サイバー攻撃の手口が巧妙化の一途をたどるこのご時世で、一切セキュリティ対策をせずにノーガード戦法をとる企業はおそらく存在しないでしょう。にもかかわらず、攻撃の被害は後を絶ちません。

【その他の画像】

 もちろん被害をゼロにするのは非現実的な話です。けれど企業の担当者は、自分たちの対策が効果を発揮しているのか、それとも無駄な投資に終わっているのか、実態を知っておくといいかもしれません。

 この点について、セキュリティ企業のファイア・アイがこのほど、民間企業のセキュリティ対策が本当に有効なのかを調べ、「Mandiant Security Effectiveness Report 2020」というレポートにまとめました。今回の記事では、その概要を解説します。

●設定ミスや古い状態での運用が「見逃し」につながる

 この有効性レポートは、米国の有力企業「Fortune 1000」のうち11業種・100社を対象に、本番環境で運用されているセキュリティ機器や技術が、過去実際に行われたサイバー攻撃やテクニック、戦術をどれほど検知、防御できたかをファイア・アイが検証した結果をまとめたものです。

 分析対象となったセキュリティ機器や技術は、ネットワークにはじまり、電子メールエンドポイントクラウドセキュリティなど123種類にわたりました。

 結果は、筆者がうすうす感じていた懸念が的中。全体の67%がサイバー攻撃を防御できていなかったのです。また、セキュリティ技術が攻撃を見逃した例は53%に及んだ一方で、SIEMなどのセキュリティ管理システムを通じてアラートを把握できた例は9%のみでした。

 ファイア・アイによると、各社が攻撃を見逃してしまう理由を探っていくと、いろいろな要因がありました。

 まずは、設定変更時のミスです。調査結果の発表会に登壇したファイア・アイの執行役副社長、岩間優仁氏は「プロトコルをTCPからUDPに切り替えた際、ロードバランサーの設定ミスでUDP通信を転送している例があった」と説明します。

 「次世代ファイアウォールを最新OSにアップデートする際に検知機能をオフにしたため、外部へのデータ送信を見逃していたケースもあった。初期設定時は機能していたのに、設定変更の際にミスを犯していた」(岩間氏)

 逆のケースもありました。設定がデフォルトのまま運用を続けて実態に合わなくなっていたり、古いシグネチャや古い分類カテゴリーのまま機器を運用したりしていたため、攻撃者による侵入やC2サーバとの不正な通信を見逃してしまっていた例があったそうです

●その場しのぎのツギハギ対策が“穴”になる

 また、IT環境の変化に追随できていないことが原因とみられる見逃しもありました。

 インフラ構成の変更に伴って予期せぬセキュリティホールが生まれていたのに気付かなかったり、メンテナンスや導入前試験のように、一回限りの特例で変更された設定が放置されていたりする企業もあったそうです。

 また、脆弱(ぜいじゃく)性を見つけるたびにシステムを拡張してきた企業では、ネットワークセグメンテーションの設定ミスが生じる例や、同じシステム内部でもセキュリティコントロールや監視の一貫性が保たれず、漏れが出てしまう例もありました。

 意外だと感じたのは、ネットワークトラフィックが増大した結果、セキュリティ機器のリソースが不足し、機能が低下していることに気付かず運用している例があったことです。これは、不正なファイル転送や外部へのデータ流出の見逃しの一因となっていました。

 アプリケーションの追加・変更やクラウドサービスの活用、さらにテレワークの導入によってセキュリティ機器の負荷は高まる一方ですが、想定以上のトラフィックによって機能不全を起こしていないかを確認する必要がありそうです。

 逆に、案の定問題となっているなと感じたのは、SSLインスペクション機能の欠如です。SSL/TLSWebサイトとユーザーの間の通信を暗号化し、盗聴などの危険から守ってくれますが、企業システムにおける監視という観点からすると悩みの種です。

 サイバー攻撃の中には、SSL通信を逆手に取り、自身の不正行為を隠蔽(いんぺい)するために使う手口もありますが、ファイア・アイの検証でも、SSLインスペクション機能がないと、外部への不正な通信を見逃すケースがあることが判明しました。

 「企業がこれまで何年にもわたって積み上げてきたセキュリティ対策が、トレンドの変化、つまりクラウドの普及をはじめとするネットワーク環境の変化や、攻撃者の最新の手法に対応できなくなり、的外れなものになっている可能性を考える必要がある」と岩間氏は指摘します。

●対策の導入は単なる手段、「有効に機能しているか」の見極めを

 これまで企業のセキュリティ対策は、標的型攻撃に代表される、巧妙化の一途をたどるサイバー攻撃からの防御を図るため、複数の対策を積み重ねた「多層防御」の観点で進められてきました。最近では、それでもすり抜けは発生するという視点に立ち、検知や対応を支援する技術も登場しています。

 こうした多層防御の有効性を否定するわけではありませんが、さまざまな対策を積み重ねてきた結果、今や1社あたり30~50種類ものセキュリティ機器を導入し、運用しなければならない状況に陥っています。

 岩間氏は「企業では『いかに完全な防御を実行できるか』という観点でセキュリティ対策の有効性を考えてきたはずが、いつのまにか、技術導入が目的になっていないだろうか」と指摘。投資したセキュリティ対策が有効に機能し、思惑通りの効果を出しているかどうかを見極める必要があると主張します。

 これはセキュリティ担当者レベルだけでなく、事業継続の観点からセキュリティを経営課題と捉える経営層にとっても重要なポイントです。

 最後に岩間氏は、企業がセキュリティ対策の有効性を改善するためのポイントとして、PDCAサイクルを回すことを挙げました。

 このサイクルでは、まず初めに、導入したセキュリティ機器の設定やアラートの制御が想定通りにできているか、現状を理解します。次に、その状況を米研究団体が策定した「MITRE ATT&CK」のようなフレームワークと照らし合わせ、理想に近づけていきます。

 さらに、実際に攻撃に耐えられるかどうかを、同業種が受けている攻撃手法や戦術、手順を参考にして検証。「自社が同じ攻撃にさらされた時に検知できるのか」「検知できたとして、適切にエスカレーションし、対応できるか」を確認し、攻撃を受けた時の指針(プレイブック)を作成します。

 岩間氏は、こうした手順を通じて、セキュリティ対策を定期的に見直し、無駄な部分や重複を排除するとともに、環境変化に対応できるよう継続的に取り組むことが重要だと強調しました。

ファイア・アイが発表したレポート