レポート
高度な攻撃は、どの企業にとっても他人事ではありません。例えば、どんな企業も、ゼロデイ脆弱性や非標準の複雑なツールによる攻撃に直面する可能性があります。高度な攻撃を撃退して悪影響を最小限に抑え込むため、サイバーセキュリティ部門は、明日にでも遭遇するかもしれない課題に今から備えておく必要があります。
特定の攻撃を予測することは当然ながら不可能なので、当社では他社の事例を研究することにしました。さまざまな企業の担当者に話を聞いてまとめたレポートが「IT Security Economics 2021」(英語)です。回答者の間で共通していたのは、複雑なサイバーインシデントに見舞われた経験があることでした。
ここでは、回答者の挙げた懸念事項を取り上げます。トップ5は、以下のとおりでした。
1. インフラが十分に可視化されていない
当然ながら、インフラが完全に可視化されていなければ、脅威を探し出して除去することは、ほぼ不可能です。かなり複雑なインシデントであっても、かなり長い間気付かれないままとなる可能性があります。その上、状況を十分に理解せずに対応することで、事態を悪化させる恐れもあります。
対策:インフラの可視性を確保する際は、EDR(Endpoint Detection and Response)クラスのソリューションを検討する。
2. 部門間の連携が整っていない
別々の部門が連携せずにいきなり行動を起こすと、被害が拡大したり調査がややこしくなったりしがちです。また、意図せず部門間で互いの邪魔をし合ってしまうこともあります(例えば、情報セキュリティ部門が感染サーバーをネットワークから切り離そうとする一方で、IT部門がサーバーを利用可能な状態に保持しようとするなど)。
対策:緊急時対応策を事前に策定し、実施責任者を任命しておく。
3. 適格な人材が不足している
労働市場では、依然として情報セキュリティ専門職の人材が不足しています。脅威を特定し重大なインシデントに対応するための適切なトレーニングを受けた人材がいないことが主な課題に挙げられているのも、無理のない話です。
対策:社内に専門職が不足している場合は、外部の専門家チームを招いてインシデント対応と継続的な監視および脅威ハンティングを委託する。
4. 複数のアラートの中で本当の脅威を見分けられない
セキュリティシステムがインフラ内で危険な徴候を検知できないのは困りものですが、検知しすぎるのもよくありません。本当の脅威に関するアラートが何千もの多様なインシデントに埋もれてしまい、一つ一つ確認が必要となって、アナリストを初めとする価値あるリソースが浪費されてしまいます。複雑なネットワークにおいては、実に悩ましい問題です。
対策:本当に重大なインシデントに優先的に対応可能とするテクノロジーを搭載した、包括的なサイバーセキュリティフレームワークを導入する。
5. 悪意あるイベントや行為が十分に可視化されていない
サイバー犯罪者は常に新しい攻撃手法、ツール、エクスプロイトを考え出しています。サイバー脅威に関する最新の情報がなければ、セキュリティソリューションは最新の攻撃に対応することも、企業ネットワークへの侵入者を認識することもできません。
対策:セキュリティソリューションおよびSIEMシステム(利用している場合)に、最新の脅威インテリジェンスを取り入れる。
「IT Security Economics 2021」レポートでは、このほかにも、サイバーインシデントによる企業の平均損失額に関するデータをはじめとする有用な情報を提供しています。レポート全文はこちらからダウンロード可能です。
ヒント