不況でも攻撃者は待ってくれない リソース不足の企業がまず検討すべき優先事項：海外セキュリティリーダーからの提言

不況下においては、限られたリソースで最大限効果的なセキュリティ対策を講じ、自社を守る必要があります。そのために検討すべき優先事項とは何でしょうか。

[Michael Sentonas，CrowdStrike]

この連載について

　サイバー攻撃の手法は日々進化しており、多様化、巧妙化も著しい。また、その攻撃対象も大手企業だけでなく中小企業や社会インフラにまで広がっている。こうした状況に向き合うわれわれも常に情報をアップデートし、手法や対策の在り方の更新が求められる。いち早く攻撃者の動向を察知し、対策を検討するセキュリティソリューションベンダーはこの状況をどう見ているだろうか。

　本連載はサイバーセキュリティベンダーなどのリーダーに、最新のサイバー攻撃の動向やその防御の考え方、技術的な課題などを解説いただく。

　連載4回目となる本稿は、不況下の中で限られたリソースで費用対効果をしっかりと見定め、適切なセキュリティ対策を講じるためには何に注意すればいいのかを解説します。

不況の影響を受け、“なりふり構わなくなった”サイバー攻撃者たち

　不況のあおりを受けているのは、企業と消費者だけではありません。経済の先行きが不透明な中、サイバー攻撃者もまた、ランサムウェアの支払いや不正資金の受け取りに欠かせない暗号資産の価値が下落して苦境にあります。このため、脅威アクターは新たな収入源を見つけ、サイバーセキュリティ上の盲点を悪用して今後も利益を得ようと、大胆さと貪欲さを増しており、金銭を目的としたサイバー犯罪の数が大幅に増え、著しく深刻化しています。

　サイバー攻撃者が活発に動いていることは、「Ransomeware as a Service」（RaaS）の増加からも明白です。RaaSとはランサムウェアをサービスとして提供するビジネスモデルです。加盟メンバーはランサムウェア運営組織に料金を支払ってランサムウェアを購入したり、リースしたりして攻撃を実行します。

　その他、ランサムウェア攻撃の手口としては、窃取したデータの暴露などを条件に企業に金銭を要求する「二重脅迫」も増えています。今後1年のうちに、この手口がこれまで主流だった窃取データを暗号化する手口をしのぐことが予想されます。脅威アクターは二重脅迫以外にも、二重脅迫にDDoS攻撃を組み合わせる「三重脅迫」や、暗号化とデータ流出を組み合わせた手法などで、企業に繰り返し攻撃を仕掛ける恐れがあります。

　サイバー攻撃件数の増加と複雑化の傾向は今後も変わらないことが調査からも明らかになっています。CrowdStrikeが公開しているFalcon OverWatch脅威ハンティングレポートのAPJサマリー（日本語版）の2022年版によると、アジア太平洋地域および日本（APJ）では、侵入キャンペーンの攻撃タイプのうち、サイバー犯罪が33％を占めています。当社のFalcon OverWatchチームは、全世界では対話型攻撃による侵入が前年度比で50％増加している一方で、APJ地域では60％増加していることをつきとめました。

　APJ地域の企業がデータ侵害による金銭的な被害と企業イメージ低下による壊滅的な被害を受けることを防ぐためには、こうした特定の脅威に備える必要があります。同調査レポートによると、この地域では通信やテクノロジー、メーカー、小売業、学術などのセクターが最も頻繁に標的になっています。しかし実際には業界などにかかわらず、あらゆる企業が、よりプロアクティブで隙のないセキュリティ対策を整える必要があるでしょう。

不況下のサイバー攻撃対策　優先すべきは

　すでに景気の悪化に苦しんでいる企業にとって、脅威への対応はさらに事業を圧迫しています。今日、企業はより少ないリソースでビジネス上必要不可欠な業務をこなしながら、以前より意欲を増したサイバー攻撃者に対処しなければならず、バランスを繊細に見極める必要があります。

　サイバーセキュリティについては、限られたリソースで事業運営や従業員、機密データを最大限効果的な方法で守る必要があります。しかし現状では、企業がサイバーセキュリティ以外の必要な業務に優先的に予算を振り分けているためリスクにさらされています。

　効果的に組織を保護するには、サイバーセキュリティを今後もビジネス上欠かせない重要な要素として優先する必要があります。適切なサイバーセキュリティ対策に前もって投資する金額は、侵害を受けてから事態を収拾することを考えれば安くすみます。侵害を受けた場合、クリーンアップやインシデント対応、フォレンジック調査、法的な影響、セキュリティプロバイダーの変更、顧客への通知、規制当局への報告などに追加費用がかかります。

　適切な戦略を立てて取り組めば、コスト削減と堅牢（けんろう）性の高いサイバーセキュリティ対策の導入を両立することも可能です。以下で、現在の景気悪化を乗り切り、セキュリティを確保するために検討すべき優先事項を紹介しましょう。

スケーラビリティ確保に向けたパートナー選びのコツ

　セキュリティパートナーが自社のサイバーセキュリティ業務をサポートし、必要に応じて責任を担ってくれるかどうかをまずは確認しましょう。経済状況が変わり、セキュリティ対策に投資したいと考えたとき、迅速かつ効果的に対応できるプロバイダーが必要です。セキュリティパートナーが、MDR（Managed Detection and Response）サービスを提供しているかどうかは重要な選定のポイントとなるでしょう。その他のパートナー選びのポイントは以下の通りです。

• クラウドネイティブの構築が可能かどうか：複雑さを排除してデプロイ作業をシンプルにすることで、運用コスト削減につながります
• ML（機械学習）を含めたAI（人工知能）を活用できるかどうか：脅威ライフサイクル全体を通じて組織を保護し、ビッグデータをクラウドベースの分析プラットフォームで活用することで、即時的な可視性を提供できます
• デプロイが容易かどうか：仮想マシンやデータセンターなどあらゆる場所で使用できる単一の軽量エージェントを利用することで、オフライン状態のエンドポイントも保護できます

単一のプラットフォームでセキュリティツールを運用せよ

　多くの企業では、複数のベンダーによる多数のセキュリティソリューションを併用していますが、これは効率面や効果の面でもお勧めできません。「無料」のソリューションのはずが、あっという間に料金がかさむこともよくあります。気が付けばセキュリティを確保するために、複数のコンソールやエージェントへの対応、頻繁なアップデート作業、コンパニオンソフトウェアの追加など計画していなかったさまざまなコストが発生することも多いでしょう。

　そのため、単一のプラットフォームにツールを統合するか、少なくともシームレスに統合できるソリューションを使用することでベンダーの数を最小限に絞る方が効率的です。費用面の価値だけでなく、効率性や成果の面での価値も重視する必要があります。

完全な可視性を獲得する

　セキュリティソリューションを選定する上では、これを利用することで自社システム全体を可視化できるかどうかは重要なポイントです。外部攻撃対象領域（アタックサーフェス）の管理や侵害を速やかに修復する上でも特にこの点は意識しましょう。

　技術スタックを漏れなく可視化することは、簡単ではありません。買収先企業のスタックが一部混ざっていたり、スタックが複数の拠点にあったりする場合はさらに難しくなるでしょう。アプリケーションやワークロード、データをクラウドに移行することを検討している企業は特に以下の対策を講じる必要があります。

• 管理されていないまたは非対応のレガシーシステムや、サプライチェーン関連の死角をなくす
• 資産インベントリと高度な行動分析を組み合わせてリスクを最小化し、コネクテッドデバイスとネットワークに関連する潜在的なリスクを特定および軽減する
• 継続的に資産をリアルタイムで監視して、侵害につながる可能性のある非対応デバイスと非管理デバイスを正確に特定する

リソース不足の企業にお勧めの方法

　景気の悪化に伴う問題としては、新規雇用が凍結する可能性も挙げられます。新しいメンバーが入らない状況でセキュリティチームを強化することは難しく、全く不可能な場合もあります。こうした状況でセキュリティ対策の強化を目指す大企業や中小企業に最善の策としてお薦めするのは、業務委託とMDRの活用です。これらを駆使することで、新たな人員を採用することなく、最適なスキルを確保して適切なセキュリティチームとセキュリティスタックで十分な対策を講じられます。

　セキュリティを考える際は、費用によって得られる価値を正しく見極めることが重要です。そこそこの機能で安い製品を探すというやり方は、セキュリティに関してはお勧めできません。今日、あらゆる企業に最適な最も価値のあるサイバーセキュリティソリューションは、侵害を食い止めるものでなければなりません。組織にとって、機能しないセキュリティは不要なのです。

執筆者紹介：CrowdStrike　クラウドストライク最高技術責任者（CTO）、マイケル・セントナス（Michael Sentonas）氏

マイケル・セントナス氏は、クラウドストライクの製品分野およびGTM（Go-To-Market）分野を率いています。具体的には、セールス、マーケティング、製品＆エンジニアリング、脅威インテリジェンス、経営企画、CTOなどのチームを統括しています。サイバーセキュリティのベテランで20年超の経験を有するセントナスは、セキュリティの課題と進化する脅威の状況に関する大家として積極的に活動しており、業界の主要なイベントでの講演者、メディアの専門的な情報源、政府や企業の取締役会の信頼できるアドバイザーを定期的に務めています。