脅威管理が重要な理由
攻撃者は現在の防御方法を回避するために手段を変化させるため、脅威を管理して軽減することはビジネスにとって不可欠です。IT セキュリティのプロフェッショナルが脅威管理ツールを必要とする理由には、次のようなものがあります。
- 重要なデータを保護する
- 顧客の信頼を維持する
- オペレーションを保護する
- コストの大きい組織内に潜む脅威と高度なサイバー攻撃を防ぐ
脅威管理における課題
脅威管理における一般的な課題には、次のようなものがあります。
- ネットワーク上のセキュリティシステムの可視性が不十分
- 重要業績評価指標(KPI)のインサイトとレポートが限定的
- サイバーセキュリティ プロフェッショナルの人材不足
- ランサムウェア、フィッシング、分散型サービス拒否(DDoS)攻撃などの進化したサイバー脅威
- 悪意のある、または不注意による、組織内に潜む脅威
一般的な脅威の種類の例
サイバー脅威の種類の主なものは次のとおりです。
- 悪意のある攻撃者によって実行されるフィッシング、スパイウェア、マルウェア、ウイルス、サービス拒否(DoS)攻撃などの意図的な脅威
- 悪意のあるリンクをクリックすることやセキュリティソフトウェアのアップデートを忘れることなど、通常は人的なミスによる意図しない脅威
脅威管理の例
統合脅威管理(UTM)はネットワークとユーザーを保護する包括的なサイバー脅威管理ソリューションで、複数のセキュリティ機能またはサービスを 1 つのプラットフォームに統合しています。これらの機能にはアプリケーション制御、マルウェアからの保護、URL フィルタリング、脅威インテリジェンスなどがあります。
脅威、リスク、脆弱性の違い
脅威
脆弱性をエクスプロイトし、アセットの機密性、完全性、可用性に影響を及ぼすあらゆる可能性は、サイバーセキュリティにおける脅威とみなされます。標的型 E メールによるフィッシング攻撃の試みは、意図的な脅威の一例です。一方、保護されていないパブリック Wi-Fi ネットワークから企業アセットにアクセスする従業員は、意図的ではない脅威です。
脆弱性
脆弱性とは、攻撃者がエクスプロイトできるシステム、ソフトウェア、アプリケーション、あるいは手順の弱点です。エクスプロイトされる前に既存の脆弱性にパッチを適用することは、脆弱性管理の例です。弱点にパッチを適用しない場合、攻撃者がアセットにアクセスし、マルウェアをインストールし、データを破壊し、機密情報を公開する可能性があります。
リスク
サイバーセキュリティにおけるリスクとは、脅威が脆弱性をエクスプロイトする可能性と、それによって発生する潜在的な損害を指します。リスクを完全に排除することは不可能なため、リスク管理の目的は、組織のサイバーリスクを管理可能なレベルにまで引き下げることです。プロアクティブに脆弱性にパッチを適用し、脅威を緩和することは、このプロセスにおいて不可欠なステップです。
脅威および脆弱性管理の概要
ビジネスに対するサイバー攻撃のリスクを低減するための第一歩は、脅威と脆弱性の管理です。脅威管理は脅威がないかを監視してそれに対応することに焦点を当てますが、脆弱性管理は脅威によってエクスプロイトされる前にシステムの弱点を修正するために役立つものです。どちらの戦略も、IT 環境全体のサイバーリスクを緩和するために不可欠です。
脅威を検出するための効果的な方法
シグニチャベースの検出
シグニチャベースの検出は、事前に定義した既知の脅威のパターンまたはシグニチャによって脅威を特定し、アラートを発出します。この方法は既知の脅威を認識するのに効果的ですが、一致するシグニチャのない未知の脅威や新しい脅威に対しては効果が弱まります。
過去のウイルス対策ソフトウェアはシグニチャによってウイルスを特定していましたが、マルウェア作成者はウイルスとシグニチャの一致を避ける方法を見つけました。現在の次世代マルウェアソリューションは、動作分析、機械学習、サンドボックス分析、脅威インテリジェンスなどの高度なテクノロジーを導入して、脅威を検出およびブロックします。
指標ベースの検出
指標ベースの検出は、事前に定義した指標に基づいてファイルまたはアクティビティが安全か危険かを評価します。侵害の指標(IOC)は指標ベースの脅威検出で一般的に使用されるルールで、デジタルな手がかりとして機能し、悪意のあるアクティビティを検出します。IOC は、他の検出メソッドと組み合わせることでさらに効果を発揮します。
IOC の例には、ロケーションの不一致、ドメイン名システム(DNS)リクエストの異常、同じファイルに対する大量のリクエスト、人間以外の Web トラフィックの動作などがあります。
モデリングベースの検出
モデリングは数学的モデルによって正常な状態を定義し、長期間にわたって逸脱を特定します。適切に調整されたモデルは未知の脅威を特定するために効果的な場合がありますが、このアプローチは常に調整が必要です。
たとえば、ユーザーとエンティティの行動分析(UEBA)とネットワーク動作異常検出(NBAD)は、モデリングを活用した脅威検出です。
脅威動作検出
脅威動作検出は、一般的に悪意のある目的と関連付けられる動作のパターンを検出します。攻撃者の手法を体系化し、特定の指標にとどまらず既知の攻撃の戦術、技術、手順(TTP: Tactics, Techniques, and Procedures)に一致するアクションにフラグ付けします。脅威動作分析によって、新しいものも含めた、幅広い攻撃戦略を把握できます。
例:特権を昇格させてネットワーク内を横方向に移動しようとする攻撃者の試みは一般的な攻撃の TTP に一致するため、脅威動作アラートが発出される。
脅威インテリジェンス
グローバル脅威インテリジェンスは、継続的に世界中のさまざまなソースからデータを収集して分析し、新しい脅威を特定します。このメソッドでは、現在のネットワークアクティビティと過去のパターンおよびグローバルなパターンを比較し、異常な動作または IOC を迅速に認識します。
たとえば、複数の地域からの異常なネットワークトラフィックのスパイクを追跡することで、このアプローチは連携する分散型サービス拒否(DDoS)や広範囲に及ぶマルウェアの発生を発見できます。
脅威管理の仕組み
多くの包括的な脅威管理システムは、米国国立標準技術研究所(NIST)のサイバー セキュリティ フレームワーク(CSF)に従ってサイバー脅威をプロアクティブに管理し、サイバーリスクを低減しています。主な機能はアセットの特定、アクセスの保護、脅威の検出、イベントへの対応、アクティビティからの回復です。以下で、各ステップにおける脅威の管理方法をご覧ください。
特定
サイバー脅威管理の最初のステップでは、組織の重要なアセットとリソースの網羅的なインベントリが求められます。これは、自社のビジネス環境、サブライチェーン、ガバナンスモデル、アセット管理状況を把握し、アセットの脆弱性、脅威、リスクを特定するのに役立ちます。
保護
保護機能には、セキュリティツール、プロセス、ソリューションを実装して、機密情報を保護して脅威と脆弱性を管理することが含まれます。たとえばアクセス制御、アイデンティティ管理、データのバックアップと保護、脆弱性の修復、ユーザートレーニングなどが活用されます。
検出
検出機能は、脅威検出ツールで継続的にシステムを監視して潜在的な脅威を探し、被害が発生する前に対処できるようにするものです。脅威インテリジェンス、脅威ハンティング、ユーザーおよび動作分析、ネットワーク監視、エンドポイント監視などは、潜在的な脅威を特定して迅速な対応を可能にする脅威検出の例です。
対応
セキュリティイベントが検出された場合、チームは対応機能によって適切な手順を実行できます。インシデント対応計画(IRP)を作成し、手順をテストして改善し、関係者に伝達することが重要です。脅威検出および対応ソリューションは、脅威を特定して対応を自動化することで、プロセスを最適化します。
回復
脅威管理の最後のステップでは、攻撃や侵害などのサイバーセキュリティ イベントの後にシステムを正常な状態に復旧させます。IRP には、データ、システム、オペレーションを迅速に復旧し、事業継続を達成するためのステップが含まれている必要があります。過去に学んだあらゆる教訓を活用して IRP を更新することで、脅威管理とセキュリティレジリエンスを向上できます。
脅威管理の種類
統合脅威管理(UTM)
UTM セキュリティは、複数のネットワークセキュリティ機能またはサービスを、オンプレミスやクラウドから管理可能な統一プラットフォームまたはアプライアンスに統合するものです。UTM サイバーセキュリティの機能はベンダーごとに異なりますが、通常は VPN、アプリケーションの可視性と制御、マルウェア防御、コンテンツおよび URL フィルタリング、脅威インテリジェンス、侵入防御システム(IPS)が含まれています。
Managed Detection and Response(MDR)
MDR は経験豊富なセキュリティエキスパートのチームによって提供される脅威管理サービスであり、セキュリティデータを 24 時間 365 日監視し、迅速に脅威を検出して対応します。MDR ソリューションは高度な脅威インテリジェンスツールと人間による調査の両方の力によって、組織の脅威をより素早く特定して封じ込めます。
Extended Detection and Response(XDR)
XDR ソリューションは、ネットワーク、クラウド、エンドポイント、アプリケーションにわたってデータの可視性を提供するものです。分析と自動化によって、差し迫った脅威と潜在的な脅威を検出、解析、ハンティング、修復します。
セキュリティ情報イベント管理(SIEM)
SIEM はログとイベントデータ、脅威インテリジェンス、セキュリティアラートを集約するセキュリティツールです。SIEM サイバーセキュリティ ソフトウェアは、カスタマイズされたルールを適用して脅威アラートに優先順位付けします。これにより、セキュリティ プロフェッショナルはより適切にデータを解釈し、迅速にイベントに対応できます。
セキュリティのオーケストレーション、自動化、対応(SOAR)
SOAR は脅威管理を合理化するテクノロジースタックです。プロセスを自動化し、セキュリティツールをオーケストレーションし、インシデント対応を促進します。SOAR は、手動のタスクを削減し、インシデントの解決を加速し、セキュリティチーム間のコラボレーションを促進することで効率性を向上させます。
脆弱性管理(VM)
VM は、エクスプロイトのリスクを低減することを目的とした、脅威管理のプロアクティブなコンポーネントです。VM ソリューションによって IT システムおよびソフトウェアのセキュリティの弱点と欠陥を特定、追跡、優先順位付け、修復できるため、エクスプロイト、データ漏洩、サイバー攻撃のリスクを低減できます。
次世代侵入防御システム(NGIPS)
NGIPS は、ネットワーク全体のユーザー、アプリケーション、デバイス、脆弱性を分析することで高度な脅威防御を提供するソリューションで、オンプレミスデバイス、クラウドインフラストラクチャ、一般的なハイパーバイザに適用されます。NGIPS はネットワーク セグメンテーションをサポートし、クラウドセキュリティを適用し、パッチ適用に向けて脆弱性の優先順位付けをします。
Advanced Malware Protection(AMP)
AMP は高度なマルウェアの脅威を防御するウイルス対策ソフトウェアです。AMP は、スパイウェア、ワーム、ランサムウェア、トロイの木馬、アドウェアなどのソフトウェアウイルスのプロアクティブな特定とブロックによって、コンピュータシステムを保護します。
次世代ファイアウォール(NGFW)
NGFW はネットワークトラフィックにセキュリティポリシーを適用するネットワーク セキュリティ デバイスで、トラフィックを許可し、アプリケーションレイヤ攻撃や高度なマルウェアなどの最新の脅威をブロックします。脅威に焦点を当てた NGFW は、優れたコンテキスト認識、動的な修復、ネットワークとエンドポイントイベントの関連付けを提供し、検出から修復までの時間を短縮します。