サイバー脅威の進化と増大するコスト
サイバーセキュリティの状況は劇的な変革を遂げ、初期の迷惑なマルウェアの時代をはるかに超えました。サイバー犯罪は、数十億ドル規模の洗練された利益追求型事業へと進化しています。2021年の調査によると、2020年の世界的なサイバー犯罪によるコストは約1兆ドルに達し、世界銀行は2025年にはこの数字が10.5兆ドルにまで増加すると予測しています。この爆発的な成長は、攻撃による金銭的損害と既存の防御能力との間に大きな隔たりがあることを浮き彫りにしています。
初期のサイバー脅威はイデオロギーに動機付けられることが多かったものの、攻撃者がサイバー犯罪の収益性を発見して以来、収益化の方法はスパム、ボットネット、クリプトマイニング、そして現在のランサムウェア・アズ・ア・サービスへと進化しました。今日、組織はますます巧妙化する脅威の絶え間ない攻撃に直面しており、セキュリティ戦略の完全な再考が求められています。CISO(最高情報セキュリティ責任者)、ITセキュリティ責任者、またはMSP(マネージドサービスプロバイダー)にとって、新たな役割に就いてからの最初の100日間における最優先事項は明らかです。それは、できる限り多くのサイバー攻撃を阻止し、サイバー犯罪者の活動を困難にし、そしてそれをITチームの反感を買うことなく実行することです。これは、プロアクティブで予防第一のアプローチを通じてのみ達成可能です。
プロアクティブな予防策:アプリケーションと行動制御
サイバー攻撃の推定70%から90%はOfficeマクロが関与しています。これらを無効にすることは、ワークフローをほとんど妨げることなく迅速な効果を得られる対策です。マクロは多くの場合、実行ファイルをダウンロードしたり、攻撃者が永続性を得るために利用する遠隔操作ツール(RAT)をインストールするために使用されます。
- アプリケーションホワイトリスティング:すべてのソフトウェアをデフォルトでブロックし、明示的に承認されたプログラムのみを許可する方式です。これにより、マルウェア、ランサムウェア、さらには攻撃者が悪用するTeamViewerやGoToAssistなどの正規ツールも自動的にブロックされます。
- リングフェンシング™:許可されたアプリケーションが何を実行できるかを制御します。例えば、Microsoft WordがPowerShellなどの他のプログラムを起動するのを防ぎます。これにより、ユーザーの操作なしに悪意のあるコードを実行できるFollinaのようなエクスプロイトを無力化するのに役立ちます。
ネットワークとエンドポイントの制御
いくつかの簡単な変更で攻撃対象領域を大幅に削減できます。
- SMBv1の無効化:この古いプロトコルはWannaCryランサムウェア攻撃で悪用され、今日ではほとんど必要ありません。
- RDPおよびSMBポートの制御:CyberSecurity AsiaがSophosのデータを引用して報じたところによると、2024年のランサムウェア攻撃の約70%がリモート暗号化手法に関与していました。アクセスは信頼できるソースのみに制限すべきです。
- VPNの削除:不可欠な場合を除き、VPNは削除します。VPNはパッチが適用されていないファイアウォールや不適切な設定が原因でランサムウェア攻撃に利用されてきました。必要な場合は、ソースと宛先によってトラフィックを制限します。
- サーバーからのほとんどのアウトバウンドインターネットアクセスのブロック:多くの場合、サーバーはインターネットに接続する必要はありません。アウトバウンドアクセスをブロックすることで、SolarWindsやExchange攻撃で見られたペイロードのダウンロードを防ぎます。
一見内部デバイスに見えるものでも、ユーザーが自宅から業務システムにアクセスするためにポートを開くと露出する可能性があります。これは、デフォルト拒否のファイアウォールおよびルーティングポリシーの必要性を浮き彫りにしています。
IDとアクセス管理
多要素認証(MFA)は、Microsoft 365、Google Workspace、ドメインレジストラ、リモートアクセスツールなど、すべてのリモートアカウントにとって不可欠です。パスワードが侵害された場合でも、MFAは不正アクセスをブロックできます。
ローカル管理者権限を削除することも、攻撃者が実行できることを制限します。攻撃者はランサムウェアを実行するために管理者権限を必要としないものの、これらの権限を削除することでセキュリティツールの無効化を防ぐことができます。特権アクセスは、ユーザーに広く割り当てるのではなく、昇格ツールを使用してアプリケーションごとに付与されるべきです。
データ保護とアクセス可視性
- BitLockerまたは同等のフルディスク暗号化:サポートされているすべてのデバイスで有効にする必要があります。これは、ブートレベルの改ざんを防ぎ、仮想ハードディスクがマウントされたりコピーされたりするのを保護するのに役立ちます。
- きめ細かなファイルアクセス制御:ユーザーとプログラムが本当に必要なファイルのみにアクセスできるようにすることで、リスクを軽減します。例えば、SSHクライアントはログファイルとテキストファイルに制限されるべきです。CFOは会社の財務データにアクセスする必要があるかもしれませんが、マーケティング担当者にはおそらく必要ありません。これは、データ流出や大量暗号化の試みを防ぐのに役立ちます。
- USBドライブのデフォルトブロック:これらのデバイスはマルウェアを導入したり、機密情報を盗んだりするために使用される可能性があるため、デフォルトでブロックされるべきです。暗号化され承認されたドライブについては、ケースバイケースで例外を許可できます。
- 包括的なファイル活動監査:エンドポイント、OneDriveなどのクラウドストレージ、およびリムーバブルメディアにおける読み取り、書き込み、削除、移動を追跡することは、インシデント対応とプロアクティブな監視の両方において極めて重要な洞察を提供します。
脆弱性管理とランタイム可視性
パッチ適用は、最も効果的でありながら、一貫して実行されていないサイバー衛生対策の一つです。多くの攻撃は、パッチが何ヶ月も、あるいは何年も前から利用可能であった脆弱性を悪用することで成功しています。組織は、オペレーティングシステムとサードパーティ製アプリケーション(ポータブルソフトウェアを含む)のパッチ適用を自動化すべきです。
公式サポートが終了してから何年も経ったレガシーシステムも依然として一般的です。セキュリティソリューションは、現代のインフラストラクチャだけでなく、依然として本番環境に存在するWindows XPのような古いプラットフォームも考慮に入れる必要があります。
セキュリティチームは、インストールされているものだけでなく、実行されているものについてもリアルタイムの可視性を必要としています。監視されていないブラウザ拡張機能、ダウンロードフォルダ内の未署名実行ファイル、または暗号化機能を持つツールはすべて深刻なリスクをもたらす可能性があります。ウェブコンテンツフィルタリングは、悪意のあるドメインだけでなく、未承認のクラウドツールやファイル共有プラットフォームもブロックするように拡張されるべきです。シャドーITは、データガバナンスの問題の主要な原因であり続けています。
管理された検出と対応 (MDR)
EDR(Endpoint Detection and Response)ツールは、アラートを監視する人がいて初めて効果を発揮します。24時間365日のSOC(Security Operations Center)またはMDR(Managed Detection and Response)プロバイダーは、攻撃をリアルタイムで封じ込めるために不可欠です。感染したマシンやユーザーアカウントを迅速に隔離することで、大規模な侵害を防ぐことができます。
サイバーセキュリティ市場の未来
サイバーセキュリティ市場は、デフォルトでの予防、アプリケーションとIDのきめ細かな制御、そしてリアルタイムの管理された検出と対応を重視するモデルへと移行しています。明確なポリシー、継続的な監視、そして自動化された施行により、組織は攻撃者が足がかりを得る前に、リスクのカテゴリ全体を排除することができます。