SOCを解明する、パート2：侵害は予防でなく想定する時代に

編集者注: この記事は最初にMedium.comで公開されました。

Exabeamブログの前回記事では、セキュリティ侵害を検知して対処し、インフラストラクチャを既知の良好な状態に維持するには、貴社を含めたすべての企業にセキュリティオペレーションセンター (SOC) が必要な理由を説明しました。サイバーセキュリティの目的は予防から、予防と脅威の検知、調査、対応 (TDIR) の組み合わせへと長期的に移行する過程にありますが、SOCはこうした過程の中で後者の使命を担います。

セキュリティ業界ではつい最近まで予防に主眼を置き、ファイアウォールやネットワークプロキシを用いた「ネットワーク境界」の構築を目指していました。境界内は企業LANの「信頼ゾーン」であり、誰もが安全に仕事に取り組み、厳格なセキュリティはほとんど必要とされませんでした。境界を一歩外に出ると、そこは危険な「無法ゾーン」で、スクリプトキディなどのよからぬ輩が壁を叩きながら侵入経路を探索していました。これは「M&Mセキュリティ」とも呼ばれ、強攻策と穏健策が併用されていました。

残念なことに、保護されたセキュリティ境界という幻想は次第に消滅していき、境界内の組織が大規模なセキュリティ侵害に遭い、数百万ドルの損害を被るようになりました。史上最大クラスの被害を被った組織リストの上位には、Epsilonの40億ドル、Veteran’s Administrationの5億ドル、Hannaford Brothersの2億5,200万ドルなどが名を連ねます。

前回ブログで説明したとおり、現実には、規模の大小を問わず、どの組織も侵害と無縁でいられません。そのため現在では、侵害が起こるのは時間の問題と想定されています。ファイアウォール、プロキシ、侵入予防システム、マルウェア対策ツール、オペレーティングシステム、セキュリティ、ツール、アプリケーションの厳格なセキュリティ更新プログラムでは防ぎきれなくなっているのです。それどころか、有効なログイン資格を持つ内部者の不正にも対処しなければならないケースもあります。SOCは発生時にできるだけ早く侵害を検知、調査、修復し、ビジネスへの拡散と破壊的被害を未然に防がなければなりません。

組織はセキュリティに巨額を投じてもなぜ自己防衛できないのでしょうか。

古い境界は消滅、アイデンティティが新たな境界に

現在、大半の組織ではモバイル、クラウドコンピューティング、SaaSアプリケーション、BYODプログラム、モノのインターネットが普及しています。COVID-19という人的ウイルスにより多様なツールを使って自宅で仕事をせざるを得ないこともこの傾向に拍車をかけました。

こうした傾向により境界は大きく広がっています。もはや信頼ゾーンも無法ゾーンもなくどこも危険な荒野となっています。セキュリティ企業はこれらデバイスとそのユーザーを保護するために多数のツールと戦略を考案していますが、従来よりはるかに困難なタスクになっており、セキュリティ業界とハッカーは相手を打ち負かす方法を見つけようと、常にいたちごっこを繰り広げています。

実際、「アイデンティティが新しい境界線」という概念が今日では当然となっています。時代は変わったのです。

高度化するハッカー、危険を増す内部の脅威

10代のスクリプトキディによる地下室からのハッキングが唯一の脅威だった時代はもう過去のものとなっています。今や、最先端の防御策以外はすべてを突破できる高度なハッキングツールを作成、活用するために、犯罪組織やロシア、中国などの国家にハッカー集団が雇われる時代です。こうしたハッカーは高度で持続的な攻撃 (APT) を仕掛けて組織に侵入し、数週間から数か月かけてネットワークに潜んで侵入を拡大しながら貴重な機密情報を探したり、貴重なデータにロックをかけるランサムウェアを使ってロック解除と引き換えに多額の身代金を被害者からせしめようとしたりします。こうした高度なツールの多くは、使用したければダークウェブで入手でき、新しいツールが次々に登場しています。

上記の攻撃は些細な構成ミス、ファイアウォールやオペレーティングシステムの構成ミスの見落とし、最新版やアップグレードが適用されていないマルウェア対策ソフトウェアといった弱点を突いてきます。既知のマルウェアシグネチャを持たないゼロデイエクスプロイトを使ったものも多数存在します。

フィッシングメールをクリックしたり、DBD攻撃用のマルウェアに感染しているウェブサイトを訪問したりして、ソーシャルエンジニアリング戦術の罠にはまった従業員が、企業ネットワークへの侵入でハッカーを知らぬ間に援助するケースもあります。

内部の脅威リスクも最近高まっており、組織の主な懸念要因になり続けると予想されています。Ponemonの『 2020 Cost of Insider Threats Global Report (2020年内部脅威コストグローバルレポート)』によると、従業員数が1,000人を超える企業における内部の脅威件数は2018年から2020年にかけて47％増加しています。この件数の中には悪意のある内部者、侵害された内部者、偶発的内部者が含まれます (このトピックの詳細は今後の記事を参照)。

こうした状況を受け今や組織は、最強の予防策を講じていても、攻撃者がインフラストラクチャに侵入済みであると想定して行動することが求められます。『 IBM’s 2020 Cost of a Data Breach Report (IBMの2020年データ侵害コストレポート)』によると、データ侵害の発見と封じ込めには平均280日かかり、侵害封じ込めにかかる日数が200日未満と200日以上の場合を比較した平均節約額は100万ドルに達します。つまり、ハッカーを捕獲する強力なプログラムを持ち、状況を把握してできるだけ早く既知の良い状態にネットワークを回復させることが重要となります。その際、SOCは不可欠な役割を果たします。

ただ、心配には及びません。あなたが気付いていなくても、所属組織が既にSOCを設けている可能性は高いのです。SOCの概要、役割、運営者については、このシリーズの次の記事で取り上げます。