リスクは対処からコントロールの時代へ
目指すべきアプローチとその実現手法

　サイバー攻撃の手口がますます巧妙化し、検知は難しくなる一方だ。トレンドマイクロの調査によると、2022年にメールから検出した未知のマルウエア数は375万件にのぼる。セキュリティーリスクや監視ポイントの拡大により、導入するセキュリティーツールも増加し、そこから上がってくるログデータは人が確認できる量をはるかに凌ぐ。一方でセキュリティー人材は5万5000人以上が不足しているという。

　このままではセキュリティー運用はままならない。マルウエア感染や不正アクセスの検知に時間がかかれば、その間に被害は拡大していく。気付いた時には情報が暗号化されて使えなくなったり、重要情報が攻撃者に窃取されてしまうだろう。企業のブランドや社会的信用の低下は避けられず、多くのビジネス機会も逸する。

　サイバー攻撃は企業経営やビジネスに直接的な影響を及ぼす。これからは最短距離でビジネスを復旧できることを重視する必要がある。そのためにやるべきことは何か。「リスクに追われるのではなく、主導権を握ること。効果と効率の両方を成立させること。そして“被害を最小限にとどめる”から“被害を未然に防ぐ”対策に変革すべきです」とトレンドマイクロの大田原 忠雄氏は訴える。

　変革へのチャレンジは3つのポイントが重要になるという。1つ目は、「対症療法から原因療法に変えること」だ。

　エンドポイント対策はEPP（Endpoint Protection）製品が広く利用されているが、これはPCやサーバーなどのエンドポイントをマルウエア感染などから保護するためのもの。従来のシグネチャ型の検知方法に加え、振る舞い検知や機械学習による検知が可能な製品も増えてきたが、感染や侵害が発覚したら隔離や駆除を行うという受け身の対策だ。

　EPPの一歩先を進んだ対策が「EDR（Endpoint Detection and Response）」である。ドライブレコーダーのように、クライアントPCの挙動を記録し、有事の際には記録されたデータから感染経路を辿ることで、感染原因の分析が可能となる。「なぜ感染したのか。どうしたら感染しないようにできるのか。どこで、いつ、何が行われたかを記録しているため、調査やその後の対策強化にも有効です」（大田原氏）。

　ただし、守備範囲がエンドポイント中心であることはEPPと同じだ。最近は監視の目を社内ネットワーク全体に広げた「XDR（Extended Detection and Response）」の必要性が提唱されている。「多様な“センサー”の情報を基に相関分析を行い、一連の攻撃をシナリオとしてとらえ、より効果的・効率的な対処が可能です。EPPからEDR、そしてXDRへ。対症療法から原因療法に変え、感染被害に遭わないよう“体質”を改善することが重要です」と大田原氏は訴える。

　2つ目は「リスクに先回りして対処すること」。経営者・CIO・CISOの多くが自社のセキュリティーに不安を感じている。その大きな要因はデジタル化の進展に伴い、IT環境の複雑性が増してきているからだ。「どこに、どんなリスクがあり、守るべきものは何か。その全貌が見えにくくなっているのです。見えないものは対処しようがない」と大田原氏は主張する。

　全貌を見える化する手法として「アタックサーフェスマネジメント」（以下、ASM）が注目されている。攻撃者の視点から狙われる可能性のあるアタックサーフェス（攻撃対象領域）を把握し、セキュリティーを強化していくアプローチだ。「ASMの継続的な実施により、未把握の機器や意図しない設定ミスなどを攻撃者視点で発見し、先回りで対処をすることで、リスクを低減できます」と大田原氏は説明する。経済産業省もIT資産を適切に管理する手法としてASMを取り上げ、その概念や導入方法、活用事例などを公開している。

　そして3つ目が「経営層の関与と理解を促すこと」である。トレンドマイクロの調査によると、組織のセキュリティー成熟度と業務停止時間には明らかな相関関係がある。成熟度が低くなるほど、業務停止期間が長くなるのだ。そして経営層のかかわりとセキュリティー成熟度にも相関が見られ、経営層のかかわりが強い組織ほど成熟度が高い。つまり経営層がセキュリティーに積極的に関与する組織は、業務停止時間も短く、事業継続性が高まるわけだ。「有事の際のトップの意思決定が的確で早い。やるべきことが明確になるから、現場も力を発揮できるのでしょう」と大田原氏は見る。

　この3つのポイントを実現するために、トレンドマイクロではそれぞれ解決策を提供している。まず1つ目の対症療法から原因療法へと体質改善に有効となるのが「Trend Micro XDR」だ。これはメール、エンドポイント、サーバー、クラウド、ネットワークなどの様々なレイヤーのデータをクラウド上に集約し、AIやセキュリティーエキスパートの知見を生かして相関分析を実施するソリューション。「単体では影響の度合いが計りにくいイベントであっても、一連の攻撃を関連性のあるシナリオとしてとらえることで、重要な意味を持つ痕跡を見つけ出し、攻撃の全体像を可視化します。これにより、攻撃シナリオの早い段階でインシデント対応が可能になり、被害を最小化できます」と大田原氏は特徴を述べる。

　高い検知精度に加え、真の脅威を選別する「トリアージ力」も大きな強みだ。ある企業での実例がそれを裏付ける。1000デバイスから7日間に収集するログデータは12億5000万件もあったが、フィルター検知やAIによる検知モデルで絞り込みを行い、29件のインシデントを抽出。さらにこれを高度な脅威インテリジェンスを基に優先度や影響度を付与し、早急に対応が必要なインシデントを1.75件まで絞り込んだという。「膨大なログデータの確認・分析に振り回されることなく、本当に必要な対応に短時間で着手できるのです」と大田原氏は語る。

　2つ目の“リスクに先手を打つ”ために、トレンドマイクロが提唱するのが、ASMに“リスク”というキーワードを加えた「アタックサーフェスリスクマネジメント」（以下、ASRM）だ。一般にASMはリスクの可視化に有効だが、可視化だけでは本当の解決にならない。可視化するだけではなく、リスクを評価し迅速な対処を支援することが重要となるからだ。これを実現するソリューションが、統合サイバーセキュリティプラットフォーム「Trend Vision One」だ。「Trend Vision Oneは、サイバーセキュリティープラットフォームとして、XDRとASRMを統合し、リスクの可視化と評価、自動対処までも可能にしています。それらの情報は、1つのコンソール上ですべて把握することができます」と大田原氏は説明する（図1）。 　Trend Vision Oneは3つ目の経営層の関与と理解を促す上でも有効な手段となる。経営層とセキュリティー担当者で情報を共有し、共通の指標を持つことができるからだ。「現場任せにせず、経営層が共通の指標を基にセキュリティー担当者と“会話”しながら効果的な対策を進めていけるのです」と大田原氏は述べる（図2）。 　以上、3つのポイントを実現すれば、組織のセキュリティーレベルを向上させ、リスクをコントロールすることが可能になる。トレンドマイクロはリスクの全貌を見える化し、有事の対策としてのXDRに加え、平時の対策としてのASRM、それらを一元的にコントロールするTrend Vision Oneを通じ、プロアクティブなサイバーセキュリティーへの変革を強力に支援する。