サイバーセキュリティ分析とは？

セキュリティ分析は、サイバーセキュリティへのプロアクティブなアプローチです。データの収集、集約、分析機能を使用して、サイバー脅威の検出、分析、軽減を行う重要なセキュリティ機能を実行します。脅威検出やセキュリティ監視などのセキュリティ分析ツールは、外部マルウェア、標的型攻撃、悪意ある内部者といったセキュリティインシデントや潜在的な脅威を対象に、それらの特定と調査を行うために導入されます。

セキュリティ担当者はセキュリティ分析を使うことで、これらの脅威を早期に検出して事前に阻止できるようになります。つまり、脅威がネットワークインフラへの侵入を経て貴重なデータや資産を危険にさらしたり、組織に害を及ぼしたりする前に、食い止める機会を得られるのです。

この記事では、セキュリティ分析プラットフォームの機能とメリット、組織にとって最大のセキュリティ脅威、さまざまなセキュリティアプローチ、さらにセキュリティ分析を使用して攻撃をプロアクティブに予防するとともに環境を安全に保つ方法について説明します。

セキュリティプラットフォームの機能とメリット

セキュリティ分析では、組織のサイバーセキュリティ分野にデータ分析を応用します。

セキュリティ分析(SA)プラットフォームには、さまざまなセキュリティイベント、攻撃、脅威パターンの検出、監視、分析を含め、プロアクティブなネットワークセキュリティ機能を提供する一連のツールが備わっています。これらすべてが同じデータ構造を基盤として、1つのアプリケーション内で連携しながら機能します。セキュリティ分析プラットフォームは拡張性にも優れており、ビジネスの成長に伴い拡大を続けるネットワークや増加を続けるユーザー数にも対応できます。

セキュリティ分析ソリューションは、次のような多数のソースからデータを集約します。

• エンドポイントやユーザーの行動データ
• ビジネスアプリケーション
• オペレーティングシステムのイベントログ
• ファイアウォール
• ルーター
• ウイルススキャナー
• 外部の脅威インテリジェンス
• コンテキストデータ

これらのデータを結合して関連付けを行うことで、1つの主要なデータセットでの作業が可能になります。セキュリティ担当者は、妥当なアルゴリズムを適用するとともに、迅速な検索を作成して攻撃の兆候(IoAs)を示す指標を特定できるというわけです。こうしたIoAsはあらゆる種類のソースで発生するため、セキュリティプラットフォームは、関連するネットワークデータを収集して分類するのに役立つ機能を提供します。

セキュリティ分析ツールの種類

セキュリティ分析プラットフォームが備える機能はそれぞれ異なりますが、多くの場合は以下のようなものです。

• ユーザーとエンティティの行動分析(UEBA)
• 自動またはオンデマンドのネットワークトラフィック分析
• 脅威インテリジェンス
• アプリケーションへのアクセスと分析
• DNS分析
• 電子メール分析
• IDとソーシャルペルソナ
• ファイルへのアクセス
• 位置情報、IPコンテキスト

こういった機能が、大規模なセキュリティ分析プラットフォームを構成するさまざまなツールに搭載されています。また、標準的なセキュリティ分析ツールは、以下のような機能を備えています。

• 行動分析：行動分析は、ユーザー、アプリケーション、デバイスのパターンと行動傾向を調査し、セキュリティ侵害や攻撃を示す可能性のある、通常と異なる行動を特定したり異常を検出したりします。
• 外部の脅威インテリジェンス：外部のセキュリティサービス企業が、ポートフォリオの一部として脅威インテリジェンス(TI)を提供することがあります。TIプラットフォームは、それ自体がセキュリティ分析というわけではありませんが、分析プロセスを補完するものです。
• フォレンジック：フォレンジックツールは、過去または現在進行中の攻撃を調査し、攻撃者がシステムにどのように侵入して侵害したかを突き止めるとともに、将来の攻撃につながる可能性のあるセキュリティ上の脆弱性やサイバー脅威を特定するために使用されます。
• ネットワーク分析と可視性(NAV)：NAVは、ネットワークを流れるエンドユーザーとアプリケーションのトラフィックを分析するツール類を指します。NAVは、ネットワークセキュリティ監視(NSM)とも呼ばれます。
• セキュリティ情報/イベント管理(SIEM)：セキュリティ情報/イベント管理は、一連のツールを組み合わせて、ネットワークデバイスやアプリケーションによって生成されるセキュリティアラートをリアルタイムに分析します。
• セキュリティのオーケストレーションと自動化によるレスポンス(SOAR)：セキュリティのオーケストレーションと自動化によるレスポンス(SOAR)は、データ収集機能、分析、および脅威対応を1つにまとめるハブです。

セキュリティ分析プラットフォームは、これらのツールをいくつでも組み合わせることができます。また多くの場合、AIや機械学習などの新しいテクノロジーで強化できます。

統合型の分析でセキュリティツールを強化する方法

サイバーセキュリティ担当者の間で注目されているアプローチのひとつに、統合セキュリティ分析という概念があります。

統合セキュリティ分析とは、機械学習、異常検出、予測リスクスコアリング、そしてデータサイエンスを組み合わせたアプローチです。セキュリティ脅威が存在する可能性を示す行動異常や疑わしいアクティビティを特定します。

統合セキュリティ分析は、すべてのインシデントまたは検出されたアクティビティを対象として、統合された動的なリスクスコアを生成します。事前にプログラムされたモデルが用意されており、以下を基に脅威を予測して検出する仕組みとなっています。

• ユースケース
• 業種
• 脅威フレームワーク
• コンプライアンス規制要件

これらのコンテキストに即したアラートを想定リスクに基づいて優先順位付けし、発生した脅威を検出します。そのため、統合セキュリティ分析は、サイバー攻撃者が損害を引き起こす前に、最も深刻なセキュリティ脅威の一部を軽減するのに役立ちます。

今日の一般的なセキュリティ脅威

組織のデータを侵害や攻撃の危険にさらす可能性のあるセキュリティ脅威は、数多く存在します。すべてをカバーするとは言えませんが、ほとんどの組織が遭遇すると思われる最も重大な脅威をいくつかご紹介します。

ソーシャルエンジニアリング

データの流出は多くの場合、攻撃者が従業員を騙してログイン認証情報を提供させたり、キーストロークを記録するマルウェアをインストールさせたりすることによって起こります。フィッシング攻撃やソーシャルエンジニアリングの手口は、ますます巧妙化が進んでいます。そのため組織は、一瞬の判断ミスがネットワークのダウンを引き起こすことがないように、セキュリティ防御や従業員のトレーニングへの投資を強化する必要があります。

悪意ある内部者

最大級のサイバー脅威として、内部者が挙げられることが少なくありません。ネットワークへのアクセスが可能で、知的財産や設計図や重要データなどのビジネス資産に関する詳しい知識を持っているからです。従業員、パートナー、サードパーティベンダーなど自社データにアクセスできる人物は、一歩間違えば特権アクセスを悪用したり業務を混乱させたりする危険もあると考えて、特に注意を払う必要があります。

APTと高度なマルウェア

マルウェアの作成者は絶えずその手口を進化させており、ランサムウェア、APT攻撃、ファイルレスマルウェア攻撃、「ストーカーウェア」などの新しい形態が登場しています。ネットワークを保護するためには、マルウェアの行動をプロアクティブに予測し、攻撃を隔離し、自身の存在を隠す回避型の脅威を検出することができる、新たな方法に投資する必要があります。

DDoS攻撃

DDoS攻撃は、被害者のコンピューターやネットワークを大量の偽トラフィックで襲撃するものです。データへのアクセス不能、ネットワーク速度の低下、Webリソースの全面的シャットダウンなどにつながる恐れがあります。ビジネスへの巨額の損害を回避するには、高度なネットワークトラフィック分析に投資すると同時に、万一攻撃を受けてしまっても最適な防御の実施と業務継続が可能となる戦略を立てる必要があります。

修正プログラムが未適用の脆弱性

定期的に更新されていないプログラムは、修正プログラムが適用されていない脆弱性や未知の脆弱性を悪用しようとするサイバー攻撃者にとって格好の標的となります。ただし、これらの脅威は早期に検出して修復すれば、最も防ぎやすいとも言えます。

侵害された認証情報と脆弱な認証情報

侵害された認証情報は、依然として攻撃ベクトルの上位を占めています。これは特に、ユーザーが複数のアカウントに同じパスワードを使い回すことが原因です。多要素認証、パスワードマネージャー、そしてIDのベストプラクティスに関する包括的なユーザートレーニングなどの防御策により、この攻撃ベクトルからの侵入を最小限に抑えることができます。

IoT攻撃

ルーター、Webカメラ、ウェアラブル、医療機器、製造機器、自動車などの接続されたIoT(モノのインターネット)デバイスが存在すると、攻撃対象が大幅に拡大することになります。しかもそれらは十分なセキュリティ対策が不足していることが多いため、破壊的なサイバー攻撃の格好の標的となっています。ハッカーに乗っ取られたIoTデバイスは、ネットワークに過剰な負荷をかけたり、重要なインフラをロックダウンしたりして、システムに大きな打撃を与える恐れがあります。そのため、コネクテッドテクノロジーに依存している組織では、潜在的な攻撃を受けやすくするインフラストラクチャ内の脆弱性を監視するツールへの投資がますます求められています。

こうしたすべての脅威に対して、組織は防御だけでなく攻めの姿勢をとることも重要です。チームがプロアクティブなセキュリティ対策を講じる方法をいくつかご紹介します。

プロアクティブなセキュリティアプローチ

プロアクティブなサイバーセキュリティアプローチとは、攻撃を受ける前に、セキュリティ脅威や脆弱性を前もって特定して対処するアプローチです。このアプローチについては、サイバーキルチェーンやMITRE ATT&CKフレームワークなどの確立されたフレームワークが用意されています。セキュリティ担当者はそれらを利用することで、脅威の行動をさまざまなコンテキストで予測し、脅威に先手を打って対応することができます。

サイバーキルチェーン

サイバーキルチェーンとは、偵察からデータ流出に至るまで、サイバー攻撃のさまざまな段階について順を追って説明したものです。セキュリティアナリストやセキュリティ担当者が、攻撃者の行動や脅威のパターンを理解するのに役立ちます。

これは元来、武器メーカーであるLockheed Martin社が軍事防衛メカニズムとして考案したものです。今や進化を遂げて、マルウェア、ソーシャルエンジニアリング、APT、ランサムウェア、インサイダー攻撃などの幅広いセキュリティ脅威を予測して特定する手段へと発展しました。

サイバーキルチェーンは、中核となる8つの段階で構成されます。これらはサイバー攻撃のアクティビティを時系列に並べたものです。

• 偵察
• 侵入
• 悪用
• 権限のエスカレーション
• ラテラルムーブメント(横展開)
• 難読化/アンチフォレンジック
• サービスの妨害
• データ流出

MITRE ATT&CK

MITRE ATT&CKフレームワークは、実際の観測に基づいて攻撃の振る舞いを包括するナレッジベースとして一般に公開されています。MITRE ATT&CKフレームワークは、非営利組織のMITRE社が、米国政府、産業界、学術機関と協力して2013年に作成しました。

ATT&CKは「Adversarial Tactics, Techniques and Common Knowledge (敵対的戦術、技法、共有知識)」の略で、ネットワークへのサイバー攻撃で用いられる一般的な戦術と技法と手順(TTP)をまとめた資料です。ただし、特定の攻撃パターンや攻撃手順を示すものではありません。このフレームワークには、以下の14の戦術が含まれています。

• 初回アクセス
• 実行
• 持続性
• 権限のエスカレーション
• 防御回避
• 認証情報によるアクセス
• 検出
• ラテラルムーブメント(横展開)
• 収集
• データ流出
• コマンドアンドコントロール

これらのフレームワークは、脅威ハンティングなどのプロアクティブなセキュリティ対策に活用することができます。セキュリティチームが積極的にハッカーの先手を打つには、潜在的な侵害の兆候やITインフラストラクチャに潜むその他の脅威をプロアクティブに検索する必要があります。

脅威を取りまく今日の状況では、プロアクティブなアプローチの重要性がますます高まっていますが、セキュリティチームの主な目標は、検出と対応の取り組みを最大限に強化することです。脅威が組織に攻撃を仕掛けたら、セキュリティチームは攻撃をすぐに特定し、適切に対処できなくてはなりません。セキュリティ分析でこれを可能にする方法をいくつかご紹介します。

セキュリティ分析による検出と対応

セキュリティ分析ツールとテクノロジーを使うと、分散した多数のソースから収集した幅広いデータを分析できます。そのため、さまざまなアラートの異常やセキュリティインシデントを簡単に結び付けて敵対的な行動を認識でき、検出と対応の高速化に役立ちます。

これにより、以下のようなメリットが得られます。

• 幅広く多様なソースから収集した関連データをより適切に統合
• 複雑化が進むITインフラストラクチャと急速に変化する脅威の状況についての可視性の向上
• 検出機能およびフォレンジック機能の強化
• 最も重要な脅威に優先順位を付け、適切な行動を取る能力の向上
• 内部ネットワークの可視性と監視機能の強化
• HIPAAやPCI DSSなどの規制コンプライアンス環境に関する可視性の向上
• 継続的なポリシー改定など、コンプライアンス規制や業界基準を遵守する能力の強化

検出と対応ツールの効果を最大限に高めることで、セキュリティチームは次のことに集中できます。

• 内部脅威の検出：内部者は、機密データやシステムにアクセスするための認証情報を持っていることが多いため、企業にとって外部の攻撃者よりも大きな脅威になる可能性があります。セキュリティ分析を使用すると、通常とは異なるログイン時間、不正なデータベースリクエスト、メールの変則的な利用などの異常を検出しながら、データ盗難の兆候を探すことで、悪意ある内部者の先手を打つことができます。
• 不正なデータアクセス：ネットワークを出入りするデータに不正な動きがある場合、データの損失や盗難が発生している可能性があります。セキュリティ分析は、従来のデータ漏えい防止ソリューションでは見逃してしまうことの多いデータ流出を防ぐとともに、暗号化された通信内のデータ損失も見つけることができます。
• クラウドセキュリティの監視：クラウドはデジタルトランスフォーメーションの取り組みを加速し、運用を効率化する一方、攻撃対象を急速に拡大して多くの新たな脆弱性の余地を残すことで、サイバーセキュリティの新たな課題も生み出しています。セキュリティ分析は、クラウドでホストされているインフラストラクチャにおいて、脅威を洗い出すとともにデータを保護するクラウドアプリケーション監視を提供します。
• ネットワークトラフィック分析：ネットワークトラフィックは常に大量に移動しているため、セキュリティアナリストにとって、すべての通信やトランザクションの可視性を維持することは容易ではありません。セキュリティ分析はトラフィック全体を可視化するため、ネットワークのあらゆる異常を検出して分析できるだけでなく、クラウドセキュリティ監視ツールと連携してクラウド環境内の脅威を検出できます。

セキュリティ分析は全体像の把握を可能にする

攻撃対象が拡大するとともに脅威の環境が複雑さを増すにつれ、組織にとってデータ管理の困難さは必然的に高まり、攻撃者や脅威が検知をすり抜けてネットワークに侵入する余地が広がることになります。セキュリティ分析は、この問題に対応するものです。セキュリティ分析により、データ全体を集約して関連付けや分析を行うことで、脅威の環境を明確かつ包括的に可視化できます。その結果、データ侵害や組織への実害が発生するよりも十分に前の段階で、新たな攻撃を確認して防止できるようになるのです。

このブログはこちらの英語ブログの翻訳です。