| 企業セキュリティは“プロアクティブ型”へ ~予防強化と脅威インテリジェンス~ | |
|---|---|
| 作成日時 26/05/28 (08:42) | View 208 |
ゼロトラストに続く新しい流れ
「ゼロトラストを導入したのに、サイバー攻撃のニュースが絶えないのはなぜか?」とお悩みではありませんか。
実は現在、情報セキュリティの分野では、これまでの常識を覆す新しい考え方への転換が始まっています。それがサイバー攻撃を未然に防ぐ「予防強化型」のアプローチです。
予防強化を形作る「3つのアプローチ」
境界防御とゼロトラストに続く予防強化は、技術的な視点から見ると既存の方式の延長上にはなく、別の角度から補間するアプローチと言えます。予防強化には、ゼロトラストのような内容を体現し、かつ広く定着したキーワードはまだないようですが、以下の三つが知られています。
◇シフトレフト:開発工程のより早期にセキュリティ対策を組み込む
◇セキュリティ・バイ・デザイン:システムの設計段階からセキュリティを考慮
◇プロアクティブ型防御:先回りして安全対策に動くという姿勢
セキュリティ・バイ・デザインとシフトレフトの領域
出典:「セキュリティ・バイ・デザイン導入指南書」 IPA(情報処理推進機構)
シフトレフトは開発、セキュリティ・バイ・デザインは設計。そして、これらを含めた『先回りして安全対策に動く』というセキュリティ全体の姿勢を『プロアクティブ型防御』と呼びます。
次項からは、異なる分野から同様のアプローチが出てきた背景と、一般企業が取り入れるべき行動を見ていきましょう。
“侵入後の対応”だけでは手遅れに?
予防強化がクローズアップされてきた理由として、企業の防御力の向上が不可欠になった点と、セキュリティ対策にかかる費用対効果が挙げられます。
まず前者ですが、背景として大きな要素は攻撃側のスピードアップ。“先鋭化、巧妙化、高速化”といった表現は、ゼロトラストが広がりだした頃から盛んに使われてきましたが、ここ1~2年、セキュリティ関係者が特に警戒を強めているのは高速化です
例えば、クラウド環境でのサービス運用やセキュリティを手がける米国企業が2025年に発表したレポートによると、攻撃者が最初に侵入に成功した機器から別のデバイスへの移動にかかる時間は年々短縮し平均で48分。最速は51秒とされています。
脆弱性を悪用する早さも懸念材料です。公開された脆弱性と対処法、それに関する技術ブログなどを即座に分析し、検知を回避するためのコードを生成して再攻撃する手口も増えてきました。ソーシャル・エンジニアリングを仕掛けてから、数分後には侵入に使うアカウントを選定して内部に入り込むケースも後を絶ちません。
ゼロトラスト以降、100%の侵入阻止は困難という現実に直面し、侵入を前提に早期検知と被害を最小化するための対策が重視されてきました。しかし、攻撃が高度・高速化していく現状では、検知と対応が追いつかなくなってきたのです。もちろん、防御側の自動化も進んでいますが、新しい脆弱性の発見、新種のマルウェア、新手のフィッシングなどによる攻撃が続発する環境では、人の判断にゆだねる局面も少なくありません。つまり、境界防御とゼロトラストを軸とした体制では、攻撃側の優位性が少しずつ高まってしまうため、予防の強化が新たな課題になってきたというわけです。
運用時のコストは100倍?予防強化がもたらす高い費用対効果
予防強化が求められるもう一つの背景は費用対効果です。
例えば、開発の領域でセキュリティ対策を前倒しするシフトレフトの視点で見ると、企画(要件定義)から設計、実装、テスト、運用などで構成するプロセスで、右側のテストと運用の時点で深刻な脆弱性が見つかるケースが多々あります。そこで左側の企画と設計の段階で、できる限りのセキュリティ対策を講じておきます。
シフトレフトの実践で企画や設計時の負担は増えますが、リリース後やリリース直前のテストで欠陥が見つかって後戻りすることを考えると、必要な工数と費用は比べ物になりません。開発工程だけでなく、サイバー攻撃による被害発生時の事業停止、システム修復、機密情報の漏えいに対する損失などを考慮すると、予防重視の費用対効果はさらに高くなるはずです。
セキュリティ対策の実施タイミングと対策コストの比較
出典:「セキュリティ・バイ・デザイン導入指南書」 IPA(情報処理推進機構)
先手必勝の要:「脅威インテリジェンス」で攻撃者の先を行く
ここからは予防強化の具体的なアプローチを見ていきましょう。
その一つに、先回りした行動を意味するプロアクティブな運用として、定期的な脆弱性診断があります。自社システムに脆弱性が見つかってからリアクティブ(後追い)で修正するのではなく、短めのサイクルで自発的、定期的にスキャンを実施します。
またセキュリティ分野でもAIの活用が進む最近は、ログ(通信記録)やトラフィック(経路ごとの通信量)を解析し、攻撃に結びつく可能性が高い動きを検出する処理も行われるようになってきました。専門家が攻撃者の視点と手法を模倣し、企業システムへの侵入を試みるペネトレーションテストも、予防強化の手段として実施されています。
このような手法を組み合わせて攻撃の予防につなげますが、もう一つ重要な基盤として機能しているのが、攻撃に関するデータと知見を生成、供給する脅威インテリジェンス。悪用が活発化している脆弱性、ログに現れる攻撃の兆候、新型のマルウェア、多発している侵入手口など、予防強化に直結する知見をリアルタイムで供給することが、脅威インテリジェンスの主要機能なのです。
攻撃はある日突然には来ない
実社会の空き巣はいきなり踏み込むことはなく、標的の家とその周辺を下見します。サイバー攻撃もその多くは、ある日突然にはやって来ません。攻撃者が準備を進めている段階で内容を推察できれば、優先的に着手する脆弱性の選別、危険度が高いネットワーク機器の補修、業界で多発しているフィッシングに対する社内への注意喚起など、具体的な行動に移すことができます。
先回りするための知見を脅威インテリジェンスから得る
大きな被害を出している攻撃グループは、偵察に時間をかけています。
偵察と行動を起こすまでの主導権は攻撃側にあるようですが、防御側がある程度まで取り戻すことは難しくありません。前述した一般的に使われる予防強化の手段では、中小企業にとってはコスト負担が大きいツール・サービスもありますが、先回りのためのインフラとして機能する脅威インテリジェンスは、利用しやすい体系で提供されています。
例えば、攻撃者が事前準備(下見)の段階で、漏洩したアカウント情報をやり取りする場が「ダークウェブ」です。まずは、プロアクティブな対策の第一歩として、自社の情報が標的になっていないかを察知できる「ダークウェブ監視サービス」の検討から始めてみてはいかがでしょうか。
