「うちの会社は大丈夫か、安全か？」と尋ねる代わりに確認すべき2つのポイント：敵を知り、己を知る

サイバー攻撃による被害が後を絶たない。「うちは大丈夫なんだろうね」と経営層にくぎを刺されるセキュリティ担当者も多いだろう。だが、「そもそもその問いが間違っている」と指摘する有識者もいる。正しい問いとは、そしてそのために必要なこととは何か。

[PR／＠IT]

PR

　サイバー攻撃によって情報漏えいした、業務停止したなど物騒なニュースが日々流れている。不安を抱いた経営層から「うちは大丈夫か、セキュアだろうか」と尋ねられるセキュリティ担当者も多いだろう。

　しかし、長年にわたってSOC（Security Operation Center）などで分析やインシデント対応などの業務に携わり、現在はExabeamのバイスプレジデント、チーフ・セキュリティ・ストラテジストを務めるStephen R. Moore氏によると「そもそもこの問いの立て方は間違っている」という。

　では、どうあるべきなのだろうか。

「うちは大丈夫か」と尋ねる代わりに確認すべき2つの質問

ExabeamのStephen R. Moore氏

　Moore氏は「うちは大丈夫か」という漠然とした問いを2つに分けるべきだとアドバイスした。1つ目は「自社は“攻撃者のアライメント”（照準）を理解しているかどうか」、2つ目は「自社、つまり“守る側のアライメント”（連携体制）はどうなっているか」だ。

　最初に必要なのは敵を知ることだ。「攻撃者がどのようにして成功を収めるのか、その考え方やテクニック、振る舞いを知る必要があります」とMoore氏は指摘している。その際に参考になるのが、「MITER ATT&CK」のようなフレームワークだ。

　「例えるなら化学の分野における元素表のようなものです。フレームワークを理解することで、攻撃者の振る舞いも理解できるようになります」（Moore氏）

　次に目を向けるべきなのは自分たちの備えだ。Moore氏は「敵の動きに対し、自社はどのような備えをしているのか、レスポンス能力はどれくらいなのかを尋ね、評価すべきです。“人” “プロセス” “技術”が敵よりも優れているかどうか、対応できるかどうかを見極めることです。投資も時間も無駄にしないためにはこうしたアプローチが重要になります」と語る。

　Moore氏がExabeamで働いている理由も実はそこにあるという。かつてMoore氏は、所属していた企業で侵害事件を経験し、そこで「敵を理解すること」の重要性を痛感した。ひとたび侵害事件が起これば、「攻撃者はまだ自社環境にいるのかどうか」「彼らはどのようにして侵入してきたのか」「悪用されたのはどのクレデンシャル（IDとパスワードなどの認証情報）か」「どのシステムにアクセスしたのか、その痕跡は」といったさまざまな問いを解き明かしていかなければならない。

　この経験を経てMoore氏は「危機が到来してから初めて準備を始めるのではなく、常日頃からタイムラインを作成し、インシデントに対応できる体制を備えておくべきだ」と考えるようになったという。

　「もちろん体制構築だけでなく、侵害されたときにどのクレデンシャルが不正アクセスに悪用されたかを特定し、『どの状態なら正常なのか』を把握できるようにする必要もあります」（Moore氏）

シグネチャベースの対策をすり抜ける、クレデンシャルを悪用した攻撃の横行

　企業もこうした状況に対策を取っている。アンチウイルス製品をはじめ、市場にはさまざまなセキュリティ製品が存在しており、セキュリティの製品やサービスを全く導入していないという企業の方が珍しいだろう。だが、Moore氏は「今や、シグネチャベースの対策は役に立ちません」と語る。

　その理由は、攻撃者の攻撃方法と照準が変化したことにある。

　例えば「マルウェアレス攻撃の増加」。Moore氏は「今、われわれが目にする攻撃の77％はマルウェアや悪意あるコードを使いません。検知をかいくぐるからです。代わりに、盗むなど何らかの形で手に入れたクレデンシャルを悪用しており、シグネチャを用いたレガシーなセキュリティ対策の効果は薄れています」と指摘。そうした攻撃に対し、シグネチャベースの検知に頼り切りになっていると、分析すべき他の痕跡やアクティビティーを見逃してしまうという。

　また、さまざまなセキュリティ製品を導入した結果、大量に通知されるアラートに埋もれて対処が必要なアラートを見逃してしまう可能性もある。同社の調査によると、グローバルでは62％、APAC（アジア太平洋地域）では67％の企業が、外部の第三者の指摘によって初めて自社への侵害に気付く状況だという。「企業や組織は自力で侵害に気付けなくなっています」とMoore氏は指摘している。

　こうした変化の背景には、サイバー犯罪マーケットの中で「イニシャルアクセスブローカー」（IAB）の存在感が増していることが挙げられる。IABとは、PCやネットワーク、クラウドサービスなどからクレデンシャルを盗み取り、ブラックマーケットで再販するブローカーのことだ。知られているだけで約2500ものIABが存在する。

　「攻撃者はユーザー名とパスワードさえ手に入れば、その人物になりすまして侵入が可能になります。たとえアンチウイルス製品やIDS（Intrusion Detection System）といった検知の仕組みがあってもすり抜けられます。初期侵入はもちろん、継続的な攻撃においても、90％がIABから購入したクレデンシャルを悪用したものといわれています」（Moore氏）

　IABがクレデンシャルを手に入れる方法は多岐にわたる。Moore氏によると、ターゲットとする企業の従業員に直接コンタクトを取り、「クレデンシャルを共有してくれれば報酬を支払おう」と持ち掛けるケースもあるという。

　国ごとの平均賃金の格差に付け込み、その人物にとって高額な報酬を提示する。この手法は、ありふれた手口になりつつあり、ランサムウェアグループ「Lapsus$」もこの手口を積極的に用いていた。さらに、犯罪者グループが「アクセス権、買い取ります」と広告を出したり、さらには最初からクレデンシャルを入手することを目的にターゲット企業に就職させたりする手口まであるという。

　こうした悪事に目をつぶってはならない。だが、それを防ぐことは容易ではない。「従業員がクレデンシャルを売り渡してしまうことを、マルウェアのようには検出できないからです」とMoore氏は語る。

　この問題の解決の糸口になりそうなのが、Exabeam製品のアプローチだ。ユーザーの行動や振る舞いに着目し、正当なユーザーか、それとも攻撃者かを特定する。そして、タイムラインを作成して全体像を把握する。

　世界中にコールセンターを持つあるグローバル企業は、Exabeam製品を導入していた。攻撃があったとき、通常とは異なるユーザーの振る舞い（アノーマリ）を検出し、ファイアウォールなど他のセキュリティ製品に先駆けて3時間も早くアラートを発することができたという。その段階で不正にアクセスされたアセットを把握し、レスポンス活動を展開できた。

　Exabeam製品は、こうしたアノーマリな行動をタイムラインとして確認できるので、防御側が全体像を把握できるようになり、インシデントレスポンスにおいて貴重な時間を節約できるという。

　「守る側にとって時間は無駄にはできません。今や攻撃者はどんどんスピードを速めており、最初に侵害してから横展開し、拡散するまでのブレークアウトタイムは84分にまで短縮されています。余裕はあまりないのです」（Moore氏）

　Moore氏は「もしセキュリティという業務を誠実に果たそうとするならば、セキュリティチームやSOCのアナリストに対して『今の仕事でつらいところは何ですか』と尋ね、何が彼らの時間を無駄にしているかを把握すべきです」とアドバイスする。

攻撃者の手口を理解し、振る舞いを分析することで「普段と違う」状況を早期に検知

　「うちは大丈夫か」という問いに答えるには、まず攻撃者の手法、具体的にはクレデンシャルを悪用した“なりすましアクセス”を理解する。そしてそれを検知し、対応できるような連携体制を整える。「やみくもに投資し、さまざまな製品を導入しても、攻撃者の動きを理解していなければあまり意味はありません」とMoore氏は言う。

Exabeamの光山 慶（みつやま　けい）氏

　Exabeamはそうした問題意識に立って、さまざまなセキュリティ製品のログを基に解析を実施。攻撃者の動きを明らかにし、予兆を検知する製品を提供している。ログを基に分析するのは「SIEM」（Security Information and Event Management）などでもできるが、「SIEMはシナリオベースの検知となるので、データを意図的に取捨選択することになります。すると解析していないデータの中に脅威が隠れているケースがあります」とExabeam Japanの光山 慶氏（カントリーマネージャ　日本統括責任者）は指摘している。

　Exabeamはシナリオベースではなく、機械学習によって従業員一人一人の行動を分析し、それをメンテナンスするため、そういった見落としがないという。これによって内部不正はもちろん、IABなどから入手したクレデンシャルを用いた侵害や、中途入社の従業員による侵害といった、これまでのシナリオでは想定外の不正も検出できる。

　また、こうしたExabeamのアプローチは、セキュリティ運用の現場で深刻化しつつある属人化の解消にも有効だ。

　「『何だか普段と違うな』と気付く感覚は、運用者の経験値に頼る部分が非常に大きいのが現状です。そこに機械学習を適用することで属人的な部分をなくします」（光山氏）

　どんなに優れた技能を持ったセキュリティリーダーが1人いたとしても、その人に頼る状況では持続的な運用は困難だ。Moore氏も同意見で「自動化によってこの問題を解決し、どんなときでも、誰が担当しても同じように対応できるよう、再現性を確保することが重要です」と話す。

　「Exabeamという社名には、機械解析、行動分析のエンジンを用いてエクサバイトクラスのデータに光を当てていこうという思いが込められています。大量のデータを解析し、タイムラインという形で前後の脈絡も含めて全体像を可視化することで、『見えないもの』を『見える』ようにしていきます」（光山氏）