攻撃者は素早く行動し、俊敏で、チャンスと見れば即座に戦術を変えてきます。新型コロナウイルス感染症のパンデミックに伴い、私たちの働き方やユーザーと環境の管理のあり方が変化したことで、攻撃者もまた変化を遂げ、新たなチャンスへの適応を瞬く間に終えました。ZScaler社が4月に発表したレポートでは、今年1月から3月までの間に新型コロナウイルスに乗じた攻撃が30,000%増加したことが示されています。わずか数か月の内に、攻撃者は大きなチャンスに乗じて大規模な戦術の転換を図ったということです。ビジネスにおけるこれほどの俊敏性は、多くの企業からすれば羨ましいと言うほかありません。

RAND研究所の調査研究によると、攻撃者は平均22日以内に脆弱性の悪用を果たし、ほとんどの悪用は7年程度使われ続けるそうです。このデータは、2019年から最も一般的に悪用される脆弱性を発表しているRecorded Futures社によっても裏付けられています。悪用の大半が、しばらく前から存在している脆弱性を侵害するというものです。 

私たちは、このようなレベルの攻撃者の俊敏性と適応力にどう立ち向かうべきでしょうか。それには、私たち自身が適応することで、自己保護戦略に向けて舵を切る必要があります。確かに攻撃の巧妙化は進んでいますが、その巧妙さの根底には、攻撃者が同じ戦術を何年も取り続けているという事実があります。偵察、脆弱性の悪用、永続化の確立、水平展開、データの流出および暗号化などがそうです。同じ活動を、単により自動化され拡張された機能で繰り返しているわけです。

では、自己保護とはどういうことでしょうか。攻撃者の手口を分析し、自動化や機械学習を利用することで、実際の脅威により迅速に対応できるようになります。このようなアダプティブセキュリティのアプローチは、 「感知」、「優先順位付け」、「修正」の3つのパートから成ります。

感知

環境内にあるものを検出します。実行されているソフトウェアや構成を検知し、脆弱性を分析します。また、その環境での新しいデバイスの導入やデバイスの状態の変化など、継続的に変化がないか監視します。

優先順位付け

リスクベースの優先順位付けにより、活発に悪用されている脆弱性を特定し、リスクが最も高い脆弱性に速やかに対処します。予測アルゴリズムを使用して、変更と脅威を予測し、次のステップについて規範となるガイダンスを提供します。

  • ノイズ除去: 常にすべてを管理できないほど大量のデータと多数の脅威が存在しますが、そのノイズを除去して、最も大きなリスクを素早く軽減するための非常に重要な活動に絞ることができます。

修正

このプロセスでは、対策を打つことが最も重要なポイントとなります。いくら何千何万という脅威を発見しても、それらの脅威に対策を打たなければ何の役にも立ちません。

  • 主体的: 先述のとおり、攻撃者の行動は非常に素早いため、私たちはその対応において主体的でなければなりません。真っ先に対応すべきものとして、優先度の高いリスクが挙げられます。活発に悪用されている脆弱性を把握しておけば、最適な修正作業を行う上で参考になります。
  • アダプティブ: 修正機能(と評価)は、環境や状況に適応させることができる必要があります。その理由は、新型コロナウイルス感染症のパンデミックの例を見ればわかりやすいでしょう。リモートワークへの切り替えが急速に進む中、セキュリティ機能もそれについていけることが必須となります。パブリッククラウドかプライベートクラウドか、オンプレミスかオフプレミスのユーザーシステムか、会社支給かBYOD(個人所有)のデバイスかに関係なく、私たちは環境に対する脅威を管理し、対応できなければなりません。そして最後は自動化です。
  • 自動化: 攻撃者は、攻撃の自動化をさらに進めています。つまり攻撃が素早くかつ大規模に行われる可能性があるということです。そのため、私たちも対応を自動化する必要があります。一連の手順を自動化し、手順間の時間を短縮して、できるだけ人為的要素を取り除くことで、対応に時間をかけ、ミスをなくすことができます。

留意すべき最大のポイントは、自己保護がこの方程式から人を排除することを意味するものではない点です。自己保護では、自動化できる作業は自動化し、迅速な意思決定に必要な分析データを生成し、アナリストが差し迫った脅威に対して速やかな承認と対応を適時行えるように行動を優先順位付けして、さらに自動化を繰り返すことに重点が置かれます。  

Ivanti Neuronsについての詳細は、こちらからご確認ください。

クリス・ゴエトルについて

クリス・ゴエトルは、Ivantiでセキュリティ部門の製品管理ディレクターを務めています。IT分野に15年以上従事し、Ivantiのお客様向けセキュリティソリューションのサポートと実装に携わるほか、Ivantiのセキュリティ製品に関するセキュリティ戦略とビジョンの案内役を務めています。また、セキュリティエバンジェリストでもあり、世界中のセキュリティイベントに登壇して、最新のサイバー脅威やそれらに効果的に対抗する方法についてガイダンスを提供しています。Patch Tuesdayとセキュリティの脆弱性に焦点を当てたウェビナーを毎月開催するほか、セキュリティに関するブログ記事も頻繁に投稿しています。クリスの論評は、『SC Magazine』誌、『Redmond Magazine』誌、『ComputerWorld』誌、『Threatpost』誌、『Help Net Security』誌をはじめ、セキュリティに関するニュースの情報源となっている数々の有名雑誌で取り上げられています。