バイデン政権は先週、新たなサイバーセキュリティ戦略を発表しました。この戦略が、特にサイバーセキュリティの最低基準の規制や、いわゆる「セキュアバイデザイン」の開発手法の徹底に重点を置いていることに関して、多くのオブザーバーから賞賛の声が上がっています。

私は、10年間情報機関に勤務した後、さらに20年もの間、国家のサイバーセキュリティに関するジャーナリストを務めた中で、政府によるサイバーセキュリティ戦略を数多く見てきました。

しかし、これまでのほとんどの戦略は、戦術的な実装やサイバー戦争のるつぼという現実からは切り離されたものでした。たとえば、ワシントンDCに拠点を置くシンクタンクである「戦略国際問題研究所(CSIS)」が3月2日に主催したイベントで、国家サイバー長官代理であるKemba Walton氏が、今回の米国のサイバーセキュリティ戦略をどのように説明したかを考えてみましょう。

Walton氏は次のように述べています。「真実は、私たちのデジタルエコシステムの仕組みに根本的な変革を起こす必要があるということです。バイデン大統領の戦略が新たなアプローチを採用しているのは、まさにその分野においてです。これを実現するには、サイバーリスクの管理責任のバランスを見直すこと、そして私たち全員をセキュアな状態に保つことを誰に頼むのかを考え直す必要があります」。

Intel社の元CEOであるAndy Grove氏は、その著書『パラノイアだけが生き延びる:時代の転換点をきみはどう見極め、乗り切るのか』(邦訳:日経BP刊、2017年)の中で、転換点を「ビジネスの基本が変わろうとする時期」として定義しています。そのような変化は、新たな高みへと昇り詰める機会を意味することもあります。しかし、その一方で、それは終わりの始まりを告げる兆しである可能性もあります。

今まさに、米国の国家サイバーセキュリティ戦略において、私たちはそのような転換点を迎えているのです。

この戦略のハイレベルな目標は、その意図するところは称賛に値するものですが、それらは現在の政治情勢においてはほとんど達成不可能なものです。重要なインフラ事業者やソフトウェア開発者を対象とする最低基準責任などをサポートするために、新たな規制の制定や必要な法案の可決に2~3年もの時間を無駄にすることは、中国やロシアのような国家が支援するタイプの脅威アクターを検知、抑止、拒否するために緊急に必要とされているテクノロジー上の進歩をさらに遅らせるだけです。

これは、私たちが基準の改善や説明責任の要求に取り組むべきでないということを主張するものではありません。しかし、私たちは攻撃者を考慮に入れる必要もあるのです。これは、現在の戦略ではあまり上手く対処されていない問題です。今日の最低基準は明日の脆弱性となるものであり、攻撃者は、それがいかにして決定されるかに関して口を挟むことになります。

今後のテクノロジー上の方途

UCLA Andersonの名誉教授であるRichard Rumelt氏は、その著書『良い戦略、悪い戦略(邦訳:日本経済新聞出版刊、2012年)』の中で、次のように述べています。「戦略の最も基本的な考え方は、弱みに対して強みを適用することである。優れた戦略は、既存の強みを利用するだけでなく、強みを創造するものでもある」。

政府の戦略的な取り組みは絶対に必要なものですが、その一方で、私たちは新しい法律、政策、規制に関するコンセンサスが形成されるまで待つわけにはいきません。より適切な方法が存在しているのは明らかです。

しかし、そのためには、私たちのセキュリティへの取り組み方を根本的に変える必要があります。つまり、私たちが固執している手間がかかり、非効率で効果のないアラート中心のモデルから、より効果的で高効率なオペレーション中心のアプローチに移行する必要があるのです。

オペレーション中心のモデルは、根本原因の特定に失敗するような相互に関連付けられていないアラートに対応するのではなく、攻撃オペレーション全体を混乱させることに重点を置いています。これにより、コマンド&コントロール(C2)通信の中断、データ流出の防止、パーシステンスメカニズムの排除などが可能となります。

今日の脅威、特にランサムウェアや国家が支援するタイプの脅威アクターのような高度な脅威に対して高い効果を発揮するソリューションは、追加の処理時間やアナリストによる人的介入を待たずに、悪意ある活動を直ちに検知できるものでなければなりません。

オペレーション中心のアプローチでは、攻撃の微妙な兆候であるIOB(Indicators of Behavior、振る舞いの痕跡)を活用することで、大規模な検知と対応の自動化を実現できます。IOBを使うと、悪意あるオペレーション全体を初期段階で表面化することで、より早期の検知を可能にし、予測型対応を通じて包括的な修正を実現できるようになります。これは、現在のレトロなIOC(Indicators of Compromise、侵害の痕跡)だけを利用することでは、決して実現できないものです。

サイバーリーズンでは、セキュリティチームがアラート中心のセキュリティモデルからオペレーション中心のモデルに移行し、オペレーションの有効性と効率性を大幅に向上できるようにするために、世界中の企業や組織を日々支援しています。サイバーリーズンのサポートを利用すると、小規模なチームが大規模なチームの仕事をこなせるようになり、経験の浅いチームがすぐに効果を発揮できるようになるほか、リスクを軽減する能力を飛躍的に向上できます。

サイバーリーズンが提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「アンチランサムウェア」「振る舞いベースのドキュメント保護」「エクスプロイト保護」という6層の防御機能を備えることで高度な攻撃を阻止できるようになっています。

また、これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。

加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービスCybereason MDR(Managed Detection and Response)」と呼ばれる監視代行のマネージドサービスも提供しています。

サイバーリーズンは、エンドポイントから企業全体に至るまで、あらゆる場所でサイバー攻撃を阻止するために、政府機関、重要インフラ事業者、および民間企業に所属している防御担当者と一丸となって尽力しています。

オペレーション中心のアプローチとは〜振る舞いの痕跡(IOB)を活用して早期検知と予測的対応を実現する〜

今日のセキュリティモデルでは、関連性のないアラートが無限に生成されます。その大半は誤検知であるか、より大きな攻撃シーケンスの一部に過ぎません。

このホワイトペーパーでは、早期検知のためのIOC(Indicators of Compromise)の価値の低下、IOCを表現するための拡張可能な共通言語の確立によるIOCの定義と運用、SolarWindsの攻撃に基づくIOB(Indicators of Behavior)の活用に関するケーススタディなどについて深く掘り下げて解説しています。
https://www.cybereason.co.jp/product-documents/white-paper/9109/