セキュリティはランサムウェアと同様に急速な進化を続けており、ランサムウェアに屈しない姿勢を貫くことは素晴らしいことです。しかし、一部のテクノロジーに投資することで、企業は誤った安心感を得てしまうことがあります。彼らは往々にして、「ランサムウェア対策は万全であり、これ以上自社のセキュリティ体制を強化する必要はない」と思い込んでしまうのです。

その一方で、脅威の進化に伴い、多くのベンダーは毎年、新製品や新機能を開発しています。その結果、企業は、これらの新しいサービスが、自分たちが持っていないものを提供しているのか、それとも同じようなものを提供しているのかが分からなくなります。ランサムウェアオペレーターは、「昨年の成功」に甘んじることはありません。そして、私たちもそうあるべきなのです。

この記事では、ランサムウェア対策をより効果的に行うための5つのステップをご紹介します。

ステップ1：可能な限りあらゆるものを防御すること

防御には可視性が必要であり、可視性には簡素化が必要です。

貴社は、ネットワーク上のあらゆるポイントでランサムウェアを検知できますか？ランサムウェアは絶えず進化していること、かつ自らを巧みに偽装していること、さらに検知を回避する新しい方法を学習していることを肝に銘じる必要があります。

予防のための最初のステップは、企業をクリーンアップすることです。お使いの環境はナビゲートするのに十分シンプルですか？また、ノイズをカットするツールをお持ちですか？セキュリティスタックをモダナイズし合理化するために、ベンダーの統合、エコシステムを完全に可視化する次世代保護システムへの移行、クラウドファーストの管理モデルへの移行、検知および対応能力の統合が必要となります。

ステップ2：迅速に対応すること

迅速に対応するために、主にエンドポイントの監視とセキュリティに焦点を当てた徹底的な「検死」を行う必要があります。このステップでは、「ネットワークからどれほどの認証情報が取得されたか？」、「どのようなデータが盗まれたか？」、「侵害された資産は何か？」などの疑問に答える必要があります。

スケーラブルなデータプラットフォームは、このような疑問に答えるのに役立ちます。そして、今日の脅威環境では、それは悪意あるパターンを発見することを意味します。それはつまり、オペレーション中心のアプローチです。

多くの新興マルウェア種を発見するためには、AI/MLを利用した振る舞いベースのアプローチが必要となります。このステップでは、「セキュリティ体制は将来にわたって維持されるか？」、「それはNISTやMITREフレームワークに準拠しているか？」、「それは最も多発する脅威に対応できているか？」などの疑問に答える必要があります。

この段階で重要となるのが、「何をどのように次のステップに進めるかという技術的なことを理解するスタッフやスキルがあるかどうか」を見極めることです。もしそのようなスタッフやスキルがない場合、そのようなサービスを第三者に依頼する必要があります。これがキャパシティプランニングです。

ステップ3：検知の精度を高めること

エンドポイントを越えてセキュリティを拡張するためには、高精度のリッチ化された検知を実現する必要があります。脅威データを1つのソースから受け取ることは大事ですが、それは、お使いの環境全体におけるバラバラなデータソースによりデータを確認することは別の作業になります。

エンドポイントからあらゆる場所に至るまで、このオペレーション中心のアプローチにより、シグネチャーベースのソリューションでは不可能な脅威インテリジェンスが得られます。このデータは、企業のギャップを特定するために使用されます。そのような知識を、エンドツーエンドのオペレーションを見ることができる単一のプロセスへとマッピングできるでしょうか。もしそれができるなら、よりリッチな検知が可能になります。これにより、より多くの脅威に対してよりディープな可視性が生成されるため、対応能力が向上します。

また、可視性は「使いやすさ」を意味します。アラートが大量に表示されるだけでは、何も表示されないのと同じであり、無駄です。セキュリティチームは圧倒され、イベントは無視され、問題は解決されぬまま残されます。一方、相互に関連付けられたインシデントとリッチ化により悪意のある操作（MalOp™）を構築するならば、全体像を把握できるようになります。

ここで、XDRのようなツールの登場となります。

ステップ4：対応を最適化すること

効果的でスケーラブルな対応能力が必要です。つまり、今私たちがやっていることはすべて、うまく機能してはいないのです。

ISC2の調査によれば、「サイバーセキュリティ専門家に関するニーズは、そのギャップを埋める能力を上回っている」とのことです。現在、350万人分のニーズが埋まっておらず、これは前年比26%の伸び率となっています。このギャップは、北米で8.5％、APACとEMEAでそれぞれ52％と60％の増加となっています。

現在の戦略、つまり問題を解決するために人員を投入することはうまく機能していません。それどころか、さらに深刻な状況へと陥っているのです。

必要としているのは、人間では追いつけないような作業を自動化するツールです。また、すでにあるチームをさらにパワーアップさせるソリューションも必要です。そして、データが準備され、最適化され、リッチ化されたものになると、これらのテクノロジーはさらに進化します。ガイド付きの修正は、平均応答時間（MTTR）を改善します。XDR（Extended Detection and Response）のようなAI/ML駆動型の自律型プラットフォームを使うと、ペタバイト級のデータを取り込んだ上で、その100%をリアルタイムで分析できるようになります。これにより、データ処理能力を大幅に改善し、チームの対応能力を最適化できるようになります。

ステップ5：制限のないスケーリングを実現すること

次世代ソリューションにより、迅速かつ大規模な対応が行えるようになります。ランサムウェアアクターはテクノロジーを味方につけていますが、それは私たちも同じです。彼らは半年ごとに一万件のペースで新しいエクスプロイトを生み出していますが、これを阻止するにはAI/ML駆動型のプラットフォームが必要となります。

XDRのようなツールを使うと、行動アナリティクスを用いて、既知のマルウェアやその他のあらゆるものを検知できます。そのようなツールは、エンドポイント、エンドポイント間、そしてカーネルレベルに至るまで徹底的に調べることで、悪意あるエクスプロイトが開始された時点でそれを見つけることができます。その後、自動化された修正機能が動作することで、大規模な脅威への対応が可能になります。これにより、貴重な人的資源を、脅威の探索、重要な問題への集中、そしてセキュリティ戦略の継続的な強化に振り向けることが可能となります。

次のステップとは？

これらの5つのステッププランを実施した後、今後数年間においてSOCがどのようなものになるかを検討する必要があります。今、5つのステッププランを通じて、自らの現在の状況を評価しました。それは素晴らしいことです。しかし、今度はさらに「その先」を考える必要があるのです。

自分自身に挑戦することを忘れないでください。数年後の成功はどのようなものであり、成功にたどり着くにはどうすれば良いのでしょうか？サイバーリーズンは、この件について、貴社のチームと話し合いたいと思っています。サイバーリーズンでは、ポイントインタイム型のソリューションを予測的なランサムウェア対策ソリューションへと変えるために、多くの企業と提携しています。

このようなソリューションは、プラットフォーム以上のものである必要があります。それはプロセスでなければなりません。それは次なるセキュリティ業界の流行語ではなく、考え方を包含するものでなければなりません。すなわち、それはオペレーション中心のアプローチでなければなりません。私たちはランサムウェアを恐れることなく、それを阻止すべきなのです。

【ホワイトペーパー】ランサムウェアの歴史、組織、攻撃手法とその実態を徹底攻略

緊迫する国際情勢に伴い日本においても急増しているサイバー攻撃、事業停止など甚大な影響を及ぼすランサムウェア攻撃など、企業・組織におけるサイバーセキュリティへの取り組みは、もはやIT/セキュリティ担当者だけの課題ではなく、事業の継続性を担保する上で組織全体で取り組むべき最重要の課題となりました。

今回のテーマは「ランサムウェアの歴史、組織、攻撃手法とその実態を徹底攻略」で、ランサムウェア攻撃者自体や攻撃手法だけでなく、米国を始めとする国家のサイバー政策による影響を踏まえつつ、彼らを取り巻く環境にも注目し、その実態に迫ります。

本ホワイトペーパーでは、そのテーマに沿って講演したセッションの中から厳選した3つのセッションをご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/9248/