サイバーセキュリティ分析とは？

セキュリティ分析(SA)プラットフォームとは、ネットワークトラフィック分析プラットフォームしても知られています。行動機械学習や分析テクノロジーに基づいて、プロアクティブなネットワークセキュリティ機能を提供するツールです。セキュリティ機能には、さまざまなセキュリティイベント、攻撃、脅威パターンの検出、監視、分析が含まれます。これらすべてが同じデータ構造を基盤として、1つのアプリケーション内で連携しながら機能します。セキュリティ分析プラットフォームは拡張性にも優れており、ビジネスの成長に伴い拡大を続けるネットワークや増加を続けるユーザー数にも対応できます。

セキュリティ分析プラットフォームが備える機能はそれぞれ異なりますが、多くの場合は以下のようなものです。

• ユーザーとエンティティの行動分析(UEBA)
• 自動またはオンデマンドのネットワークトラフィック分析
• 脅威インテリジェンス
• アプリケーションへのアクセスと分析
• DNS分析
• 電子メール分析
• IDとソーシャルペルソナ
• ファイルへのアクセス
• 位置情報、IPコンテキスト

セキュリティ分析プラットフォームによるメリットの1つは、管理者やアナリストが脅威環境や組織固有のニーズに基づいて既存の脅威モデルをカスタマイズしたり、まったく新しいモデルを作成したりできることです。関連するセキュリティ情報は、アクセスや利用が簡単にできるインターフェイスに見やすい形で表示されます。これにより、管理者は実用的なインサイトを手に入れ、優先順位を付けることで最も深刻な脅威から順に対応できます。

統合セキュリティ分析とは、機械学習、異常検出、予測リスクスコアリング、そしてデータサイエンスを組み合わせたセキュリティ分析アプローチです。セキュリティ脅威が存在する可能性を示す行動異常や疑わしいアクティビティを特定します。統合セキュリティ分析は、すべてのインシデントまたは検出されたアクティビティを対象として、統合された動的なリスクスコアを生成します。事前にプログラムされたモデルが用意されており、ユースケース、業種、脅威フレームワーク、コンプライアンス規制要件などの基準に従い、脅威を予測して検出するという仕組みです。これらのコンテキストに即したアラートがリスクを優先順位付けし、発生した脅威を検出します。そのため、統合セキュリティ分析は、サイバー攻撃者が損害を引き起こす前に、最も深刻なセキュリティ脅威の一部を軽減するのに役立ちます。

今は数多くのセキュリティ分析ツールが市場に出回っており、その多くは脅威を検出して優先順位を付けるだけでなく、対応戦略の策定、敵対的行動の分析、潜在的な攻撃に対する反復的な処理にも役立ちます。

標準的なセキュリティ分析ツールは、以下のような機能を備えています。

• 行動分析：行動分析は、ユーザー、アプリケーション、デバイスのパターンと行動傾向を調査し、セキュリティ侵害や攻撃を示す可能性のある、通常と異なる行動を特定したり異常を検出したりします。
• 外部の脅威インテリジェンス：外部のセキュリティサービス企業が、ポートフォリオの一部として脅威インテリジェンス(TI)を提供することがあります。TIプラットフォームは、それ自体がセキュリティ分析というわけではありませんが、分析プロセスを補完するものです。
• フォレンジック：フォレンジックツールは、過去または現在進行中の攻撃を調査し、攻撃者がシステムにどのように侵入して侵害したかを突き止めるとともに、将来の攻撃につながる可能性のあるセキュリティ上の脆弱性やサイバー脅威を特定するために使用されます。
• ネットワーク分析と可視性(NAV)：NAVは、ネットワークを流れるエンドユーザーとアプリケーションのトラフィックを分析するツール類を指します。
• セキュリティ情報/イベント管理(SIEM)：セキュリティ情報/イベント管理は、一連のツールを組み合わせて、ネットワークデバイスやアプリケーションによって生成されるセキュリティアラートをリアルタイムに分析します。
• セキュリティのオーケストレーションと自動化によるレスポンス(SOAR)：セキュリティのオーケストレーションと自動化によるレスポンス(SOAR)は、データ収集機能、分析、および脅威対応を1つにまとめるハブです。

組織はハードウェア、ソフトウェア、または仮想アプライアンスを選択できますが、これらは既存のインフラストラクチャを補完するとともに、そこに統合できる必要があります。セキュリティ分析ベンダーの中には、高度な持続的攻撃など、特定の種類の脅威に特化しているところもあります。また、医療や金融サービスなどに特化したベンダーで、HIPAAやPCI DSSといった規制へのコンプライアンス監査違反が懸念となる、特定の業種を対象としている場合もあります。

適切なセキュリティ分析ツールを見極めるためには、自社に必要な導入の種類と機能セット、自社または業界が日頃から直面している脅威の種類、そして予算内で最適なソリューションの種類を考慮する必要があります。

企業の「攻撃対象」には、公開ポイントと非公開ポイントの両方が含まれます。これらは「攻撃ベクトル」と呼ばれ、組織のデータと、そのデータに人間がアクセスするためのポイントを作るインターフェイスとの間に位置しています。「攻撃ベクトル」とは、攻撃者やマルウェアプログラムがネットワークやシステムに侵入して、データを盗み出したり侵害したりするために辿る可能性のある経路を意味します。

攻撃者は数多くの手口を使って、悪意ある目的で組織のネットワークに侵入することができます。広がり続ける攻撃対象としてハッカーに最大のチャンスを提供しているものには、例えば以下が挙げられます。

• IoTデバイスとコネクテッドデバイス：管理されていないIoTデバイスは、セキュリティポリシーやエンドポイント制御が不十分または皆無という状態になります。そのため、これらのデバイスがネットワークとどのように通信しているのか、セキュリティ担当者が把握するのは非常に困難です。つまり、そのようなデバイスは攻撃を受けやすくなる盲点となります。
• クラウドサーバーの設定ミス：クラウドサーバーの設定ミスは多くの場合、クラウドリソースの導入時に発生する単純なミスが原因です。攻撃者はこれを悪用してネットワークに容易に侵入可能となり、それによって組織のデータ全体が攻撃を受けやすくなります。クラウドサービスを導入する際に、適切なセキュリティ対策を講じていない企業が増えています。このような企業は、サーバーの設定ミスに起因するデータ侵害を受けるリスクも高くなります。
• 脆弱なモバイルデバイス：近年、モバイルアプリの脆弱性とモバイル脅威が増加しました。それにより、ノートPC、タブレット、スマートフォンを介してネットワークに侵入した攻撃者によるデータ損失や、なりすましのリスクにさらされる危険性を組織は抱えています。このような攻撃を防ぐために、環境内のモバイルアプリやインフラストラクチャを徹底的に調査して、セキュリティの脆弱性やプライバシーの問題がないかを確認する必要があります。

データがハイブリッド環境やマルチクラウド環境に分散している場合、組織内外の脅威を検出して優先順位を付け、組織内のリスクレベルを判断するための有意義なセキュリティインサイトを手に入れることがセキュリティチームにとって不可欠となります。しかし、データセットの分散化やサイロ化が進んでいるため、セキュリティ環境の全体像を把握したり、十分な防御策を講じるための適切なインサイトを手に入れたりすることが、セキュリティチームには困難となっています。

セキュリティ分析アプローチを使えば、ハイブリッド環境やマルチクラウド環境に伴って生じる可視性とデータに関する課題を、以下の方法で克服できます。

• データサイロをつなぐ：セキュリティ分析アプローチにより、管理者はさまざまなデータ形式を対象に、すべてのデータに対して包括的な、またはカスタマイズしたクエリーや検索を実行できます。これにより、サイロ化していたり種類が異なっていたり、あるいは極度に分散していたりという情報をつないで、有意義なセキュリティインサイトを生成できます。データ全体を把握することで、セキュリティチームはより多くの情報に基づいたリスクベースの意思決定を行い、それによって組織を保護するとともに望ましい効果を得ることができます。
• インシデント対応を自動化する：ハイブリッドクラウド環境では、脅威や異常を特定する業務にオーケストレーション機能を適用して、労力のかかる日常的な定型業務を自動化することが不可欠です。定型業務の自動化は、既知のセキュリティプロセスの合理化にも役立ちます。これによって管理者は、脅威の捕獲やフォレンジック調査といった優先度の高い業務に集中できます。
• 統合インターフェイスを提供する：セキュリティチームは膨大なセキュリティツールやテクノロジーを持て余していることが多く、セキュリティ業務の維持管理や報告はますます難しくなっています。セキュリティ分析アプローチは基本的に、1つの共通インターフェイスで動作するしくみです。管理者が対処すべきことを簡単に特定でき、タスクのシームレスな切り替えも可能です。これにより、対応のスピードと機敏性を高め、浮いた時間をより差し迫った問題の対処に使えるようになります。

多くの組織では、環境内のセキュリティツールの数が急速に増えています。そのほとんどは、欧州連合の一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法など、ますます厳しくなるコンプライアンス規制に対応するためのものです。

本来ならばセキュリティ分析が各チームの助けになるところですが、ここ数年の間にセキュリティソリューションやサービスが急増したことで、環境がさらに複雑なものになりました。その結果、セキュリティ脅威の特定と対応を遅延させる可能性のある障害や盲点が生じています。また、ばらばらで多種多様なポイントソリューションが急増したことで、CISO(最高情報セキュリティ責任者)は購入に対する適切な投資利益率(ROI)を示すうえで新たな課題に直面しており、将来のセキュリティインフラへの投資に疑問が出されている状況です。

その結果、運用を合理化し、リスクを特定して脅威に対処する時間を短縮し、セキュリティ投資のROI全体を向上させる手段として、多くの組織でセキュリティ環境の簡素化が進められています。

組織のデータを侵害や攻撃の危険にさらす可能性のあるセキュリティ脅威は、数多く存在します。すべてをカバーするとは言えませんが、ほとんどの組織が遭遇すると思われる最も重大な脅威をいくつかご紹介します。

• ソーシャルエンジニアリング：データの流出は多くの場合、攻撃者が従業員を騙してログイン資格情報を提供させたり、キーストロークを記録するマルウェアをインストールさせたりすることによって起こります。フィッシング攻撃やソーシャルエンジニアリングの手口は、ますます巧妙化が進んでいます。そのため組織は、一瞬の判断ミスがネットワークのダウンを引き起こすことがないように、セキュリティ防御や従業員のトレーニングへの投資を強化する必要があります。
• 悪意ある内部者：最大級のサイバー脅威として、内部者が挙げられることが少なくありません。ネットワークへのアクセスが可能で、知的財産や設計図や重要データなどのビジネス資産に関する詳しい知識を持っているからです。そのため、従業員、パートナー、サードパーティベンダーなど自社データにアクセスできる人物は、一歩間違えば特権アクセスを悪用したり業務を混乱させたりする危険もあると考えて、特に注意を払う必要があります。
• APTと高度なマルウェア：マルウェアの作成者は絶えずその手口を進化させており、ランサムウェア、APT攻撃、ファイルレスマルウェア攻撃、「ストーカーウェア」などの新しい形態が登場しています。ネットワークを保護するためには、マルウェアの行動をプロアクティブに予測し、攻撃を隔離し、自身の存在を隠す回避型の脅威を検出することができる、新たな方法に投資する必要があります。
• DDoS攻撃：DDoS攻撃は、被害者のコンピューターやネットワークを大量の偽トラフィックで襲撃するものです。データへのアクセス不能、ネットワーク速度の低下、Webリソースの全面的シャットダウンなどにつながる恐れがあります。ビジネスへの巨額の損害を回避するには、高度なネットワークトラフィック分析に投資すると同時に、万一攻撃を受けてしまっても最適な防御の実施と業務継続が可能となる戦略を立てる必要があります。
• 修正プログラムが未適用の脆弱性：定期的に更新されていないプログラムは、修正プログラムが適用されていない脆弱性や未知の脆弱性を悪用しようとするサイバー攻撃者にとって格好の標的となります。ただし、これらの脅威は早期に検出して修復すれば、最も防ぎやすいとも言えます。
• 侵害された資格情報と脆弱な資格情報：侵害された資格情報は、依然として攻撃ベクトルの上位を占めています。これは特に、ユーザーが複数のアカウントに同じパスワードを使い回すことが原因です。多要素認証、パスワードマネージャー、そしてIDのベストプラクティスに関する包括的なユーザートレーニングなどの防御策により、この攻撃ベクトルからの侵入を最小限に抑えることができます。
• IoT攻撃：ルーター、Webカメラ、ウェアラブル、医療機器、製造機器、自動車などの接続されたIoT(モノのインターネット)デバイスが存在すると、攻撃対象が大幅に拡大することになります。しかもそれらは十分なセキュリティ対策が不足していることが多いため、破壊的なサイバー攻撃の格好の標的となっています。ハッカーに乗っ取られたIoTデバイスは、ネットワークに過剰な負荷をかけたり、重要なインフラをロックダウンしたりして、システムに大きな打撃を与える恐れがあります。そのため、コネクテッドテクノロジーに依存している組織では、潜在的な攻撃を受けやすくするインフラストラクチャ内の脆弱性を監視するツールへの投資がますます求められています。

プロアクティブなサイバーセキュリティアプローチとは、攻撃を受ける前に、セキュリティ脅威や脆弱性を前もって特定、分析して対処するアプローチです。このアプローチについては、サイバーキルチェーンやMITRE ATT&CKフレームワークなどの確立されたフレームワークが用意されています。セキュリティ担当者はそれらを利用することで、脅威の行動をさまざまなコンテキストで予測し、脅威に先手を打って対応することができます。

サイバーキルチェーンとは、偵察からデータ流出に至るまで、サイバー攻撃のさまざまな段階について順を追って説明したものです。セキュリティアナリストやセキュリティ担当者が、攻撃者の行動や脅威のパターンを分析し、理解するのに役立ちます。これは元来、武器メーカーであるLockheed Martin社が軍事防衛メカニズムとして考案したものです。今や進化を遂げて、マルウェア、ソーシャルエンジニアリング、APT、ランサムウェア、インサイダー攻撃などの幅広いセキュリティ脅威を予測して特定する手段へと発展しました。

サイバーキルチェーンは、中核となる8つの段階で構成されます。これらはサイバー攻撃のアクティビティを時系列に並べたものです。

• 偵察
• 侵入
• 悪用
• 権限のエスカレーション
• 横方向移動
• 難読化/アンチフォレンジック
• サービスの妨害
• データ流出

MITRE ATT&CKフレームワークは、実際の観測に基づいて攻撃の振る舞いを包括するナレッジベースとして一般に公開されています。MITRE ATT&CKフレームワークは、非営利組織のMITRE社が、米国政府、産業界、学術機関と協力して2013年に作成しました。ATT&CKは「Adversarial Tactics, Techniques and Common Knowledge (敵対的戦術、技法、共有知識)」の略で、ネットワークへのサイバー攻撃で一般的に用いられる戦術と技法と手順(TTP)をまとめた資料です。ただし、特定の攻撃パターンや攻撃手順を示すものではありません。

• 初回アクセス
• 実行
• 持続性
• 権限のエスカレーション
• 防御回避
• 資格情報によるアクセス
• 検出
• 横方向移動
• 収集
• データ流出
• コマンドアンドコントロール

セキュリティ分析ツールとテクノロジーを使うと、分散した多数のソースから収集した幅広いデータを分析できます。そのため、さまざまなアラートの異常やセキュリティインシデントを簡単に結び付けて敵対的な行動を認識でき、検出と対応の高速化に役立ちます。

セキュリティ分析プラットフォームを使えば、以下のようなメリットが得られます。

• 幅広く多様なソースから収集した関連データをより適切に統合
• 複雑化が進むITインフラストラクチャと急速に変化する脅威の状況についての可視性の向上
• 検出機能およびフォレンジック機能の強化
• 最も重要な脅威に優先順位を付け、適切な行動を取る能力の向上
• 内部ネットワークの可視性と監視機能の強化
• HIPAAやPCI DSSなどの規制コンプライアンス環境に関する可視性の向上
• 継続的なポリシー改定など、コンプライアンス規制や業界基準を遵守する能力の強化

セキュリティ分析には、ネットワークの可視性の向上から脅威の検出、従業員の監視に至るまで、関連する多くのユースケースがあります。ここでは、最も一般的なセキュリティ分析のユースケースをいくつかご紹介します。

• 脅威の捕獲：セキュリティチームが積極的にハッカーの先手を打つには、潜在的な侵害の兆候やITインフラストラクチャに潜むその他の脅威をプロアクティブに検索する必要があります。セキュリティ分析はこれらの作業を自動化できるだけでなく、特定の種類の回避型マルウェアを検出する際にも役立ちます。
• 内部脅威の検出：内部者は、機密データやシステムにアクセスするための資格情報を持っていることが多いため、企業にとって外部の攻撃者よりも大きな脅威になる可能性があります。セキュリティ分析を使用すると、通常とは異なるログイン時間、不正なデータベースリクエスト、メールの変則的な利用などの異常を検出しながら、データ盗難の兆候を探すことで、悪意ある内部者の先手を打つことができます。
• 不正なデータアクセス：ネットワークを出入りするデータに不正な動きがある場合、データの損失や盗難が発生している可能性があります。セキュリティ分析は、従来のデータ漏えい防止ソリューションでは見逃してしまうことの多いデータ流出を防ぐとともに、暗号化された通信内のデータ損失も見つけることができます。
• クラウドセキュリティの監視：クラウドはデジタルトランスフォーメーションの取り組みを加速し、運用を効率化する一方、攻撃対象を急速に拡大して多くの新たな脆弱性の余地を残すことで、サイバーセキュリティの新たな課題も生み出しています。セキュリティ分析は、クラウドでホストされているインフラストラクチャにおいて、脅威を洗い出すとともにデータを保護するクラウドアプリケーション監視を提供します。
• ネットワークトラフィック分析：ネットワークトラフィックは常に大量に移動しているため、セキュリティアナリストにとって、すべての通信やトランザクションの可視性を維持することは容易ではありません。セキュリティ分析はトラフィック全体を可視化するため、ネットワークのあらゆる異常を検出して分析できるだけでなく、クラウドセキュリティ監視ツールと連携してクラウド環境内の脅威を検出できます。

攻撃対象が拡大するとともに脅威の環境が複雑さを増すにつれ、組織にとってデータ管理の困難さは必然的に高まりました。攻撃者や脅威が検知をすり抜けてネットワークに侵入する余地が広がることになります。セキュリティ分析は、この問題に対応するものです。セキュリティ分析により、データ全体を集約して関連付けや分析を行うことで、脅威の環境を明確かつ包括的に可視化できます。その結果、データ侵害や組織への実害が発生するよりも十分に前の段階で、新たな攻撃を確認して防止できるようになるのです。