重要インフラを危険にさらしていないか?

2023年3月30日
Henrik Smit氏
サイバーオプス担当ディレクター
重要インフラを危険にさらしていないか?

組織のサイバーセキュリティを見過ごすことの危険性

2021年3月、貨物船エバー・ギブンがスエズ運河を1週間近く封鎖し、コンテナ・インフラに甚大な影響を与えた。この結果、世界経済の10%がこの運河を通過するため、世界的な貨物配送の混乱が生じた。配送インフラ・チェーン全体から見れば、スエズ運河を通過できないことは小さな中断のように思えるかもしれないが、実際には、この1つのボトルネックが1日あたり100億ドルもの貨物を支えていたのである。

これがサイバーセキュリティと重要インフラにどう関係するのか、不思議に思うかもしれない。配送チェーンのように、重要インフラのサイバーセキュリティは、最も弱いリンクほど強固である。この決まり文句はよく耳にしますが、重要インフラチェーンの最も弱いリンクはあなたかもしれないと考えたことはありますか?

あなたの組織を重要インフラの一部と考えるのは不自然かもしれない。しかし、サプライヤーであり、重要インフラにつながる大きなチェーンの一部である可能性は高い。サプライチェーンの中で最も脆弱なリンクとして自分自身を捉えることはさらに難しいかもしれないが、攻撃者がそのような分析を行っていることは間違いない。視認性の高い標的は、サイバー成熟度が非常に高い傾向にあるため、一般的に攻撃が難しい。そのため、攻撃者は視認性の高いターゲットに到達するための他のルートを探すことになり、あなたの組織はその中間にあるかもしれない。

自組織が重要インフラの連鎖の中で最も脆弱なリンクにならないようにするために、どのような手段を講じることができるだろうか?  

実際には、多くの組織がITおよびOTシステムに大きく依存しているが、攻撃の指標を正しく監視しているかどうかは不明である。その結果、実際の攻撃を検知できるかどうかわからず、さらに悪いことに、すでに侵害されていることに気づかないこともある。その結果、セキュリティチーム内の最初の反応は、より多くのツール、より多くの監視、より多くの情報、より多くの人員といった「MORE」を求めることになる。しかし、このアプローチはしばしば、より大きな混乱、より大きな騒音、スタッフの燃え尽きを招く。明らかに、既存の能力と組み合わせたツールについて、より費用対効果の高い意思決定が必要である。  

KPMGでは、組織が既存の能力と将来のサイバー目標で直面するこのような課題を理解しています。そのため、セキュリティ・ランドスケープの最適化を通じてセキュリティ運用のパズルを解くことで、脆弱性の特定、防御の強化、セキュリティポスチャの強化を支援するEffective Security Observability(ESO)アプローチを開発しました。ESOがお客様の組織にどのような利益をもたらし、サイバーセキュリティをより深く洞察することができるかについて詳しくは、ホワイトペーパーをダウンロードし、当社のスペシャリストにご相談ください。

これらのスペシャリストの一部は、Vectra AI 、KPMGと共催で3月8日にウェビナーを開催し、重要インフラを脅かす現在進行中のサイバー攻撃についての認識を高めた。このディスカッションでは、サイバー脅威が組織や重要インフラにもたらすリスクを探り、Vectra AI を活用した当社の ESO アプローチがこれらの組織にどのようなメリットをもたらすかを紹介しました。また、このウェビナーでは、聴衆が脅威の状況やセキュリティポスチャをどのように認識しているかを知り、聴衆に共通する問題点を特定する機会も提供されました。このブログでは、このウェビナーの成果を紹介し、得られた知見の意味について議論します。

重要インフラを狙うサイバー脅威の台頭 - 最大の懸念は何か?

私たちの最初の目的は、視聴者が最も関心を寄せている攻撃の種類を特定することでした。最も関心の低い脅威はフィッシング攻撃とインサイダー脅威で、これらの攻撃は相互に関連し合っていることが多く、単独ではセキュリティツールで容易に検知できないため、興味深い結果となりました。例えば、フィッシングは最初のアクセス方法として使用され、ランサムウェアをインストールするAPT(Advanced Persistent Threat)につながる可能性がある。フィッシングやランサムウェアがより攻撃に関連した手法であるのに対して、APTやインサイダーの脅威は脅威アクターのカテゴリーを表していることに注意することが重要です。とはいえ、ランサムウェアとAPTは最も懸念される攻撃であり、出席者の半数がこれらに言及している。

もう1つの興味深い点は、これらの攻撃は互いに関連しているが、捉え方が異なるということだ。例えば、APTは最初のアクセスを得るためにフィッシング攻撃や内部脅威さえも利用し、最終目標としてランサムウェアのインストールを続けるかもしれない。しかし、APTやランサムウェアは、その影響力の大きさから、組織にとってより脅威的なものとして認識される可能性がある。さらに、APTやランサムウェアは常に進化しているため、適切な可視化やツールがなければ簡単に気づかれない可能性があります。このためESOは、Vectra AIのAttack Signal IntelligenceTMを活用しています。このAttack Signal IntelligenceTMは、攻撃行動に焦点を当てており、環境を通じて伝播する未知の攻撃を検知することで、このような脅威を検知し、懸念を緩和することができます。同時に、AI主導のトリアージと優先順位付けにより、情報の過負荷を軽減し、ツールをより効率的に使用するための統合オプションを可能にします。  

サイバー攻撃というテーマを継続し、私たちは、この1年間で攻撃の頻度が増加していることを聴衆が確認しているかどうかを理解しようと努めた。結論は明らかだった。重要インフラに携わる多くの人々が、自分たちの環境を標的としたサイバー脅威の急増に気づいている。進化する脅威の状況を認識することは不可欠ですが、それだけでは十分ではありません。組織は、実際にこれらの課題に直面するための準備も必要であり、このトピックについてはこのブログの後半で詳しく取り上げる。

デジタル化、人材、セキュリティポスチャ - 組織の立ち位置は?

サイバー攻撃の目的と動機の両方を見てみると、最も一般的な目的の1つは、しばしば経済的インセンティブによって煽られ、組織の継続性を混乱させることである。こうした攻撃を最も受けやすい組織は、デジタル化されたプロセスに大きく依存している傾向がある。そのため、私たちは視聴者のデジタル化への依存度を測定したいと考えました。

私たちは、視聴者のほとんどがデジタル化された生産プロセスに依存していることを発見しました。デジタル化は、重要なインフラにとってもそうでないインフラにとっても重要であり、特にデジタル・トランスフォーメーションが急速に進展している現在、その重要性はますます高まっています。サイバー攻撃の背後にある動機を認識することは、組織が潜在的な脅威をよりよく理解し、それに備えるのに役立ちます。

KPMGおよびVectra AIでは、顧客企業におけるデジタル化の重要性を認識しています。そのため、役員会だけでなく、組織全体がセキュリティ戦略の定義にどの程度関与しているかを調査することになりました。今日の状況では、ITとサイバーセキュリティは、取締役会から個々の従業員に至るまで、組織の全メンバーに関連するものでなければならず、CISOやその他のセキュリティ専門家の声が組織全体に届き、考慮されるようにしなければなりません。

今回の調査結果では、出席者の組織のセキュリティ戦略の決定には常に取締役会が関与しているが、その関与の程度はさまざまであることが明らかになった。しかし、3件に1件の割合で、取締役会の関与は限定的である。NIS2やDORAのような今後の規制や指令を念頭に置くと、サイバーセキュリティの決定における取締役会の関与はさらに重要になる。サイバーセキュリティは、組織のセキュリティ体制に対する強固で包括的なアプローチを確保するために、取締役会とセキュリティチームの双方にとって最優先事項であるべきだ。

今後予定されている規制や指令は、包括的なサイバーセキュリティ戦略とポリシーの必要性を強調している。これは、取締役会を含む組織全体の積極的な参加によってのみ達成できる。取締役会がサイバーセキュリティの決定に全面的に関与することで、より強固なセキュリティ体制を構築し、進化する規制要件へのコンプライアンスを実証することができます。

このように、ランサムウェアのようなサイバー攻撃が成功した場合の潜在的な影響について考えるとき、組織のリーダーは以下のような重要な質問に取り組むことが極めて重要である:攻撃後の次のステップは何か?組織は身代金を支払う意思があるか?身代金を支払う意思がある場合、その金額はいくらか。組織はどの程度のリスクを許容し、どこで一線を引くのか?

また、「人」に関する話題の続きとして、セキュリティ担当者と IT 担当者の業務量がこの 1 年でどのように変化し、それが組織のセキュリティポスチャに影響を与えたかについても質問した。回答者の大半は、セキュリティ担当者と IT 担当者の仕事量が増加したと回答した。作業負荷の増大は、一般にセキュリティギャップやスタッフの疲労につながるため、これは厄介なことである。作業負荷のレベルがほぼ横ばいで、セキュリティポスチャに影響がないと回答した組織はわずかであり、減少したと回答した組織はなかった。  

組織の焦点は、セキュリティチームの作業を効率化し、作業負荷を軽減することであるべきだが、このようなケースは皆無である。Vectra AIとESOの目標は、検知プロセスをより効果的にし、時間とコストの削減に焦点を当てることです。組織にとって、より良いセキュリティポスチャを促進するために、何に焦点を当て、プロセスにどのような変更を加える必要があるかを知ることは重要です。  

サイバー脅威への備えは万全か?

私たちのアプローチを組織に提供するためには、まず組織の現在の能力を理解する必要がある。視聴者の全体的なセキュリティポスチャを評価するために、私たちはサイバー脅威への対応における組織の有効性について質問しました:サイバー脅威への対応において、あなたの組織がどの程度有効かご存知ですか?  

この質問を念頭に置きながら、ウェビナーに参加した組織は、特定の攻撃への対応能力にギャップがあるかもしれないと認識していることに気づいた。これは予想されることである。未知の攻撃に対して備えることは、組織環境の可視性の欠如やギャップのために難しいからである。それ以上に、「準備していない」と答えた回答者は皆無であり、回答者全員がサイバー脅威と対策の必要性を認識していることがわかる。  

しかし、考えることと証明することは同じではありません。サイバー脅威を管理するセキュリティ専門家の有効性を、組織はどのように定量化しているのでしょうか。

当社の調査によると、4社に1社の組織がサイバー脅威を管理するプロセスの有効性を測定しておらず、自社のセキュリティポスチャを正確に評価できていない。これは、効果的であると考えても、それを証明できるわけではないという私たちの考えを裏付けるものであり、残念な結果である。  

最後に、この1年間における重要インフラ組織に対する脅威の状況の変化を、聴衆がどのように受け止めているかを明らかにしたいと考えました。聴衆は、重要インフラへの攻撃に対する懸念を共有しており、重要インフラがサイバー攻撃の真の標的であることを認識している。暗黙の了解として、聴衆はこのような攻撃に備える必要があることを認識しているが、前述したように、このことは聴衆が備えていることを意味するものではない。  

ESOとVectra AIによるセキュリティ態勢の改善

全回答を見ると、これらの組織の一般的な傾向が観察されるが、これは我々の予想に沿ったものであった。また、セキュリティやITの専門家の仕事量を増やすことも一般的なアプローチのようだが、前述のように、これはほとんど効果がなく、ほとんどの場合、セキュリティポスチャの改善にはつながらない。したがって、問題は、これらのギャップを埋める最善の方法は何かということである。  

このような問題に取り組む私たちのアプローチは、Effective Security Observability (ESO) です。ESOの結果、組織はIT環境を正しく可視化し、何に焦点を当てるべきかを知ることでプロセスをより効果的にすることができます。このように、Vectra AIプラットフォームは、従来のセキュリティソリューションをすり抜ける脅威を検知するように設計された、業界をリードするASI (Attack Signal IntelligenceTM) によって、ESOの目的に完全に適合します。Vectra AIのASIにより、ESOは以下を実現します:

  1. アタックサーフェスカバレッジ:5つのアタックサーフェスのうち4つ (クラウド、SaaS、アイデンティティ、ネットワーク) を網羅し、エージェントを介さずに未知の脅威を排除します。
  2. Attack Signal Intelligence 、攻撃者のように考えるためにAI主導の検知を、悪意のあるものを見つけるためにAI主導のトリアージを、緊急のものを知るためにAI主導の優先順位付けを使用する。
  3. AIを活用したインテリジェント・コントロール 。ツール、プロセス、プレイブックへの投資を最適化し、SOCの効率と効果を高めます。

あなたの組織にESOを提供するには、5つの重要なステップが必要です:

  1. ビジョン - ビジネス要件を洞察し、SOC戦略を定義する。
  2. 検証 - ESOのターゲット・オペレーティング・モデルと技術要件を定義する。
  3. 構築 - ユースケース、ワークフロー、ソリューションアーキテクチャ、統合を定義する。
  4. デプロイ - テクノロジーのセットアップと作業方法を組織に導入する。
  5. 進化 - ESOの価値を実現し、安定した状態を確立し、継続的に改善する。

わずか数日で、お客様の環境におけるセキュリティの脅威を明確にすることができます。その結果、お客様の環境を脅かす攻撃への備えが強化され、スタッフの作業負担が軽減され、ギャップを埋めることができます。  

よくあるご質問(FAQ)