いざという时に慌てない!セキュリティエンジニアが知っておきたい『復旧宣言』の3条件 ~2024 Risk to Resilience World Tour Japanセッション紹介④
昨今、ランサムウェアによる大きなインシデントが多数発生しており、组织における復旧能力の向上の必要性が高まっています。7月23日东京で开催するカンファレンスにおいて復旧宣言のコツを、インシデント対応コンサルタントが解説します。
Save to Folio
重大なインシデント报告は1日1件以上のペースで発生
ランサムウェアの大きなインシデントが多数発生するなど、持続的な事业の発展に向けてセキュリティレベル向上の必要性が高まっています。
もはや、サイバー攻撃の被害は他人事ではなく、どのような公司でも発生しうるリスクの一つとなっています。2024年上半期182日间に公表されたサイバー攻撃被害の件数は202件であり、平均すれば1日1件以上のペースでどこかの组织がサイバー攻撃被害を报告している状态です。
図:国内法人組織におけるセキュリティインシデント公表件数の推移 2023年上半期~2024年上半期
(トレンドマイクロが公表情报を元に独自に集计?整理)
また、トレンドマイクロの过去の调査では、ランサムウェアや情报窃取などのサイバー攻撃によって被害を受けた组织において、平均1亿円以上の规模の损失が生じていたこともわかっています。
| 顺位 | 攻撃の种类 | 平均被害コスト | サンプル数 |
|---|---|---|---|
| 1 | 机密情报の窃取?暴露 | ?385,227,273 | 6 |
| 2 | ランサムウェア攻撃(胁迫?恐喝?データ改ざん/破壊) | ?121,809,524 | 53 |
| 3 | サービス不正使用(不正购入?不正カード利用) | ?121,428,571 | 19 |
図:過去3年間で「最も被害コストの大きかったサイバー攻撃」による平均被害額 上位3種類
()
これらを踏まえると、サイバー攻撃の被害を可能な限り抑えられるようセキュリティレベルの向上を図ることは、多くの组织にとって事业継続や利益获得といった目的を达成する上で不可欠な点であると言えます。
インシデントからの復旧能力向上がもたらすメリット
サイバーセキュリティレベルの向上は如何にして達成されるでしょうか。トレンドマイクロが7/23に開催するセキュリティカンファレンス「2024 Risk to Resilience World Tour Japan ~"AI ×セキュリティ"が進む先~」では、予防と復旧の両軸でセキュリティ体制を整備する必要性について複数のセッションで解説します。
この予防と復旧を両軸に据える考え方は、NIST Cybersecurity Framework(CSF)に則っており、NIST CSFで定義される6つのセキュリティ機能「ガバナンス」「識別」「防御」「検知」「対応」「復旧」の内、「識別」「防御」が予防フェーズ、「検知」「対応」「復旧」が復旧フェーズにあたり、これらの機能を包括的に整備することがCSF内でも推奨されています。(※ガバナンスは全フェーズに作用すると定義されています。詳しくはこちら)
しかし、この5つの机能において「復旧」の整备が最も见送られがちな状况にあることがで明らかになっています。
この倾向は2022年に行ったセキュリティ成熟度に関する调査でも同様で、「復旧」に関する整备?準备は多くの组织で最も后回しにされていると言えます。
なお、この倾向自体は自然なものです。基本的に多くの组织にとってサイバー攻撃被害は発生しないに越したことはなく、発生后の復旧フェーズの準备にリソースを割いて「被害を小さくすること」よりも、予防フェーズを优先して対処することによって「被害を発生させないこと」に力を注ぎます。
つまり、サイバーセキュリティにおける「復旧」は、现実の灾害で行う避难训练と同様に、重要ながらも「万が一」に备えた出来事であるため、発生确率を鑑みて后回しにされる倾向にあります。
しかし、「復旧」机能の强化は、万が一の状况でのみ役に立つものではありません。10年以上かつ300以上の组织のインシデント対応実绩を持つインシデントレスポンスチームの主管を务める田中は下记のようにコメントしています。
「インシデントからの復旧対応を整备することは、インシデント発生前のセキュリティ対策を见直し、セキュリティレベルを向上させることに繋がります」
これは「復旧」机能の强化が、结果として「识别」や「防御」などの别の机能にも良い影响をもたらすことを示しています。
例えば、サイバー攻撃者が痴笔狈の脆弱性を悪用して侵入し、组织内で様々な手法で横展开の后、ランサムウェアを広范囲の笔颁上で実行した、というシナリオを考えてみます。
このインシデントに対して復旧対応を行う场合、「データのバックアップから復元して再开」という単纯な対応にはなりません。なぜならサイバー攻撃の原因を特定して影响范囲を把握しなければ、同じ攻撃が再度発生する可能性があるからです。また情报漏洩が発生しているかもしれず、どの端末のデータが盗み出された可能性があるのかまで详细に调査を行う必要があります。
痴笔狈の脆弱性を悪用した、というシナリオであるものの、防御侧からすればサイバー攻撃者がどこから侵入したのかは不明なままでは、対策は不完全です。フォレンジック调査などを通じて痴笔狈が原因であると判明した场合でも、他の痴笔狈机器はどうなのか、またはクラウドなど関係のない领域からの侵入痕跡はないのか、そもそも修正プログラムの适用はなぜなされていなかったのか、痴笔狈のログは适切な期间保管されているか、ファームウェアのアップデートは顺当に行われていたか、など「识别」、「防御」机能で対策?整备されているべき事项にまで踏み込んだ详しい调査を行い、なおかつそれらの短期的な改善と长期的な运用方针まで踏み込んで见直す必要があります。
つまり、「復旧」机能向上にむけた活动に含まれる、再発防止に向けた取り组みや影响范囲の调査を行う过程で、おのずと自社の弱点となり得る环境の棚卸や见直しに繋がり、予防フェーズの対策事项についてもより根拠をもってセキュリティ投资を行うことができるようになります。
実际に上记の调査でも「復旧」机能の成熟度の高い组织は、それ以外の机能の成熟度平均も同様に高い倾向にあることがわかっています。
つまり、「復旧」は见送られがちな机能であるものの、「復旧」机能こそがセキュリティレベルを高める為に重要なポイントであることがここに示されています。
本セッションでは、上记でもコメントを引用したトレンドマイクロのインシデント対応チームの主管である田中が登坛します。田中は中央省庁での颁厂滨搁罢/厂翱颁业务の実绩や滋贺県警のアドバイザー、ランサムウェア対策に関する执笔など様々なインシデントに関わる知见を持ち、それらを対外的な活动の中でアウトプットしています。
セッションの中では、実际の事例に基づくサイバー攻撃者の攻撃手顺の绍介や、インシデント対応フローの解説を行い、セキュリティにおける復旧业务はインシデント现场においてどういったことが行なわれているのか、详しく解説します。
また、ビジネス継続とのバランスを検讨したり、安全の証明が难しい復旧业务の中で、多くの経験をもつ田中だからこそお伝えできる、復旧において抑えるべき3つのポイントを解説します。
なお8月1日の大阪会场においては、この登坛内容を引用しつつローム株式会社様と田中が対谈を行います。この対谈の详细はこちらの记事を确认ください。
さらに、今回「2024 Risk to Resilience World Tour Japan」全体のテーマでもある础滨が、インシデント対応现场においてどのように役立つのかについても一部実际の画面イメージと共にお伝えします。
皆様のご参加を心よりお待ちしております。
