『攻撃のターゲットにならない』ためのセキュリティ投資とは （前編）

『攻撃のターゲットにならない』というタイトルを見て、「そんなソリューションがあれば、とっくに導入している！」という感想を持たれると思います。

これこそが、最高のセキュリティ対策になるはずなのですが、最近までこのようなアプローチのソリューションが広く知れ渡ることはありませんでした。

ここで、予めお伝えしておきたいのは、これから記載する各種ソリューションを導入しても、『攻撃のターゲットにならない』状態を完全に実現することは困難です。しかし、『攻撃のターゲットになりにくい』状態にすることは実現することはできます。

より攻撃のターゲットになりにくい状態が実現可能なセキュリティソリューションは、これまでのものと何が異なるのでしょうか。

最も異なる点は、その“着眼点”です。

セキュリティ対策の“着眼点”とは？

まず、この図をご覧ください。

この図は、Mandiant社が定義しているサイバー攻撃のフローを図示したものです。サイバー攻撃は「情報収集」から始まり、各ステップを経て、「目的達成」で完結すると定義されています。

この図を見て、防御側はどのような考えを持って、セキュリティ対策を考えたらよいでしょうか。

サイバー攻撃が、このフローに沿って行われると仮定すれば、防御側の目的は、このフローのいずれかのステップを断ち切ること。これをセキュリティ対策として実装できれば、攻撃の目的達成を防ぐことが可能です。

既に、このブログをご覧になっている皆様が所属する組織では、様々なセキュリティ製品/サービスをご利用されていると思います。

皆様の組織で導入されているセキュリティ製品/サービスは、この攻撃のフローのどこのステップを断ち切る目的で導入されていますか？

これまでのセキュリティソリューションの“着眼点”

サイバー攻撃のフローの8個のステップを2つに分けて考えます。

攻撃の『前期段階』：“初期侵入”、“足場確立”、“権限昇格”

→　端末パソコンに侵入し、パソコンの管理者権限を奪取するまでのステップ

攻撃の『後期段階』：“内部偵察”、“水平展開”、“持続性確保”

→　目的の情報を収集するために浸潤を深めるステップ

このように整理すると、今のセキュリティ製品/サービスの分類や導入意義がもう少し明確になってくるはずです。

例えば、メールセキュリティ製品でしたら、“初期侵入”に利用される攻撃メールを防御/検知しますから、主に、攻撃の前期段階の“初期侵入”のステップのフローを断ち切る目的で導入されます。

例えば、EDR製品でしたら、侵入した端末から他の端末に対して内部偵察するコマンドなどを検知して、対応をする製品なので、主に、攻撃の後期段階の“内部偵察”のステップなどのフローを断ち切る目的で導入されます。

皆様の組織では、どのステップでサイバー攻撃を断ち切る目的で導入されているセキュリティ製品/サービスが多いですか？

これからのセキュリティソリューションの新たな“着眼点”

ここで、改めてサイバー攻撃のフローの図に目を向けてみます。

このフローには、上述した攻撃の『前期段階』/『後期段階』で包含されていないステップがあります。

それは、“情報収集”のステップです。

これから説明するのは、この“情報収集”のステップに着目したセキュリティ対策になります。

実際に、この“情報収集”のステップで、サイバー攻撃のフローを断ち切るというのは、どのような行動を指すのでしょうか。

攻撃者は、この“情報収集”のステップでは、攻撃対象とする組織がどのようなセキュリティ的な脆弱なポイントを外部に晒しているかを詳らかにし、その情報を元に攻撃のシナリオを構築していきます。

つまり、“情報収集”のステップで、攻撃を断ち切ろうとした場合、防御側が取るべきは、「攻撃者が攻撃のシナリオを作成する際に、調査するセキュリティ的な脆弱なポイントを抑え、その対応を行う」という極めてシンプルな行動です。

要するに、「外部に晒しているセキュリティ的な脆弱なポイントを極力排除し、攻撃者に攻撃させなければ良い」のです。

今、実は、この分野へのセキュリティ投資が非常に注目され、導入する組織が多くなっています。

具体的に、“情報収集”のステップで攻撃を断ち切るために有効なソリューションはどのようなものがあるか、次回ブログでは、その点について言及します。