MandiantのCEOが語る、サイバー攻撃に有効な“7つのアドバイス”：Cybersecurity Dive

MandiantのCEOによると、セキュリティツールを導入する以外にも、組織が防御力を強化してサイバー攻撃を検知、阻止、または最小化するためには明確な手順がある。

[Matt Kapko，Cybersecurity Dive]

　防御に優れて十分な備えのできている組織は他の組織と何が違うのか。この点に関する答えをMandiantのCEO（最高経営責任者）であるケビン・マンディア氏は知っている。

　マンディア氏が設立したGoogle傘下のインシデントレスポンス会社Mandiantは、2022年に1163件の侵入を調査し、現在100件以上のセキュリティ侵害に対応している（注1）。調査の中では根本的なミスや見落とし、優先順位のズレが次々と見つかっている。

サイバー攻撃に有効な7つのアドバイス

　2023年4月26日、満員となったMoscone Centerの講演会場の中、RSAのカンファレンスにおいてマンディア氏は以下のように語った。

　「かつて私のキャリアにおいて、システムがハッキングされてランサムウェアが展開され、『防御が下手である』という汚名を着せられた時期があった。何を誤ったのだろうか」（マンディア氏）

　マンディア氏によると、一般的な安全対策やセキュリティツールの他に、組織が防御力を強化してサイバー攻撃を検知、阻止、または最小化する可能性を高めるためには明確な手順があるという。同氏はサイバー攻撃に対して有効な7つのアドバイスを提示した。

1．制度化された企業の知識を活用する

　「自分たちが持っている優位性を決して忘れてはいけない。自社のビジネスやシステム、ネットワークトポロジーおよびインフラについて、あなたはどの攻撃者よりも詳しく知っているはずだ」とマンディア氏は言う。

　マンディア氏によると、適切な構造と通常の活動や業務のベースラインが確立されていれば、組織はより早く異常を検出できるという。

2．多要素認証を活用する

　マンディア氏は「どのような重大な攻撃に対しても多要素認証（MFA）が最大の効果を発揮する。多要素認証をあらゆる部分に導入し、それらの場所においてそれが確実に有効になっていることを確認する方法を見つけることが重要だ」と述べる。

3．ハニーポットを構築する

　ハニーポットとは、正規のユーザーが意図的に触れられないように作成した偽のアカウントであり、セキュリティ製品では止められない侵入や悪意のある行為を検知するために有効だ。

4．モジュールのログを研究する

　Mandiantが対応した侵害において、ほとんど侵害の第2段階では悪意のある「PowerShell」のスクリプトが関与していた。同氏は防御を行う企業に向けて「良いスクリプトと悪いスクリプトを区別するために、組織のインフラ全体でPowerShellのスクリプトの使用状況を一貫して把握し、モジュールのログをオンにして研究するべきだ」とアドバイスする。それに加えて組織は全てのアイデンティティーの使用について注視する必要もある。

5．リスクを一貫して報告する

　最も安全な組織では、執行役員が取締役会に対してリスクを一貫した方法で報告しているとマンディア氏は述べる。つまり取締役会において、次から次へと異なるリスク評価を共有するのではなく、必要な場合には繰り返し報告するのだ。

6．重要な資産を特定する

　セキュリティ専門家は組織にとって最も重要な資産を把握し、それらの資産が直面する潜在的なリスクを定期的に評価する必要がある。

　マンディア氏はこれについて、防御側がさらに一歩踏み込んで、組織にとって最も懸念すべきリスクや潜在的な被害を伴うリスクに対し、卓上で演習を実施することを推奨している。

7．協力し、意見を聞く

　RSAのカンファレンスにおけるテーマである「Stronger Together」（一緒に強くなろう）を踏まえて、マンディア氏は「防御担当者の関心を高めるために、企業は自ら選択した何らかのコミュニティーに定期的に参加すべきである。他の組織からセキュリティの運用について共有を受けて学ぶことで、セキュリティの専門家は組織の防御を強化できるのだ」と述べた。

（注1）m-trends-2023（MANDIANT）

原文へのリンク