サイバー脅威を予防して監視し、対応する

学習の目的

この単元を完了すると、次のことができるようになります。

• 脅威インテリジェンスチームの責務について説明する。
  
• サイバー脅威の防止、検出、対応に必要な主なスキルを挙げる。
  

脅威インテリジェンスチームと連携してサイバー脅威に対処する

サイバー犯罪者は絶えず攻撃の策を凝らして、セキュリティチームを出し抜いています。セキュリティ侵害を未然に防ぐには、新種の攻撃ベクトルをすばやく特定して、脅威の新たな手口を見出し、絶えず変化する脅威の状況に対処可能なセキュリティチームの存在が欠かせません。 

組織が新たな脅威を効率的に検出するためには、さまざまなリソースと最新の検出技法を駆使する必要があります。昨今の組織は、異常な動作を特定し、これまで出現したことのないゼロデー攻撃の防止に向けて、機械学習や人工知能テクノロジーへの依存を高めています。こうしたテクノロジーには、さまざまな脅威のインテリジェンスや運用データを取り込んで回帰テストや分析を実行し、異常を示す高精度のシグナルを発してさらなる調査を促す検知システムが搭載されています。

優秀な脅威インテリジェンスチームは、機械学習を駆使して脅威を検出するほか、悪意のあるアクティビティを未然に捉えるために組織のインフラストラクチャ全体に目を光らせています。さらに、過去に重要な役員や事業運営に関わる情報やデータが盗取されたことがある場合には、そうした情報がソーシャルエンジニアリングやスピアフィッシング、詐欺などに使用されるおそれがあるため、インターネット、ソーシャルメディア、ダークウェブを徹底的に調査します。有益なリソースとして、Mitre Att&ck Framework が、敵対者が用いる一般的な手口に関する情報を公開しています。

サイバー脅威を予防して検出し、対応する

深刻な侵害はもはや「発生するかどうか」ではなく、「いつ起こるか」という問題です。賢明な組織は、リスクを評価してサイバー攻撃に対処するために、次の 3 点のビジネスコンテキストに合わせてカスタマイズした、リスクベースの堅牢なアプローチを開発しています。

• 脅威インテリジェンスを実践する人材や組織
  
• インテリジェンスを効率的に管理するためのプロセスや手順
  
• 導入するテクノロジー
  

大規模な組織では、一部の複雑なサービス (侵入テスト、セキュリティオペレーションセンター、脅威の捕獲など) を担当する社内のサイバーセキュリティ専門職を雇うことが少なくありません。中小企業の多くは、外部のセキュリティ管理サービスプロバイダーに委託しています。賢明な企業はセキュリティサービスの委託を検討する際にデューデリジェンスを実施して、評判の良いサービスプロバイダーと提携し、詳細なサービスレベル契約を締結します。 

サイバー脅威に対処するときは、次の 3 本柱のアプローチによって企業のリスクを軽減することができます。

1. 予防。予防策は、組織のセキュリティポリシーや意識向上プログラムから、技術チームが実際に使用するアクセス制御まで、体系的に展開されている必要があります。
   
2. 検出。侵害を遅滞なく検出して通知する適切なコントロールを選択して実装することが極めて重要です。強力な組織は重要なアセットを監視しています。
   
3. 対応。脅威を検出しても対処しなければ意味がありません。効率的な組織はセキュリティインシデントに遅滞なく対応して、ビジネスへの影響を軽減しています。
   

まとめ

この単元では、サイバー脅威を防止して検出し、対応する方法を学習しました。具体的には、賢明な組織が脅威インテリジェンスチームと連携して、不審なアクティビティを検知し、インシデントに対応できるようにするために実施する対策を習得しました。次は、組織が危機管理計画を整備して、インシデントに万全な体制で備える方法を見ていきます。 

リソース

• 外部サイト: ATT&CK MITRE
• 外部サイト: National Cyber Security Centre: Reducing Your Exposure to Cyberattack (サイバー攻撃への露出を減らす) 
• ブログ: IT Governance: How to Identify and Respond to Cyber Threats (サイバー脅威を特定して対応する方法)