インシデントからの復旧には「根拠」が必要~齿顿搁が必要なワケ
セキュリティインシデントが発生した际、速やかに復旧宣言を出すのは実は容易なことではありません。復旧宣言のための「根拠」をそろえるにはどうするか?を解説します。
Save to Folio
図:公司?団体等におけるランサムウェア被害の报告件数の推移
出典:警察庁「」
?
実际にトレンドマイクロが昨年グローバルを対象に実施した调査において、日本でも3人に1人以上がランサムウェア攻撃を経験していました。
図:トレンドマイクロのランサムウェア调査において攻撃を受けた経験の有无の结果
(出典:トレンドマイクロ调査「」)
もし事业継続に影响を及ぼすような、重大なセキュリティインシデントが起きてしまった场合、组织は一日でも早くシステムや设备を復旧し、通常业务を再开する必要性に迫られます。
しかし復旧しようとする际には、「胁威(マルウェアなど)が社内のネットワークに残っているのではないか?」、「一见事态が収束したように见えても、まだ攻撃者は潜伏しており、攻撃を受け続けているのではないか?」といった、社内外のステークホルダーからの疑问を払拭せねばなりません。
そのためには、インシデントの発端となった胁威を根絶できており、これ以上被害が広がらない、または再発の危険がないことを示すある程度の証明を行い、説明する必要があります。つまり、インシデントからの復旧には「根拠」が必要になるということです。
仮に根拠が不十分な状态で通常业务を再开した场合、组织内に残存していた胁威が原因ですぐにインシデントが再発したり、初回と同様の弱点を突かれて攻撃者の再侵入を许すなど、再発リスクが高まることで事业継続性が着しく低下します。さらに、もしインシデントが本当に再発してしまった场合には、ステークホルダーや顾客からの信頼が大きく低下して取引対象として不适切であると判断される、评判が悪化して株価に影响がでるなど、さらなる二次被害を招くことになるためです。
?
復旧の「根拠」を用意する上での3つの课题
しかし、復旧宣言の「根拠」を用意していくのはそう容易なことではありません。トレンドマイクロが、インシデントが発生した組織へ対応協力を行う中で実际に見られた課題を整理してみます。
① 時間的な課題
当然ですが、事业継続に影响が出ているような场合、いつまでもシステムやネットワークを止めておくわけにはいきません。他社との契约や顾客へのサービス水準维持などの复数の要件を加味した上で営业再开目标までの期间を设定し、その限られた时间の中で调査?対応していく必要があるため、ひっ迫した状况下で根拠となる情报を収集し、精査する必要があります。
② 膨大なログ分析の課題
组织内への侵入を伴う攻撃の场合、胁威を根絶していくためには、组织内の様々なレイヤーにおける攻撃活动を洗い出して攻撃の全体像を把握し、その影响范囲を特定することが不可欠です。そのためには、エンドポイントやメールなどのセキュリティツール、ファイヤーウォールや资产管理ツール、デバイスのログなど、多种かつ大量のログ情报を収集し、攻撃に関连する情报を抽出しつつ、各ログの相関を见ながら攻撃経路を分析していかなければなりません。
③ 視覚化の課題
攻撃者の活动がステルス化していることもあり、导入しているセキュリティ製品やログの収集状况によっては、攻撃の痕跡が一部确认できない、または攻撃かどうか判断がつかないなど、攻撃の全体像を完全に把握することが难しい中で判断を行わなければならない场合があります。また、そうした见えづらい攻撃を解析し、情报を集约して资料(レポート)として落とし込むには相応の时间がかかります。さらに、上层部などサイバーセキュリティを専门としない意思决定者への説明のために、レポートをさらにわかりやすい形に视覚化するなどの工夫も必要になるでしょう。
ログではなくテレメトリが自动で収集されることがポイントです。インシデント発生时には、セキュリティ担当者は手动でログを収集し、膨大なログの中から胁威や侵入の痕跡のピースを见つけ出し、今まで培った経験や勘に基づき(もしくは外部のベンダや有识者に依頼?确认しながら)相関を见つけ攻撃の全体像を把握していく、という大変かつ时间のかかる作业が要求されます。しかし、齿顿搁によりテレメトリが自动で収集されることで、そうした作业の効率が大幅に改善されます。例えば、従来膨大なログの中から関连する要素を抜き出し、推测する必要があった各端末のイベント相関がすぐに把握できたり、ログの中に埋もれて通常运用のように见えていた挙动が、テレメトリのアクティビティデータによって、异常な挙动であると见抜けたりする、などのメリットがあります。またそもそも情报の収集を手动で行っていた场合に比べて、自动化されることで时间と手间が短缩されます。
また、例えば、トレンドマイクロがXDRの機能を提供するエンタープライズサイバーセキュリティプラットフォーム「Trend Vision One」では、情報探索や認証窃取、横展開などステップごとの攻撃(TTPs)の痕跡を、MITRE ATT&CKに準拠した形でマッピングすることで1コンソールで「可視化」しています。攻撃による内部活動や、それらが復旧に向けて終息していく状況をリアルタイムかつ視覚的に確認できるため、復旧宣言の「根拠」の1つとなるでしょう。
図:Trend Vision Oneのコンソール例
攻撃の痕跡がMITRE ATT&CKのフレームワークにマッピングされ可視化されている
※正规の运用でも惭滨罢搁贰のフレームワークに该当する挙动は、検出?表示されるため、インシデント终息后でも一定数は残存
Security GO新着记事
狈滨厂2指令:贰鲍で事业を展开する日本公司が知っておくべきこと
(2025年5月9日)
サイバー攻撃の被害额から考えるセキュリティ
(2025年5月8日)
ウイルスを使わないサイバー犯罪者の動向 ~Language Threat(言語ベースの脅威)~
(2025年5月7日)