進化する脅威の先を行く – シスコ年次サイバーセキュリティ レポート(2017 年)の発表
本日、「 シスコ年次サイバーセキュリティ レポート(ACR)2017 年版」のダウンロード開始を発表することができ、うれしく思います。今年で 10 回目となるこのレポートでは、進化する脅威の分析と 2016 年の傾向、2,900 人を超える世界のセキュリティ プロフェッショナルの調査から得られた知見、そして 2017 年以降のセキュリティ向上のための指針を提供しています。シスコのセキュリティ ビジネス グループのトップである David Ulevitch と私が、レポートの注目点について、このビデオで語っています。
組織は今、セキュリティ侵害から受ける計り知れない影響を、身をもって学んでいます。その影響は、業務運営の中断、顧客の損失、機会の逸失、ブランド評価への打撃、そして場合によっては、収益減少にまで及びます。悪意のある攻撃者は、攻撃対象領域の拡大と手法の進化を巧みに利用して、機会を常にうかがっています。攻撃者が成功したときの結果は、明白かつ定量的で、大きな損失を生むと、CSO は語っています。
拡大する攻撃対象領域
ゼタバイト時代に突入しつつある今、デジタル トラフィックは増加を続けており、世界の年間合計トラフィック量は 3 年後に 3 倍になると予測されています。2020 年までには、ワイヤレス デバイスとモバイル デバイスからのトラフィックが世界の合計 IP トラフィックの 3 分の 2 を占めると見込まれます。ブロードバンドの平均速度は、このままで行くと、2015 年から 2020 年までの間にほぼ倍増することになるでしょう。
速度、デジタル トラフィック、モバイル エンドポイントがこのように急増することで、攻撃対象領域が広がり、ターゲットとアプローチの選択の幅も増えます。クラウドベースのサービスにより、セキュリティ防御線の意義がたちどころに失われています。さらに、緊縮予算や防御側のスキルのある人材の不足、そしてサイバー犯罪者がますます標的企業に似せて振舞うようになっていることを考え合わせると、セキュリティ チームが直面している課題が見えてきます。
進化する脅威
今日の攻撃者は、マルウェアの幅広い配信方法を試しながら、新たな活動の道を探り続けています。組織のリソースにアクセスする手法は多彩であり、パッチやアップデートまでの時間差の悪用、ソーシャル メディアに仕掛けられたわなへのユーザの誘導、正規のものを装ったオンライン コンテンツへのマルウェアの注入などが行われています。
このような攻撃者は、スピードと俊敏性を向上させて検出を回避し、戦略を進化させ続けています。その戦術が収益性を失ったり、古くて役に立たなくなったり、漏洩したりすると、攻撃者はすぐさまひそかに戦術を変えるか、活動を停止してどこかに消えてしまいます。
進化して実行するまでの時間
これを受けて、シスコは今年、「攻撃展開までの時間(TTE:Time To Evolve)」という新しいメトリックを導入しました。これは、攻撃者が特定のマルウェアの配信方法を変更するのにかかった時間や、それぞれの戦術変更の時間的間隔を意味しています。レポートでは、サイバー犯罪者が巧妙に攻撃ベクトルと手法を変化させて検出を回避する様子が説明されています。さらに、私たちが後れを取らないためには防御をどのように進化させるべきかについても示しています。
シスコでは、組織が脅威を検出できる速さの指標として、検出時間(TTE:Time To Detection)の測定も続けています。シスコの TTD 中央値は 2015 年 11 月の 39 時間から 2016 年 10 月には 6 時間と短縮傾向にあり、2016 年 5 月から 10 月までの TTD 中央値の平均は約 9 時間でした。これは本当に素晴らしい傾向です。シスコは、この傾向をさらに強化すべくアプローチの改善を続けていきます。
セキュリティの進歩を阻む障害
ではここで、セキュリティ プロフェッショナルの取り組みを阻害しているものについて考えてみましょう。制約として回答されたものの上位を占めたのは、予算(35 %)、互換性(28 %)、認定(25 %)、人材(25 %)です。予算不足はセキュリティ チームに常に付いて回る課題です。また、セキュリティを組み込むというより「後から追加」しているような、統合されない異種システムも同様の課題となっています。これらの非統合防御システムは、攻撃を仕掛ける時間的、空間的な隙をサイバー犯罪者に与える可能性があります。
セキュリティ プロフェッショナルは、専門家のアウトソーシングや、クラウド ソリューションおよび自動化の導入によって予算を有効利用し、限られた人員を最大限活用しようとしています。十分なリソースを与えられた熟練の IT セキュリティ チームと、適切なツール、ポリシー、プロセスとの相乗効果で、より優れたセキュリティ成果の達成が可能になります。考え方として、シンプル化、統合、自動化を目指しましょう。
不利な状況の活用
調査した組織の半分がセキュリティ侵害を受け、その結果、世間の厳しい目にさらされた経験を持っていました。また、そのうち半分は侵害されたことを自発的に公開しましたが、3 分の 1 は第三者によって開示されました。規制当局、報道機関、ソーシャル メディア ユーザがニュースを暴露しようとこぞって待機している今、気付かれずに侵害に対処できる時代は、はるか過去のものとなっています。
セキュリティ侵害の公開を経験した組織にとって有利なのは、それを学習機会にできるということです。かつて、組織は侵害を受けたときにそれを認めるのを躊躇していましたが、今ではより迅速かつオープンに、警察、規制当局、投資家、顧客と情報を共有するようになっています。攻撃発生時に情報を共有する組織が増えるほど、相互にサポートしあい、自ら防御することが容易になります。
自らの領域の防御
では、私たちは何をすべきなのでしょうか。あらゆる組織が、サイバーセキュリティを会社レベルの優先事項とする必要があります。リーダーは、サイバーセキュリティの重要性と適切な防御手法を組織全体に浸透させて推進する、サイバーセキュリティの責任者兼推進者にならなければなりません。サイバーセキュリティを「IT チームの課題」にしておくことはできません。その影響はあまりにも大きく、しかも高くつくのです。
問題につぎ込む金銭、人員、テクノロジーを増やすだけでは、もはや十分とは言えません。素早く頻繁に進化するこの複雑な状況では、人間の専門知識とポイント ソリューションに頼るだけでは不十分なのです。必要なのは、自動検出機能と自動防御機能を備え、脅威に対するインサイトをほぼリアルタイムに提供する、シンプルな統合セキュリティ アーキテクチャです。このレポートで紹介した進化時間メトリックがこれを実証しています。
シスコ年次サイバーセキュリティ レポート(2017 年) をダウンロードして詳細をご確認ください。
Tags:
この記事は、シスコ セキュリティ&トラスト グループのシニア バイス プレジデントである John Stewart によるブログ「Staying Ahead of the Evolving Threat – Announcing the Cisco 2017 Annual Cybersecurity Report」
(2017/1/31)の抄訳です。
