サイバー脅威の検出

  • Article

2017 年 2 月 10 日 - Microsoft Secure Blog スタッフ - マイクロソフト
執筆者: Joe Faulhaber (ECG シニア コンサルタント)

このポストは「Detecting Cyber Threats | Microsoft Secure Blog」の翻訳です。

今日のサイバー脅威の情勢においては、攻撃が行われるかどうかはもはや重要な問題ではなくなり、誰がいつ攻撃を行うかが重要な問題になっています。企業は、グローバルな脅威 (どのような防御専門家にも劣らない高度な技術を持つ攻撃者) から企業データを守るために、ワールドクラスのサイバー防御能力を備えておく必要があります。そのためには、セキュリティの基本事項をしっかりと実践し、企業の環境に関する深い知識を身に付け、専門家と協力しながら攻撃を受けた際にその攻撃を検出する準備を整える必要があります。

ワールドクラスの攻撃者と対応する企業

現在の企業の保護は簡単ではありません。非常に動的な問題であるためです。構成は絶えず変化し、ハードウェアは入れ替わり、ソフトウェアは更新され、ワークロードはクラウドに移行され、ユーザーはネットワーク内外を問わずデバイスを持ち込んでいます。また、システムに対して無差別な攻撃が行われ、豊富な資金と信念を持った外部の攻撃者が企業から貴重なデータを盗もうと試みる危険も存在しています。内部の人間が脅威となることもあります。さらに、攻撃の様態が日々変化していく可能性もあります。サイバーセキュリティは、攻撃者と防御者とのいたちごっこが繰り返される軍拡競争となっています。

多層検出

多層保護は、最も効果的な企業の防御手段です。ホスト、ネットワーク エッジ、またはクラウドのみの防御では不十分なためです。同様に、被害や危険をもたらす脅威の検出も多層的に行う必要があります。脅威や攻撃が検出された場合、適切かつ効果的な対応が必要になります。セキュリティの 3 本柱である保護、検出、対応が企業のセキュリティを保護する鍵となります。

多層検出とは、冗長検出メカニズムを用いて企業全体にわたって脅威を検出する階層型アプローチを意味します。保護による防御手段が存在しない場所であっても検出を行います。また、検出センサーの出力を検証して、シグナルの信頼性を確保します。

検出が困難でない脅威もあります。時代遅れのソフトウェア、マルウェア対策保護機能の欠如や陳腐化、および適切に構成されていないポリシーは、どれも攻撃の成功につながるおそれがある脅威です。これらの脅威はセキュリティを維持するための基本要件に含まれるものであり、簡単に検出できます。

検出がより困難な脅威もあります。例として、ネットワーク インフラストラクチャに対する攻撃や内部の人間による攻撃が挙げられます。多くの場合、これらの脅威を検出するには多数のログを収集して分析を行う必要があります。ソフトウェアのサプライ チェーン攻撃は、ユーザーが自らインターネットでソフトウェアを探す場合に特に成功する可能性が高くなり、複数の検出方法が必要になります。環境について十分に知っておくことで、不適切なものや欠けているものがあった場合にはるかに認識しやすくなります。

十分に保護されたネットワークにおいても、攻撃が成功する場合があります。それらの攻撃の一部はかなり容易に特定できます。マルウェア対策の検出を回避する既存の一般的なマルウェアの新しい変種は、確認すべき場所を知っていれば、検出はそれほど難しくありません。攻撃についてあまり詳しくない場合でも、「おかしい」と感じられる程度の好奇心と知識を持ち合わせていれば、それが新しい脅威を検出するきっかけとなることも少なくありません。他に効果的な検出や分析の鍵となるのは、今日の攻撃で使用されている戦術、手法、および手順について理解するための知識やリソースです。どれだけ大きな組織であっても、管理下にあるシステム外で発生した攻撃の要素を確認するにはサポートが必要になります。

信念を持った敵対する人間

最も危険な攻撃は、信念を持った敵対する人間に狙われて実施される攻撃です。これらは「高度な持続型攻撃」と呼ばれていますが、特に高度とは言えない場合や、標的を絞り込んだ攻撃ではない場合もあります。しかし一方では、個人やコンピューターではなく企業を攻撃し、攻撃を仕掛ける人間は彼らにしかわからない驚くべき信念や目標を持っている場合があり、これらの攻撃は特に危険です。敵対者は、企業が実際に所有しているものではなく、企業が所有していると敵対者が考えているものを狙おうとすることもあります。

組織を危険にさらす攻撃は攻撃者の動機によって左右されるものではないため、標的型攻撃と不特定多数を狙った無差別攻撃との区別がかなり難しいこともあります。検出において、所定の侵入テストと実際の攻撃は、同じように見えることもあれば、まったく違うように見えることもあります。また、異なる複数の攻撃で似たような方法が用いられることもあれば、無差別に行われているように見える攻撃が実際には信念を持った敵対者によって行われていることもあります。このため、過去の敵対者の行動について知ることが極めて重要になります。新しい脅威に初めて遭遇した場合、関連性の低い詳細情報や偽の手がかりを追いかけることに無駄な時間を費やし、大混乱に陥ってしまうかもしれません。標的型攻撃による人々への影響によって混乱が悪化することも多々あり、物理的な攻撃と同様の心理的な影響がもたらされることもあります。

信念を持った敵対する人間から初めて攻撃を受けるという最悪の事態に陥った場合、過去にこういった脅威を検出したことがある人々からサポートを受け、攻撃者に対処する方法に関する対応計画を用意しておくことが非常に重要になります。

ワールドクラスになる

新たな脅威が絶えずニュースで取り上げられ、古い脅威も依然として大きな問題をもたらす可能性がある中で、サイバー脅威の検出は非常に大変なことのようにも見えます。しかし、多層保護や多層検出を導入すれば、脅威の特定がはるかに容易にできるようになります。セキュリティの基本事項を日々実践し、企業の環境の正常な状態を把握しておき、最新の攻撃手段の特定において専門家のサポートを受けることが重要になります。しっかりとした保護と迅速な対応の能力は、検出とインテリジェンスによって結び付けられます。マイクロソフトの Enterprise Threat Detection (ETD) サービスは、サイバーセキュリティ専門家やグローバルなインテリジェンスを活用して多層検出を実現します。

詳細については、ブログ記事「Microsoft Enterprise Threat Detection」を参照してください。