侵害が発生した際、多くの組織では「攻撃者がいかにして侵入したか」という点に議論が集中しがちです。もちろんそれは重要ですが、それだけでは不十分です。すべてのセキュリティ制御が機能し、アラートも機能し、危機対策マニュアル通りに対応したにもかかわらず、システムがダウンしてしまったとしたら、一体何が起きたのでしょうか。
本記事では、サイバーレジリエンス(回復力)の考え方を、単なる境界防御や事業継続から「被害範囲」の制御へとシフトさせる重要性について解説します。インシデントが致命的な危機へと発展するかどうかの分かれ目は、ほぼ常にラテラルムーブメント(横展開)の対応にかかっています。
ほとんどの侵害は、セキュリティ監査がまずかったから起きるのではなく、運用上のレジリエンスと制御が不十分なために起こります。取締役会での報告が「システムが侵害されました」という言葉で始まることはありません。常に「お客様に影響が出ました」から始まるのです。
侵害は「時間の問題」であるという前提
サイバーレジリエンスの本質は、攻撃のダメージを受け止めたうえで、ビジネスを前に進め続けることにあります。運用・防御チームは、通常通りトリアージを実行できなければなりません。スクリプトキディ、ハクティビスト、犯罪組織、あるいは国家支援型の攻撃者など、彼らの攻撃意欲は時として私たちの防御能力をはるかに上回ります。
Proofpointの調査によると、CISO(最高情報セキュリティ責任者)の68%〜76%が「侵害は避けられない」と考えています。RaaS(Ransomware as a Service)の台頭や、実績ある脅威アクターが現在も使用している強力なツールキットの存在を考えれば、侵害はもはや時間の問題です。
テクノロジー企業や政府機関がサイバー攻撃の被害に遭うのは、ツールが不足しているからではありません。彼らのシステム環境が、侵害を安全に吸収できるように設計されていないからです。業界や導入しているツールが違っても、アーキテクチャの根本的な欠陥は共通しています。
システム停止が連鎖し、顧客の信頼が失墜し、規制当局が介入し、復旧までに数週間を要する。これは、経営陣にとっては何としても避けたい事態でしょう。
サイバーレジリエンスは技術的な理想論ではなく、ビジネス存続のための必須要件です。取締役会は、「自社のセキュリティアーキテクチャが防御だけでなく、攻撃の吸収や遮断を想定して設計されているか」を厳しく問うようになっています。封じ込めを伴わない検知は単なる「観察」にすぎません。攻撃者は最初の侵入地点に留まることはないため、真の意味での「制御」には封じ込めが不可欠なのです(図1)。
図1:ネットワーク内のラテラルムーブメントが、インシデントを危機へと変える
影響範囲を決定づけるラテラルムーブメント
現代のサイバー攻撃をキルチェーンに当てはめてみると、被害の規模を決定づけるフェーズが1つ浮かび上がります。それがラテラルムーブメントです。初期侵入はノイズが多く検知されやすい一方で、ラテラルムーブメントは静かで素早く、壊滅的な被害をもたらします。攻撃者は一般的な管理ツールを悪用して東西方向(内部ネットワーク)へ移動し、権限を昇格させ、認証情報を奪取して、組織のクラウンジュエル(最重要資産)へと迫ります(図2)。
図2:ラテラルムーブメントが制御されていない場合、侵害はいかに急速に拡大するか
侵害が深刻化するのは、防御側の対応が遅いからではなく、ネットワークが内部通信に対して「No」と言える設計になっていないからです。1つのワークロードが侵害され、そこから1,000件の接続が許可されている状況を想像してみてください。多くの場合、検知のスピードよりも拡散のスピードが勝ります。これは、フラットなネットワークの多くが意図して設計されたものではなく、過去の遺産をそのまま引き継いだものだからです。
ビジネス主導で考えるサイバーレジリエンス
サイバーレジリエンスは技術的な取り組みとして語られがちですが、その成果は明らかにビジネスの成果に直結しています。レジリエンスを高めることで、規制リスクを軽減し、組織のブランドへのダメージを抑え、障害発生時にも重要なサービスを維持できます。さらに重要なのは、復旧までの時間を短縮し、プレッシャーにさらされる経営陣の意思決定を安定させられる点です。
ここで目指すべきは「完璧さ」ではなく「予測可能性」です。経営陣が「被害範囲は限定的である」と確信していれば、インシデント対応は場当たり的な反応ではなく、統制の取れた手順へと変わります。復旧作業も、壊滅的状況からの脱出ではなく、通常の運用タスクとして処理できるようになります。だからこそ、昨今のサイバー保険の質問項目では、単なるセキュリティ制御の有無ではなく「封じ込め能力」が問われるようになっているのです。
マイクロセグメンテーションによる攻撃コストの増大
攻撃者は、最初に侵入した場所に留まる必要がありません。そのため、境界防御だけではレジリエンスを担保できません。そこで重要になるのが、攻撃の経済性(コストと手間のバランス)に打撃を与えるマイクロセグメンテーションです。IPアドレス帯域、ファイアウォールのACL(アクセス制御リスト)、VLANといった従来の手法だけでなく、アイデンティティ、プロセス、アプリケーションの振る舞いに基づいたポリシーを適用します。
ハイブリッド環境においてマイクロセグメンテーションが適切に導入されていれば、ランサムウェアは一気に拡散することなく、停滞を余儀なくされます。理想的なのは、攻撃者が一歩進むごとに摩擦が生じ、自動的に封じ込められる状態を作ることです。このアプローチへの転換だけで、壊滅的な被害を管理可能なインシデントへと抑え込むことができます。
例えば、M&A(企業の合併・買収)の際、多くの組織は「まずはネットワークを接続し、制御は後回しにする」という間違いを犯しがちです。スピードは重要ですが、制御を伴わないスピードはシステム全体にリスクをもたらします。目的は統合を阻むことではなく、安全に統合することです。
これを実現するには、依存関係を可視化し、明示的に許可された通信フローのみを承認し、安全性が確認されるまでは他のすべてをデフォルトで拒否(Default Deny)にする必要があります。マイクロセグメンテーションがなければ、1人のユーザー端末の侵害が、財務システム、バックアップ、ドメインコントローラーへの入り口となってしまいます。しかし、マイクロセグメンテーションがあれば、同じ初期侵入であっても、その事象は隔離され、ログに記録され、確実に封じ込められます。
攻撃者は「機会」を狙って移動する
セキュリティに成熟した組織では、セキュリティポリシーをソフトウェアのコードのように扱い、バージョン管理、テスト、ロールバックが可能になっています。脆弱性の状況を把握していないマイクロセグメンテーションは、日々変化する脅威環境に対して固定化された防御壁を置くようなものです。重要なのは、現在のネットワーク構成を知ることだけでなく、「今どこにリスクが存在するのか」、そして「攻撃者に先んじてポリシーを適応させられるか」を把握することです。
VLANは「物理的な近さ」に基づいて信頼を付与しますが、攻撃者は「機会(脆弱性や設定ミス)」を利用して移動します。だからこそ、アイデンティティやプロセスレベルでのポリシーが極めて重要なのです。ワークロードやプロセス単位まで意図した制御を適用することは、ハイブリッドインフラ全体における可用性や可視性を犠牲にすることなく実現すべきセキュリティ要件です。
硬直性は攻撃者の餌食になる
最も効果的なアーキテクチャは、設計段階から脅威ハンティングを想定しており、ポリシーを適用しながらも、分析可能なクリーンなテレメトリを生成します。現代のレジリエンスとは、単にシステムを止めないことではなく、攻撃を受けている最中でも制御を維持し続けることを意味します。これが、単に監査をパスするためのセキュリティと、現実の攻撃に耐えうるセキュリティとの決定的な違いです。
プレッシャー下で、システムの再展開、アイデンティティの再確認、制御の再確立ができない組織は、レジリエンスの問題ではなく「硬直性」の問題を抱えています。そして、攻撃者が好んで悪用するのは、まさにその硬直性なのです。
サイバーレジリエンスの継続的な運用モデル
サイバーレジリエンスは、一方向のチェックリストや単一のフェーズで終わるものではなく、継続的な運用モデルです(図3)。
図3:サイバーレジリエンスの継続的な運用モデル
サイバーレジリエンスは「展開(可視化)」と「識別」から始まります。見えないもの、分類できないものは保護できないからです。しかし驚くべきことに、多くの組織はインシデントが発生して初めて、自社の環境の実態を把握しています。
検知と対応の目的は、すべての攻撃を水際で防ぐことではありません。侵入されても影響を素早く封じ込め、復旧作業を進めながらビジネスを継続させることにあります。これこそが真のレジリエンスの指標です。「インシデントが起きるかどうか」ではなく、「信頼、データ、ビジネスの勢いを失うことなく、いかに迅速かつ的確に復旧できるか」が問われます。
レジリエンスの確保に苦労している組織は、これらをバラバラの施策として扱っています。本来は、検知が封じ込めにつながり、封じ込めが復旧を容易にし、復旧の経験がポリシーの改善に活かされるべきです。導入しているツールの数ではなく、このサイクルのスピードこそが組織の成熟度を決定づけます。また、防御側の疲弊(アラート疲れ)も深刻な課題です。
実際、私は Akamai のSOCC(Security Operations Command Center)で4年間、毎日10〜12時間も攻撃と戦ってきました。攻撃の調査やリバースエンジニアリングを行う際、ネットワークや環境側に、対象の資産、構成、稼働しているサービスを特定するための正確な情報(属性)が欠けていることが多々ありました。システムが自らの状態を「正しく」語ってくれなければ、追加の調査や確認作業に時間が取られ、対応の遅れにつながります。脅威ハンティングは、環境が正確な情報を提供して初めて機能するのです。
ここで、ゼロトラストの考え方(ゼロトラスト・アーキテクチャ)が実践的な意味を持ちます。ポリシーはもはや静的でもネットワークに縛られるものでもなく、ソフトウェア駆動で、脆弱性を加味し、アイデンティティに基づいた、ハンティングしやすいものへと進化しています。VLANやファイアウォールのルールでは現代の環境変化に追従できませんが、ソフトウェア定義のポリシーであればそれが可能です。
レジリエンスは、環境が単純になったから向上するわけではありません。制御がより「精密」になったときに向上するのです。単純さよりも精密さのほうがはるかに重要です。
防御、対応、復旧の3本柱
今日、サイバーリスクの低減とサイバーレジリエンスには、防御(Prevention)、対応(Response)、復旧(Recovery)の3つの要素が含まれます(図4)。
図4:防御、対応、復旧がサイバーレジリエンスにどう寄与するか
防御
- 攻撃の足場を固められる前に、攻撃面(アタックサーフェス)を制限し、敵対者の行動を阻害するプロアクティブなセキュリティ制御を実装することで、リスクを低減します。
- 脆弱性が悪用される前に特定・対処し、リスクを軽減する
- ゼロトラストおよびマイクロセグメンテーション戦略によって攻撃者の移動を制限する
- 従業員のセキュリティ意識を向上させ、ヒューマンエラーを最小限に抑える
対応
- 自動化された防御システムと適応型のセキュリティ戦略を通じて、脅威の迅速な検知と封じ込めを実現し、ビジネスへの影響を最小限に抑えます。
- 脅威を迅速に検知・封じ込め、被害を最小化する
- アクティブな攻撃の最中であってもビジネスの稼働を維持する
- チーム間の連携を強化し、プレッシャー下での迅速な意思決定を支援する
復旧
- 運用の完全性を維持し、インシデント後に重要なサービスを迅速に復元できるレジリエントなシステムを提供し、事業継続を担保します。
- 重要なシステムとデータを迅速に復元し、ダウンタイムを削減する
- 顧客からの信頼と組織のブランドを保護する
- インシデントから学習し、長期的な適応力を支援する
サイバーレジリエンスとは、単にサイバー攻撃を防ぐことではありません。攻撃を受けながらもビジネスを継続し、発生時には迅速に立ち直るための能力なのです。
アクションプラン
サイバーレジリエンス、マイクロセグメンテーション、そしてゼロトラストの実現に、何年にもわたる大掛かりな変革は必要ありません。今週、今期、そして今年取り組むべき現実的なステップは以下の通りです(図5)。
図5:サイバーレジリエンス、マイクロセグメンテーション、ゼロトラスト実現のためのアクションプラン
今週: 組織の重要な資産を特定し、誰が(何が)それらにアクセスできるのかを把握する。
今期: マイクロセグメンテーションの成熟度を評価し、攻撃面を縮小する。.
今年: 社内ネットワークのアクセスに対して最小権限の原則を適用し、被害範囲を能動的に縮小する。
これらを一歩ずつ進めることで、次にインシデントが起きた際の被害はより小さく、目立たず、容易に復旧できるようになります。
レジリエンスの高い組織は、リスクを完全に排除するのではなく、意図的に「吸収」するよう設計されています。完璧を求める必要はありません。目的は侵害をゼロにすることではなく、侵害を「生き残れるレベル」にすることなのです。
サイバーレジリエンスの未来を担うゼロトラスト
戦略的な結論として、シンプルかつ厳しい真実をお伝えします。M&Aと同様に、マイクロセグメンテーションとゼロトラストは単なる成長や変化のプロセスではなく、「リスク転移」のプロセスでもあります。システムの統合を急げば急ぐほど、他者が抱えていた攻撃面をそのまま引き継ぐことになります。そのリスクを吸収できるか、それとも増幅させてしまうかは、「制御」の有無にかかっています。
ワークロードレベルでゼロトラストが適用されていれば、組織はシステム全体のリスク露出を増やすことなく、迅速な統合を進めることができます。サイバーレジリエンスの未来は、玄関口で攻撃者を食い止めることだけではありません。仮に侵入されたとしても、致命的な被害を与えられるほど「深くは入り込ませない」ことにあるのです。
Tags
