。資産や設定、アクティビティーを一元的に可視化することで、構成ミスや脆弱性、セキュリティ脅威の検出だけでなく、インサイトやガイド付きの修復（注1）にもつながる

　企業は、ビジネスのあらゆる側面でセキュリティについてこれまで以上に考えなければなりません。クラウドコンピューティングとテレワークの導入に伴って攻撃対象が拡大しています。こうした中、企業におけるセキュリティ対策はワークロードやアイデンティティー、データの全てをカバーしなければなりません。全てのCISO（最高情報セキュリティ責任者）はこれら3つの重要領域を最優先事項として意識すべきです。

執筆者紹介：CrowdStrike　最高製品責任者兼最高エンジニアリング責任者　アモル・クルカルニ（Amol Kulkarni）

クラウドストライクのプロダクトおよびエンジニアリングを率いて、製品およびプラットフォームのビジョンやロードマップの策定および実行を担当。クルカル二および彼のグローバルチームは、顧客を守り、攻撃者に先んじるための最先端かつ使い勝手の良い製品を開発、提供している。

（注1）セキュリティ対策ソリューションによって自動的に作成されるリスク軽減策。グローバルセキュリティ標準の推奨事項をセキュリティ担当者にガイドする他、攻撃を受けた際に実行される修復の進行状況を追跡して状況の把握を助けたり、脆弱性の軽減策を適用するための実装修復手順をガイドしたりする。