- 2018/10/29
- セキュリティ
情報漏洩を防ぐための鍵は「脅威のコンテキスト」にあり!
Post by : Sean Mooney
情報漏洩の被害を受けことに大部分が気付いていない
大規模な情報漏洩事故が、相変わらず後を絶ちません。つい先日も、NTTドコモの「dポイント」情報が流出し、その不正利用が相次いで発覚した結果、9月10日には3万5000件のdポイントアカウントの利用停止が余儀なくされました。また海外では、中国の大手ホテルチェーンで管理されていた顧客情報約1億3000万件あまりの流出が発覚したばかりです。
規模が小さいものまで含めると、ほぼ毎日のように何らかの情報漏洩の報道や報告が出されていますが、それでもこれらはまだ氷山の一角だといえるでしょう。というのも、実際には情報が流出しているにも関わらず、被害に遭った側がそのことに気付いていないケースが圧倒的に多いと考えられるからです。
米国の調査会社Ponemon Instituteの調査によると、情報漏洩が実際に発生してから、そのことが発覚するまで、平均すると256日間ものタイムラグがあるそうです。また情報漏洩が明らかになった後、調査によって情報漏洩の原因や影響範囲が明らかになるまでには、さらに平均1カ月間を要するといいます。つまり、情報が漏洩してからその対策を決定するまで、10カ月近くもの時間がかかっているということです。
さらにいえば、これらの統計は幸いにも情報漏洩に気付くことができた、ある意味“幸運な”ケースを集めたものです。情報が漏洩してからもう数年間が経っているのに、未だにそのことに気付いていないというケースも決して少なくないはずです。このように長期間に渡って漏洩データが社外に出回ることにより、企業は知らぬ間に大きな損失を被っています。Ponemon Instituteの調査によれば、2015年に発生した情報漏洩インシデントによる経済的損失は、実に379万ドル(約4億2800万円)にも上るといいます。
これまでのセキュリティ製品は「脅威のコンテキスト」をとらえられなかった
もし情報漏洩が発生した直後に素早い対応が取れれば、これほどまでに被害が拡大することはなかったでしょう。しかし実際には、先ほど紹介した調査結果からも分かるように、情報漏洩が発生した後も、被害を受けた側は長期間に渡り漏洩の事実に気付くことはありません。
「セキュリティ意識が低いからでは?」
「きちんと対策を施しておけば、すぐに気付けるはずだろう」
こう考える方も決して少なくないでしょう。しかし実際には、企業のセキュリティ担当者がいくら気を付けていても、あるいはどれだけ万全の体制を敷いていたとしても、今日のセキュリティ技術では漏洩の発生をその場で100%とらえるのは極めて困難だと言わざるを得ません。
その理由は、今日のセキュリティ製品は「脅威のコンテキスト」をとらえるのが苦手だという点にあります。脅威のコンテキストとは、その攻撃がどういう目的の下で、どういう手順を使って行われたものなのか、その背景や文脈(コンテキスト)を示すものです。今日のセキュリティ製品は、年々脅威の検知率が上がり、現在ではほんのちょっとした怪しい挙動でも漏れなく検知してアラートを発行してくれます。
しかしこれらのアラートは、あくまでも怪しい挙動と1対1で対応したものであり、それ単体だけを取り出してみても、そのアラートが大掛かりなサイバー攻撃の一部なのか、それとも無視してもいいノイズなのか、容易に判別できません。これを判別するには、大量のアラートの中から関連しそうなものを抽出し、それらを時系列に並べ、その中から脅威のコンテキストを丹念に読み取っていく必要があります。
こうした分析作業を行うには極めて高度なスキルが必要であり、かつ時間も要するため、一般企業がそう手軽に手を出せるわけではありません。結果、本来なら情報漏洩の兆候を示すアラートであっても、攻撃の全体像、つまりコンテキストが可視化されていないために見逃してしまい、結果として漏洩の事実に長期間気付くことができないわけです。
AIを使ったビッグデータ解析で「脅威のコンテキスト」の可視化が可能に!
この課題を解決するには、高度な分析スキルを持つセキュリティ技術者を確保するしか手がないと思われてきました。しかし近年におけるAI技術の進化、特に機械学習が一般ユーザーにとって身近な存在になってきたことで、にわかに解決の糸口が見えてきました。
つまり、大量のアラート情報をAIに学習させることで、一見するとばらばらで関連性がないように見えるアラートの山の中から、特定のサイバー攻撃に関連するものを抽出し、情報漏洩の予兆や被害状況を可視化できるようになってきたのです。こうした仕組みを導入すれば、高度なスキルを持つ技術者が社内にいなくても、情報漏洩を引き起こしかねない脅威の兆しをいち早く察知し、先回りして対策を打てるようになります。
サイバーリーズンが提供するEDR製品「Cybereason EDR」も、こうした最新のAI技術を採用したセキュリティ製品の1つです。ユーザーのエンドポイント上で収集した情報をクラウド環境上に集め、そこでAIを使ったビッグデータ解析を行います。そして大量のイベント情報の中に埋もれた「脅威のコンテキスト」を丹念に抽出して、ユーザーに対して脅威の有無やその重大度、攻撃の進行度合い、影響範囲などをリアルタイムで提示します。
情報漏洩の被害を防ぐには、脅威の侵入を防ぐための対策ももちろん重要ですが、万が一侵入を許してしまった際にいち早くそのことに気付き、できるだけ早く対応することが大事です。同じ情報漏洩でも、漏洩から1時間後に気付くのと、10カ月後に気付くのとでは、自ずと被害の範囲は大きく違ってきます。情報漏洩対策を検討する際には、ぜひこうしたAIを使った最新ソリューションをチェックしてみることをお勧めします。
ホワイトペーパー「情報漏洩」
多くの企業はサイバーセキュリティの保護および検知ソリューションに数100万ドルも費やしていますが、Ponemon Instituteの調査によれば、情報漏洩が発生してから平均256日間も検知されないとのことです。
情報漏洩が明らかになった後、セキュリティチームがその攻撃による全体的な被害と重大度を調査するのに通常、さらに1ヶ月間を要します。これにより、対応時間が大幅に引き延ばされた結果、ビジネスに対して壊滅的な経済的損失を及ぼすことになります。
なぜ情報漏洩を阻止できないかの原因を本書を通じて、理解することができます。
https://www.cybereason.co.jp/product-documents/white-paper/1036/