Elasticの2022年版グローバル脅威レポート:進化する最新の脅威を乗り切るためのロードマップ

日本語
gtr-blog-image-720x420.png

セキュリティの現状を常に把握し、現在増加している脅威の実態を理解することは、ElasticのCISOという役職に就いている私にとって非常に重要です。その一環として、最新のセキュリティ脅威レポートを入念に確認し、脅威の傾向を明らかにして、悪意ある行為者が環境を侵害する手法について有益なインサイトを提供しています。

2022年版Elasticグローバル脅威レポートのような脅威インテリジェンスに関する資料は、サイバーセキュリティの脅威を特定および防止するための組織の可視性、機能、専門知識を評価する上で欠かせません。こういった資料は、次のような問いに対する答えを得るのに役立ちます。

  • このレポートで特定されている既存の脅威や新たな脅威は、自社の環境にどのような影響を及ぼすのか 
  • この新たな情報によってリスクプロファイルに変更が生じたり、リスク分析が影響を受けたりするのか
  • 自社の管理にどのような変更を加える必要があるのか
  • 可視性が不足している領域はあるか
  • 適切な検知が行われているか 
  • これらのインサイトはチームのワークフローにどのような影響を及ぼすのか

Elasticの脅威レポートでは、セキュリティ態勢を強化するために必要な連携を構築する際に役立つ現実的なロードマップを示しています。このロードマップは全体的なプログラムロードマップに影響を及ぼし、防御対策の調整、インシデントレスポンス計画のテスト、セキュリティオペレーションセンター(SOC)の最新情報の確認など、リソースを集中させる場所に優先順位を付ける上で役立ちます。最も重要なのは、"オープンで透明性が高くアクセスしやすいセキュリティをすべての組織に提供することが、サイバーセキュリティの脅威を防ぐカギとなる"というElasticの信念をこのレポートが強調している点です。

クラウドセキュリティの確認、そして再確認 

脅威関連のレポートでは、一般的にセキュリティにおける既存の傾向や事象の多くについて解説していますが、思いもかけないインサイトを示すこともあります。クラウドを利用することで、組織は大規模な事業展開を迅速に行えるようになっている一方で、脅威のアクターも攻撃対象をクラウドに移し続けているため、組織に生じたセキュリティギャップが潜在的な攻撃の余地となって残っています。

Elasticグローバル脅威レポートでは、すべてのマルウェア感染のうち約40%がLinuxエンドポイントで発生していることを指摘し、クラウドセキュリティ向上の必要性を強調しています。パブリッククラウドの上位10社のうち9社がLinux上で実行されているため、この統計はクラウドプロバイダーの標準的なセキュリティ設定だけに依存すべきではないという重要な注意喚起だと言えます。

調査結果では、さらに、クラウドで発生するセキュリティイベントの約57%がAWS、次いで22%がGoogle Cloud、21%がAzureに起因し、すべてのクラウドサービスプロバイダーで発生するクラウドアラートの3件に1件(33%)が認証情報アクセスに関連していることもわかっています。

これらのデータはクラウド環境を適切に保護する必要性の高まりを示していると同時に、"クラウドセキュリティ態勢管理(CSPM)をエンドポイントセキュリティと同様に進化させる必要がある"というElasticの考えを補強するものでもあります。

初期のエンドポイントセキュリティは、シンプルなアンチウイルスソフトウェアに依存しており、アンチウイルスシグネチャの品質が性能に直結していました。その後、巧妙化するマルウェアや脅威を防ぐために、機械学習や人工知能を使用する次世代アンチウイルスのような高度なテクノロジーを取り入れて進化してきました。CSPMも現在、同じような状況に直面しています。今はまだ、クラウドセキュリティについて学ぶべきことが数多くあり、新たな脅威にうまく対応するためにはテクノロジーと戦略を進化させ続けなければなりません。

Elasticグローバル脅威レポートでは、ネイティブツールや従来のセキュリティ戦術をクラウド環境に実装しても効果がないことを実証しており、進化する脅威の状況に適応するための推奨事項を提示しています。 

まずは基本から

セキュリティリーダーとチームは、このレポートから得られるインサイトを活用して優先事項を把握し、それに従ってワークフローを調整できるでしょう。

調査結果から、基本的なセキュリティ対策に焦点を当てて改善することが、セキュリティの成果を高めるために非常に重要である理由が明らかになっています。脆弱なパスワードやデフォルト設定を更新しないといった単純な要因によって組織の環境が危険にさらされることが、とても多いのです。セキュリティの基礎(IDやアクセス権の管理、パッチの適用、脅威のモデル化、パスワードに対する意識向上、多要素認証)を重視することは、単純な方法ですが、潜在的な脅威を防止し、保護を講じる上で効果的です。

オープンなセキュリティ開発 

組織はセキュリティに対してオープンなアプローチを取ることを検討する必要があります。たとえば、Elasticの脅威レポートには、最近公開された保護関連アーティファクトへのリンクが記載されています。ここでは、攻撃者のスパイ活動に必要なノウハウを特定するためにElasticが開発したエンドポイントの挙動ロジックがすべてのユーザーに公開されており、コミュニティで自由に利用できます。

このレポートでは、Elasticセキュリティの事前構築済み検知ルールが各クラウドサービスプロバイダーのMITRE ATT&CKマトリックスにどのようにマッピングされているかも説明しています。Elasticは設立当初からMITREフレームワークを採用しているため、検知ルールを業界標準にマッピングすることの重要性を理解しています。私のチームにとっても、幅広く奥深いElasticのセキュリティ態勢について詳細なインサイトを得る助けとなっています。

オープンな検知ルール、オープンなアーティファクト、オープンなコードが提供されているため、組織はセキュリティテクノロジースタックにおけるギャップへの対応や新たな脅威に対処するためのリスクプロファイルの開発に集中できます。セキュリティのオープン性と透明性がなければ、今後のサイバーセキュリティの脅威にさらされる危険性は高くなるでしょう。 

2022年版Elasticグローバル脅威レポートは、こちらからダウンロードできます。