本記事は、Ann Johnson (Vice President、Enterprise Cybersecurity Group) による Microsoft Secure Blog への投稿 “Microsoft’s perspective on cyber resilience” (2017 年 8 月 23 日 米国時間公開) を翻訳したものです。
最近発生したランサムウェアの流行をきっかけに、影響を受けた企業がサイバー レジリエンスの計画と実施に関する考えをどう進化させたのかを理解したいと思っていました。そこで、お客様のサイバー攻撃への対応と回復をプロアクティブかつリアルタイムに支援するマイクロソフトの Detection and Response Team に依頼し、彼らの経験を共有してもらいました。以下に、チームが共有してくれたお客様のシナリオをいくつか匿名化して紹介しています。これらのシナリオでは、サイバー レジリエンス計画の緊急の必要性が提示されています。
それに続き、最先端の攻撃に直面した時に、お客様がさらに俊敏に動けるよう支援するマイクロソフトの能力に関する参照フレームワークを紹介します。言い換えると、この投稿ではサイバー レジリエンス確立への道のりを示します。
サイバー レジリエンスが重要な理由
世界中の組織は、個人およびビジネス関連のタスクを遂行する上でテクノロジに大きく依存しています。暦年 2017 年の 第 1 四半期の終わりには、全世界で 37 億人以上のインターネット ユーザー (英語情報) が存在し、その数は増え続けています。インターネットの普及が進むにつれて、攻撃対象も増加しています。現在のサイバーセキュリティの脅威ランドスケープは、人と資産に現実的な危険をもたらします。そのため、組織はアクセス許可とリスク管理のバランスを維持する必要があります。通常、企業組織のサイバーセキュリティに対するアプローチは、“保護” と “インシデント対応” を目的としたツール、テクノロジおよび人材の実装です。これが重要である一方、サイバーセキュリティのツールやテクノロジを実装する根本的な理由は事業継続です。企業組織は、戦略的なレベルで基幹システム、IT インフラストラクチャ、およびデータ センターを要塞化する方法の “全体像” を検討し、ダウンタイムを引き起こす人的エラーやサイバー脅威に直面した場合の回復力を保持するよう備えるべきです。ここでサイバー レジリエンス戦略の出番が来ます。組織は、セキュリティ インシデントが発生した場合でも事業継続を確保するために、自身のビジネス ニーズに沿ったサイバー レジリエンス戦略を構築し、サイバー レジリエンス プログラムを実行する必要があります。
アクセンチュア社の “State of Cybersecurity and Digital Trust” (英語情報) によると、調査へ参加した人の 75% がサイバーセキュリティの信頼度は高いと回答する一方、自組織がセキュリティ違反を監視する能力を信頼しているのはたったの 37%、サービス中断の最小化に関しては 36% でした。ガートナー社によるとダウンタイムにかかるコストの平均は 1 分あたり 5,600 米国ドル (英語情報)、つまり 1 時間あたり 300,000 米国ドルを超えます。ダウンタイムの原因で最も多いのは、人的エラーです。ある研究によると、ダウンタイムの原因の 75% が人的エラーによるもの (英語情報) と結論付けています。
未だかつてないほど組織が IT に依存している状況で、事業継続と災害対応 (BCDR) を IT チームのみに関連する問題としてではなく、組織全体にとって必須の要素として認識することが重要です。すべての企業組織は、不測の事態に起因する機能の停止状態に対応できるよう備える必要があります。基幹アプリケーションおよびサービスの中断は、生産性と運用の停止、収益減、および組織に対する顧客の信用の低下を引き起こす可能性があります。強力なサイバー レジリエンス計画が効果的に実行されれば、組織のコンピューター システム、IT インフラストラクチャおよびデータ センターはサイバー脅威と人的エラーに対抗することができます。
サイバー レジリエンスのシナリオ
サイバー攻撃やデータ漏えいに悩まされた組織に関する目新しい話はたくさんあります。サイバー レジリエンスを支援する戦略を立て、行動を取ることで、そのようなインシデントによる被害の範囲を減らし、回復コストを下げることができる可能性があります。
例 1 - 全世界的に複数の組織がランサムウェアに感染
2017 年の前半のランサムウェア攻撃によって、たとえランサムウェアでロックダウンされていても、重要な IP、システム、およびインフラストラクチャにアクセスできることの必要性が強調されました。ランサムウェアの WannaCry は、一定時間、生産停止を余儀なくされた自動車工場など、世界中で複数の業界や企業に影響を及ぼしました。攻撃の誘因にかかわらず、影響を受けた企業にとっては計画外のダウンタイムと回復コストをもたらす結果となったことは明らかです。
ここで重要なポイントは、ランサムウェアがどのような種類の組織に対しても影響を与えられるということです。コンピューター システムに修正プログラムを適用して最新の状態を保ち、定期的にデータのバックアップを取り、十分に検証した災害復旧計画を作成し、直接雇用の従業員や請負業者にサイバー脅威 (例えば、フィッシングやランサムウェア) に関する教育を提供することで、少なくともそのようなインシデントによる被害の範囲を減らすことに役立ちます。
例 2: 米国の医療産業で引き続きデータ漏えいが発生
医療データへのアクセスに成功したサイバー犯罪者が、利益を得る目的でそのデータを使用して詐欺や ID の盗難を実行するため、医療産業では引き続きサイバー攻撃がある程度の影響を及ぼしています。また、多くの場合、個人データには患者の病歴が含まれており、標的型のスピアフィッシング攻撃に使用される可能性があります。2017 年 8 月 9 日現在、米国保健福祉省の HIPPA 違反レポート ツールの Web サイト (しばしば “wall of shame” と呼ばれている) では、2009 年以来、合計 2,018 件の違反が確認できます。医療データ漏えいに影響を受けた個人の数は近年急増し、2014 年 5 月 30 日には 3,150 万人だったのが、2017 年 8 月 9 日には 1 億 7500 万人になりました (英語情報)。
これらの傾向と統計から得られる教訓は 3 つあります。まず、医療従事者と患者はできる限り不審なやり取り (詐欺、フィッシング メールなど) および ID 盗難事件に注意し、IT 組織に報告する必要があります。もう 1 つのポイントは、個人の医療および識別情報は、明示的な共有要件 (例えば、健康診断や医療処置を受けるために患者が身分証明書を提示する、など) がない限り開示されるべきではないということです。最後に、データ区分と情報保護ソリューションの使用によって、ライフサイクル全般にわたり秘匿性の高い情報を保護し、暴露の影響を減らせる可能性があります。
例 3: 人的エラーにより金融サービス会社で顧客情報の漏えいが発生
金融サービスおよび銀行業界では、他の業界に比べてインフラストラクチャおよびデータに対して比較的厳しい監視および規制が導入されているにもかかわらず、引き続きデータ漏えいの影響を受けています。2017 年の初めに、金融サービス会社が何千人もの顧客の機密情報を含むデータベースを不注意で一般に公開する事象が発生しました。その会社は、サード パーティ ベンダーの人的エラーによりインシデントが起こったと主張しています。
ここで得られる教えは、組織がそのネットワークとデータにアクセスできるすべての請負業者に対して責任を課すことが重要だということです。例えば、Petya ランサムウェアの流行時にも明るみに出た重要課題ですが、サード パーティの請負業者が組織のサイバーセキュリティ ポリシーに従っておらず、これが危機の根本原因となりました。
サイバー レジリエンス プログラムの検討
企業組織において、コンピューター システム、IT インフラストラクチャ、およびデータ センターが人的エラー、サイバー脅威、およびサイバー攻撃による被害に対抗する能力を強化するために、人、プロセス、およびクラウド サービスの連携を活用するサイバー レジリエンス プログラムを検討することを推奨します。
人
常勤の従業員、コンサルタント、および請負業者を含む、企業ネットワークへアクセスできる人は全員、サイバー レジリエンスに対する考え方を育てるために定期的に訓練を受ける必要があります。これには、ID ベースのアクセス制御に関連する IT セキュリティ ポリシーの順守だけでなく、復旧までの時間を最短にするために、疑わしいイベントや感染についてできる限り早く IT 部門へ報告することも含まれます。
プロセス
組織では、サイバー レジリエンスに対する方針を効果的に進めるために、いくつかのプロセスの実装を検討すべきです。IT セキュリティ ポリシーとして実装できるものもあります。下の表で、推奨のプロセスを紹介します。
クラウド サービス
サイバー レジリエンスを維持するためには、推奨するプロセスが、会社のリスク処理のしきい値と、人による取り組みおよびテクノロジ製品やサービスの連携を通した経営上のプロセスを実行する能力に基づいて、定期的に実行される必要があります。
幸運なことに、クラウド サービスに基づいたアーキテクチャは、オンプレミス インフラストラクチャの迅速な再構築や、ミラー化済みのインフラストラクチャへのフェール オーバーに使用することができます。クラウド サービスを採用する際の重要な検討事項は、プロバイダーがどのように評価を実施しているかを確認すること、また、第三者による監査や認証を参考にプロバイダーの実績を確認することです。
Microsoft Azure および Office 365 のようなクラウド サービスは、少なくともお客様のサイバー レジリエンスのニーズを支援するための第一歩としての役割を果たします。
| プロセス | 説明 | Microsoft のサービス |
|---|---|---|
| 早期警告およびアラート システム | 組織は、疑わしいまたは調査に値する電子情報に関する早期警告およびアラートを受領する。 | Azure: Azure Security Center は、Azure リソースから電子情報開示に使用可能なログ データを自動的に収集、分析、および統合します。 Office 365: Office 365 の電子情報開示を使用して、Exchange Online のメールボックス、Office 365 グループ、Microsoft Teams、SharePoint Online のサイト、Skype for Business の会話のコンテンツを検索できます。 |
| 災害復旧および事業継続計画へのサイバー関連インシデントの組み込み | 既存の災害復旧および事業継続計画にサイバー関連インシデントを組み込み、それらのインシデントに対して、従来の天災よりも高い発生可能性を割り当てる。 | Azure: セカンダリ インフラストラクチャに対して費用をかけることなく、すべての主要な IT システムに災害復旧対策を実装する予定がある場合、マイクロソフトでは、組織が Azure でセキュリティ保護、高可用性、高性能、耐障害性を備えたソリューションを設計、実装するために役立つアーキテクチャを複数提供しています。 Office 365: Office 365 のオファリングは、高いサービスのレベルを保証するために、回復力の高いシステムによって提供されます。サービス継続性の提供は、Office 365 のシステム設計の一部です。これらの備えにより、Office 365 は、ハードウェアやアプリケーションの障害、データ破損、ユーザーに影響を与えるその他のインシデントといった予期しない事態から迅速に復旧できます。サービス継続性ソリューションは、重大なサービス停止 (たとえば、自然災害やインシデントによって、ある Microsoft のデータ センター全体が使用不能になった場合など) の際にも適用されます。 |
| プラットフォームのセキュリティ強化 | ハッキングの試行に対してプラットフォームをロック ダウンする。 | Azure: プラットフォームのセキュリティ強化の観点から、マイクロソフトは侵入テストおよびレッド チームを通して自らの内部評価を行っています。マイクロソフトでは、Microsoft Azure と Office 365 のセキュリティを検証および強化するために、レッド チームが実施している実際の侵害のシミュレーション、24 時間体制でのセキュリティ監視、およびセキュリティ インシデント対応を実施しています。お客様が安全な方法で基幹アプリケーションおよび重要なデータにアクセスできる堅牢なクラウド プラットフォームを提供することを目指しています。 Office 365: Office 365 はセキュリティが強化されたサービスであり、マイクロソフトのセキュリティ開発ライフサイクルに従って設計されています。マイクロソフトは、エンタープライズ ソフトウェアの構築とオンライン サービスの管理における 20 年の経験から得られたベスト プラクティスをまとめて、統合された SaaS (Software as a Service) ソリューションをお客様に提供します。 |
| 電子メールへのサイバー脅威に対する保護 | ユーザーが疑わしい、あるいは悪意のある電子メール (例えば、フィッシング目的) の Web リンクや添付ファイルを開くことを検出し保護するための、セキュリティ ポリシーを実装する。 | Office 365: Office 365 Advanced Threat Protection は、未知の高度な攻撃からメールボックスをリアルタイムで保護します。危険な添付ファイルを開かないよう防御すると共に、悪意のあるリンクに対する保護を拡大することによって、Exchange Online Protection のセキュリティ機能を補完し、ゼロデイ攻撃に対する防御を強化します。 |
| アクセスの制御 | リスクを減らすために、データおよびアプリケーションへのアクセスを制限する。 | Azure: Azure Multi-Factor Authentication では、データとアプリケーションへのアクセスを保護するとともに、シンプルなサインイン プロセスを求める顧客にも対応できます。電話、テキスト メッセージ、モバイル アプリ通知などの各種の簡単な確認オプションにより認証を強化し、お客様に最も合った方法を提供できます。 Office 365: Multi-Factor Authentication for Office 365 (英語情報) は、Office 365 への安全なアクセスを提供します。単にパスワードだけではなく、それ以上にクラウド サービスへのユーザー ログインのセキュリティを強化します。ユーザーは、パスワードを正しく入力した後、スマートフォンで通話、テキスト メッセージ、またはアプリ通知を確認するように求められます。この第 2 の認証要素が認証された場合のみ、ユーザーはサインインすることができます。 |
| 認証されていないシステムを検出し、対抗する | 認証されていないシステムに条件付きアクセスベースのセキュリティ防御策を適用する | Azure: 条件付きアクセスは、特定の条件に基づいて環境内のアプリへのアクセスに対してコントロールを適用できるようにする Azure Active Directory の機能です。コントロールを使用して、アクセスに要件を追加するか、アクセスをブロックできます。条件付きアクセスの実装は、ポリシーに基づいています。ポリシー ベースのアプローチはアクセス要件を考慮する道筋に沿っているため、その構成エクスペリエンスは単純です。 Office 365: Office 365 のデバイス正常性構成証明 (DHA) は、企業が運用コストへの最低限の影響または影響なしに、組織のセキュリティ バーをハードウェア監視および証明されたセキュリティの水準まで引き上げることを可能にします。以下について、DHA を使用してデバイスの正常性を評価することができます。- TPM 1.2 または 2.0 をサポートする Windows 10 および Windows 10 Mobile デバイス。 - インターネットにアクセスできる Active Directory を使用して管理されているオンプレミスのデバイス、インターネットへのアクセスなしに Active Directory を使用して管理されているデバイス、Azure Active Directory で管理されているデバイス、または Active Directory と Azure Active Directory の両方を使用しているハイブリッドな展開。 |
| 脆弱性評価 | 組織にとって最もリスクの高い脆弱性に対する緩和対策に注力できるよう、深刻度に沿って脆弱性を理解する。 | Azure: Azure Security Center の脆弱性評価は、Security Center の仮想マシン (VM) に関する推奨事項の一部です。Security Center では、VM に脆弱性評価ソリューションがインストールされていることを確認できない場合、インストールを勧めるメッセージが表示されます。 |
| ソフトウェア更新と修正プログラムの適用 | 新しい更新プログラムが利用可能になった場合、ベンダーのソフトウェアに継続的に修正を適用して、攻撃の可能性を減らすか、少なくとも被った被害を軽減する。 | Azure: Microsoft Azure でアプリケーションをホストすることは、企業のシステム管理負担を軽減するだけではありません。システムの更新とサーバーを最新の状態に保つことができます。新しいセキュリティの脆弱性が確認されると、マイクロソフトは自動的に Microsoft Azure ロールに更新プログラムを適用します (そのように構成されている場合)。管理者は、マイクロソフトがロール (インスタンス) を常に最新の状態に維持し、更新プログラムが利用可能になったらすぐに適用するよう選択することで、企業の管理負担を大幅に削減できます。 Office 365: Microsoft Office 365 ProPlus ソフトウェアは、(組織の設定に基づき) インターネットまたはオンプレミスの場所から自動的に更新プログラムを受信することができます。 |
| ID ベースのアクセス制御 | アプリケーションおよびリソースへのアクセスを、エンド ツー エンドで保護する: 企業のデータセンターおよびクラウドまで。 | Azure: マイクロソフトの ID とアクセスの管理ソリューションは、データセンターとクラウドにおける ID の一元管理を実現します。- Azure Active Directory クラウドの ID およびアクセス管理ソリューション - Azure Active Directory Premium を使用して数千のクラウド アプリにシングル サインオンし、オンプレミスで実行する Web アプリへアクセスします。使いやすいよう構築された Azure Active Directory 管理ツールは、コラボレーションを可能にし、全体的な ID 保護と適応型のアクセス制御を提供します。 - Azure Active Directory B2C - クラウド ID サービスは、どのお客様ともつながりを持つことを可能にします。世界中の政府機関や企業で利用されており、住民や顧客にエクスペリエンスが完全にカスタマイズ可能なアプリケーションを提供しながら、同時にその個人情報の保護を実現しています。 Office 365: Office 365 では、クラウドベースのユーザー認証サービスである Azure Active Directory を使って、ユーザーを管理します。ユーザー アカウントのセットアップと管理を行う場合は、Office 365 で以下に挙げる主要な 3 つの ID モデルから選ぶことができます。- クラウド ID。ユーザー アカウントの管理は Office 365 でのみ行います。ユーザーを管理するためにオンプレミス サーバーは必要なく、すべてクラウドで行われます。 - 同期 ID。オンプレミス ディレクトリ オブジェクトを Office 365 に同期して、ユーザーをオンプレミスで管理します。また、ユーザーがオンプレミスとクラウドで同じパスワードを使用できるように、パスワードを同期させることもできます。ただし、Office 365 を使うためには、もう一度サインインする必要があります。 - フェデレーション ID。オンプレミス ディレクトリ オブジェクトを Office 365 に同期して、ユーザーをオンプレミスで管理します。ユーザーは、オンプレミスとクラウドで同じパスワードを使用でき、Office 365 を使うためにもう一度サインインする必要はありません。これは、一般的にシングル サインオンと呼ばれます。 |
| 定期的なデータのバックアップ | 組織がランサムウェアやその他のサイバー脅威に影響を受けた場合に備えて、データをバックアップする。 | Azure: Azure Backup は、防止、アラート、および復旧などの機能を通じてハイブリッド バックアップの保護を可能にします。 Office 365: OneDrive for Business は Office 365 の重要な一部で、クラウド内に作業ファイルの保存、共有、同期を行うことができる場所を提供しています。また、ファイルのインクリメンタル リストアも可能です。 |
| 管理資格情報の保護 | 管理資格情報を侵害や誤用から守る。 | - Azure および Office 365 を含む Microsoft クラウド サービスは、信頼とセキュリティという基盤の上に構築されています。以下を含む多くの原則が、私たちのクラウド サービスに当てはまります。 - マイクロソフトは、お客様のデータおよびアプリケーションを保護するために、セキュリティ コントロールと機能を提供します。 - お客様自身がデータおよび ID を所有し、それらの保護、オンプレミスのリソースのセキュリティ、および制御するクラウド コンポーネントのセキュリティに責任を持ちます。 |
マイクロソフトとエコシステムとの連携
サイバー レジリエンスは、私たちが単独で対処できる問題ではありません。私たちのコミットメントは、お客様が既に使用しているテクノロジ上で、マイクロソフト製品が正しく動くことを保証することです。マイクロソフトは、業界の水準を共に引き上げるパートナーと一緒に、活力あるエコシステムを促進しています。テクノロジのパートナー ネットワークを通じて、プロアクティブな脆弱性ツールと、アプリケーション ファイアウォールおよび脅威検知などの潤沢な機能を備えたソリューションをお客様に提供することができます。また、特定のお客様のサイバー レジリエンスのニーズや業界規制を満たすために、お客様および業界標準団体と広範囲にわたってコラボレーションしています。マイクロソフトは、オペレーティング システム、そして最近ではクラウド プラットフォームである Azure がサイバー脅威に対して機能強化されていることを実証するために、Center for Internet Security (CIS) と協業しています。現在、Azure が CIS ベンチマークの要件を満たすことを目標にしています。CIS ベンチマークは、政府、業界、および学界で開発され受け入れられている、唯一の合意に基づくベストプラクティスのセキュリティ構成ガイドです。さらに、マイクロソフトのオファリングが SANS Critical Security Controls の推奨事項と合致するよう積極的に取り組んでいます。SANS Critical Security Controls とは、今日のインターネットの世界に存在する最も重要な実際の脅威に備えるために、各組織が利用する基準です。
サマリー
サイバー レジリエンス プログラムを開発し実行することは簡単なことではありません。それは終着点ではなく、道のりです。組織が重点的に取り組み、コミットし、努力する必要があります。このトピックに関する追加の詳細なガイダンスについては、今年の後半に公開される予定のホワイトペーパーにご期待ください。
Ann Johnson, Vice President Enterprise & Cybersecurity