2022年の年明け早々、CISOをはじめとするセキュリティリーダーを対象として、組織が抱えているサイバーセキュリティにおける最重要課題とは何かを尋ねたアンケート結果が発表されました。その結果、「ランサムウェア/サイバー犯罪に関するリスクの増大に対応すること」がトップとなり、回答者の29％が、これが最大の懸念事項であると回答しました。

この調査結果は、ランサムウェアギャングが自らの攻撃手法をいかに洗練させているかを反映しています。彼らは、かつてないほど巨額の身代金を要求するために、攻撃に新たな脅迫手段を取り入れています。身代金の要求額は、数千万ドルにも及ぶ場合もあります。また、この調査結果は、攻撃の成功により発生するさまざまなコストも反映しています。

弊社は『【グローバル調査結果】ランサムウェア 〜ビジネスにもたらす真のコスト〜』と題した最近のレポートで、ランサムウェア攻撃を受けた後、3分の2の企業や組織が収益の減少を報告したと紹介しました。これは、攻撃の結果ブランドや評判に損害を受けたと報告した組織の割合（53％）をわずかに上回っています。また、回答者の3分の1が攻撃の結果経営幹部を失ったとしており、約4分の1は攻撃により一時的な業務停止を余儀なくされたと回答しています。

『Cost of a Data Breach Study 2021（データ侵害にかかるコストの調査、2021年度版） 』によると、ランサムウェア攻撃により企業や組織が被った平均的なコストは462万ドルであることが示されています。これは、データ侵害の平均的な被害額である424万ドルを上回っています。このランサムウェアのコストには、その他のさまざまな損害が含まれていますが、被害者が支払う身代金は含まれていません。

回答者は、ランサムウェア以外の課題にも直面しています。実際、このアンケートに参加したCISOおよびセキュリティリーダーの28%は、クラウドのリソース、ワークロード、アプリケーションのセキュリティ設定を維持することに苦労していると回答しています。また、同じ割合の企業や組織が、マルチクラウドとマルチプラットフォームのハイブリッド環境における保護ギャップの解決に取り組んでいることを明らかにしています。

このような課題は、今後1年間における企業や組織による投資の優先順位を形成するのに役立ちます。優先事項として最も多く挙げられたのはクラウドセキュリティであり、回答者の35%がそのように回答しています。次いで、データセキュリティ（25%）、脆弱性管理/評価（24%）、アプリケーションセキュリティ（23%）が挙げられています。

企業や組織はいかにしてセキュリティ目標を達成できるか

スキルギャップが原因で、CISOをはじめとするセキュリティリーダーは、上記の優先事項を満たすことが困難になっています。90%近くの組織が、このようなスキル不足が2022年のセキュリティ戦略に影響を及ぼすと予想しています。半数の組織が、スキルギャップの影響は大きいと考えています。一方、サイバー関連のスキルギャップが自社の計画に影響しないとの見通しを示した組織はわずか12％でした。

多くの企業や組織は、スキルギャップに対応するために自動化ソリューションに注目しています。しかし、そのためには、 従来のセキュリティソリューションの限界を認識する必要があります。一例として、セキュリティ情報およびイベント管理（SIEM）を取り上げてみましょう。このようなタイプのソリューションには、データレイク構造とクラウド分析が必要となりますが、これらのリソースは高価になりがちであり、しかもその有用性は手元のデータソースによって大きく異なります。

さらに事実として、SIEMはしばしば誤検知やあまりにも多くのアラートを発生させます。このようなノイズは「アラート疲れ」を引き起こし、セキュリティチームが正当なセキュリティ上の懸念に対応する能力を低下させることになります。

他の従来型のセキュリティソリューションでも似たような話があります。SOAR（セキュリティオーケストレーション、自動化、およびレスポンス）ツールは、SIEMと同じ欠点に悩まされています。しかし、SOARにはさらなる弱点があります。それは、利用可能なあらゆる統合機能に基づいて、自動化ワークフローとプレイブックを構築するために多くの先行投資が必要になることです。

一方、EDR（Endpoint Detection and Response）は、従来のアンチウイルスやアンチマルウェアのツールよりも効果的に個々のエンドポイントを保護できる可能性があります。ただし、EDRはエンドポイントに縛られているため、他の資産を巻き込むような悪意ある活動に関する可視化が難しい側面があります。

また、EDRソリューションの中には、保護する必要のあるすべてのエンドポイントにおいて、利用可能なすべてのテレメトリデータを取り込むことすらできないものもあります。その結果、そのようなEDRソリューションでは、早期発見に役立つ可能性があるにもかかわらず必要なテレメトリを排除する 「データフィルタリング」が行われることになります。「データフィルタリング」と言えば聞こえが良いですが、実はそのようなツールは、単に利用可能なすべてのインテリジェンスを処理できないだけです。

XDRがCISOにとっての選択肢として浮上した理由

上述したテクノロジーとは対照的に、XDR（Extended Detection and Response）ソリューションは、脅威の検知と対応能力をエンドポイントだけでなくIT環境全体に拡張します。また、XDRソリューションは、高価なデータモデルに依拠することもなければ、外部との統合に制限されることもなく、これを実現します。

さらに、人工知能（AI）と機械学習（ML）を活用して、企業や組織のインフラ全体から収集したテレメトリを相互に関連付けることは、成熟したXDRソリューションに不可欠な側面です。AI/MLを適用することで、防御者は、「検知して対応する」モードから、よりプロアクティブな「予測的対応」体制へと移行できます。そのような体制では、攻撃における次なる段階を予測してブロックすることで、攻撃を次の段階に進める機会を潰すことができます。

この予測能力は将来のセキュリティの鍵となるものであり、企業や組織はオペレーション中心のアプローチを通じて攻撃を理解することにより、「先手を打った防御」を実現できます。アナリストは、攻撃の個々の要素を指摘するようなアラートを追いかけることから解放され、その代わりに、根本原因から影響を受けるデバイス、システム、ユーザーに至るまで、攻撃全体のストーリーに関する包括的な可視性を獲得できます。

結論すれば、このような予測対応能力を提供できるのは、AI駆動型のXDRソリューションだけです。そのようなXDRソリューションを使うことで、企業や組織は、検知と修復にかかる時間を数日または数週間から数分へと短縮できるようになります。

AI駆動型のXDRが持つ強み

AI駆動型のXDRソリューションを使うと、企業や組織はセキュリティに対するオペレーション中心のアプローチを採用することで、すべてのネットワーク資産におけるセキュリティ体制に自信を持つために必要となる可視性を確保し、攻撃の進行を初期段階で阻止するための自動応答を実現できます。

また、このアプローチを通じて、防御者は、エンドポイント、ネットワーク、アイデンティティ、クラウド、アプリケーションワークスペースなどを含む、企業全体におけるサイバー攻撃の予測、検知、対応が行えるようになります。

サイバーリーズンではGoogle Cloudと共同開発した“AI駆動型XDR” 「Cybereason XDR」を 2022年夏より日本市場向けに提供開始を予定しています。

【ホワイトペーパー】有事を見据えたセキュリティ運用とは？〜攻撃事例から学ぶサイバー脅威対策〜

サイバー攻撃は進化を止めず、その被害は組織の存続さえ揺るがす時代。

昨今、特に注意しなければならないのが、サプライチェーン攻撃の新たな手法です。標的となる組織のセキュリティが堅固となってきたため、セキュリティが手薄な別の組織を踏み台にして標的組織を攻撃するというように、サプライチェーン攻撃はますます巧妙化しています。

このガイドは、重大なセキュリティインシデントに直面した時、慌てず騒がず対応するために。
セキュリティ担当者はもちろん、経営課題として平時から取り組むべきサイバー脅威対策について、最新の攻撃事情とともに紹介します。
https://www.cybereason.co.jp/product-documents/brochure/6938/