サイバー レジリエンスに関するマイクロソフトの見解
本記事は、Ann Johnson (Vice President、Enterprise Cybersecurity Group) による Microsoft Secure Blog への投稿 “Microsoft’s perspective on cyber resilience” (2017 年 8 月 23 日 米国时间公开) を翻訳したものです。
最近発生したランサムウェアの流行をきっかけに、影响を受けた企业がサイバー レジリエンスの计画と実施に関する考えをどう进化させたのかを理解したいと思っていました。そこで、お客様のサイバー攻撃への対応と回复をプロアクティブかつリアルタイムに支援するマイクロソフトの Detection and Response Team に依頼し、彼らの経験を共有してもらいました。以下に、チームが共有してくれたお客様のシナリオをいくつか匿名化して绍介しています。これらのシナリオでは、サイバー レジリエンス计画の紧急の必要性が提示されています。 それに続き、最先端の攻撃に直面した时に、お客様がさらに俊敏に动けるよう支援するマイクロソフトの能力に関する参照フレームワークを绍介します。言い换えると、この投稿ではサイバー レジリエンス确立への道のりを示します。
サイバー レジリエンスが重要な理由
世界中の组织は、个人およびビジネス関連のタスクを遂行する上でテクノロジに大きく依存しています。暦年 2017 年の 第 1 四半期の终わりには、全世界で 37 亿人以上のインターネット ユーザー (英语情报) が存在し、その数は増え続けています。インターネットの普及が进むにつれて、攻撃対象も増加しています。现在のサイバーセキュリティの胁威ランドスケープは、人と资产に现実的な危険をもたらします。そのため、组织はアクセス许可とリスク管理のバランスを维持する必要があります。通常、企业组织のサイバーセキュリティに対するアプローチは、“保护” と “インシデント対応” を目的としたツール、テクノロジおよび人材の実装です。これが重要である一方、サイバーセキュリティのツールやテクノロジを実装する根本的な理由は事业継続です。企业组织は、戦略的なレベルで基干システム、IT インフラストラクチャ、およびデータ センターを要塞化する方法の “全体像” を検讨し、ダウンタイムを引き起こす人的エラーやサイバー胁威に直面した场合の回复力を保持するよう备えるべきです。ここでサイバー レジリエンス戦略の出番が来ます。组织は、セキュリティ インシデントが発生した场合でも事业継続を确保するために、自身のビジネス ニーズに沿ったサイバー レジリエンス戦略を构筑し、サイバー レジリエンス プログラムを実行する必要があります。 アクセンチュア社の “State of Cybersecurity and Digital Trust” (英语情报) によると、调查へ参加した人の 75% がサイバーセキュリティの信頼度は高いと回答する一方、自组织がセキュリティ违反を监视する能力を信頼しているのはたったの 37%、サービス中断の最小化に関しては 36% でした。ガートナー社によるとダウンタイムにかかるコストの平均は 1 分あたり 5,600 米国ドル (英语情报)、つまり 1 时间あたり 300,000 米国ドルを超えます。ダウンタイムの原因で最も多いのは、人的エラーです。ある研究によると、ダウンタイムの原因の 75% が人的エラーによるもの (英语情报) と结论付けています。 未だかつてないほど组织が IT に依存している状况で、事业継続と灾害対応 (BCDR) を IT チームのみに関连する问题としてではなく、组织全体にとって必须の要素として认识することが重要です。すべての企业组织は、不测の事态に起因する机能の停止状态に対応できるよう备える必要があります。基干アプリケーションおよびサービスの中断は、生产性と运用の停止、収益减、および组织に対する顾容の信用の低下を引き起こす可能性があります。强力なサイバー レジリエンス计画が効果的に実行されれば、组织のコンピューター システム、IT インフラストラクチャおよびデータ センターはサイバー胁威と人的エラーに対抗することができます。
サイバー レジリエンスのシナリオ
サイバー攻撃やデータ漏えいに悩まされた组织に関する目新しい话はたくさんあります。サイバー レジリエンスを支援する戦略を立て、行动を取ることで、そのようなインシデントによる被害の范囲を减らし、回复コストを下げることができる可能性があります。
例 1 - 全世界的に复数の组织がランサムウェアに感染
2017 年の前半のランサムウェア攻撃によって、たとえランサムウェアでロックダウンされていても、重要な IP、システム、およびインフラストラクチャにアクセスできることの必要性が强调されました。ランサムウェアの WannaCry は、一定时间、生产停止を余仪なくされた自动车工场など、世界中で复数の业界や企业に影响を及ぼしました。攻撃の诱因にかかわらず、影响を受けた企业にとっては计画外のダウンタイムと回复コストをもたらす结果となったことは明らかです。 ここで重要なポイントは、ランサムウェアがどのような种类の组织に対しても影响を与えられるということです。コンピューター システムに修正プログラムを适用して最新の状态を保ち、定期的にデータのバックアップを取り、十分に検证した灾害复旧计画を作成し、直接雇用の従业员や请负业者にサイバー胁威 (例えば、フィッシングやランサムウェア) に関する教育を提供することで、少なくともそのようなインシデントによる被害の范囲を减らすことに役立ちます。
例 2: 米国の医疗产业で引き続きデータ漏えいが発生
医疗データへのアクセスに成功したサイバー犯罪者が、利益を得る目的でそのデータを使用して诈欺や ID の盗难を実行するため、医疗产业では引き続きサイバー攻撃がある程度の影响を及ぼしています。また、多くの场合、个人データには患者の病歴が含まれており、标的型のスピアフィッシング攻撃に使用される可能性があります。2017 年 8 月 9 日现在、米国保健福祉省の HIPPA 违反レポート ツールの Web サイト (しばしば “wall of shame” と呼ばれている) では、2009 年以来、合计 2,018 件の违反が确认できます。医疗データ漏えいに影响を受けた个人の数は近年急増し、2014 年 5 月 30 日には 3,150 万人だったのが、2017 年 8 月 9 日には 1 亿 7500 万人になりました (英语情报)。 これらの倾向と统计から得られる教训は 3 つあります。まず、医疗従事者と患者はできる限り不审なやり取り (诈欺、フィッシング メールなど) および ID 盗难事件に注意し、IT 组织に报告する必要があります。もう 1 つのポイントは、个人の医疗および识别情报は、明示的な共有要件 (例えば、健康诊断や医疗処置を受けるために患者が身分证明书を提示する、など) がない限り开示されるべきではないということです。最后に、データ区分と情报保护ソリューションの使用によって、ライフサイクル全般にわたり秘匿性の高い情报を保护し、暴露の影响を减らせる可能性があります。
例 3: 人的エラーにより金融サービス会社で顾容情报の漏えいが発生
金融サービスおよび银行业界では、他の业界に比べてインフラストラクチャおよびデータに対して比较的厳しい监视および规制が导入されているにもかかわらず、引き続きデータ漏えいの影响を受けています。2017 年の初めに、金融サービス会社が何千人もの顾容の机密情报を含むデータベースを不注意で一般に公开する事象が発生しました。その会社は、サード パーティ ベンダーの人的エラーによりインシデントが起こったと主张しています。 ここで得られる教えは、组织がそのネットワークとデータにアクセスできるすべての请负业者に対して责任を课すことが重要だということです。例えば、Petya ランサムウェアの流行时にも明るみに出た重要课题ですが、サード パーティの请负业者が组织のサイバーセキュリティ ポリシーに従っておらず、これが危机の根本原因となりました。
サイバー レジリエンス プログラムの検讨
企业组织において、コンピューター システム、IT インフラストラクチャ、およびデータ センターが人的エラー、サイバー胁威、およびサイバー攻撃による被害に対抗する能力を强化するために、人、プロセス、およびクラウド サービスの连携を活用するサイバー レジリエンス プログラムを検讨することを推奨します。
人
常勤の従业员、コンサルタント、および请负业者を含む、企业ネットワークへアクセスできる人は全员、サイバー レジリエンスに対する考え方を育てるために定期的に训练を受ける必要があります。これには、ID ベースのアクセス制御に関连する IT セキュリティ ポリシーの顺守だけでなく、复旧までの时间を最短にするために、疑わしいイベントや感染についてできる限り早く IT 部门へ报告することも含まれます。
プロセス
组织では、サイバー レジリエンスに対する方针を効果的に进めるために、いくつかのプロセスの実装を検讨すべきです。IT セキュリティ ポリシーとして実装できるものもあります。下の表で、推奨のプロセスを绍介します。
クラウド サービス
サイバー レジリエンスを维持するためには、推奨するプロセスが、会社のリスク处理のしきい値と、人による取り組みおよびテクノロジ制品やサービスの连携を通した経営上のプロセスを実行する能力に基づいて、定期的に実行される必要があります。 幸运なことに、クラウド サービスに基づいたアーキテクチャは、オンプレミス インフラストラクチャの迅速な再构筑や、ミラー化済みのインフラストラクチャへのフェール オーバーに使用することができます。クラウド サービスを采用する际の重要な検讨事项は、プロバイダーがどのように評価を実施しているかを确认すること、また、第三者による监査や认证を参考にプロバイダーの実绩を确认することです。 Microsoft Azure および Office 365 のようなクラウド サービスは、少なくともお客様のサイバー レジリエンスのニーズを支援するための第一歩としての役割を果たします。
| プロセス | 说明 | Microsoft のサービス |
|---|---|---|
| 早期警告およびアラート システム | 组织は、疑わしいまたは调查に値する电子情报に関する早期警告およびアラートを受领する。 | Azure: Azure Security Center は、Azure リソースから电子情报开示に使用可能なログ データを自动的に収集、分析、および统合します。 Office 365: Office 365 の电子情报开示を使用して、Exchange Online のメールボックス、Office 365 グループ、Microsoft Teams、SharePoint Online のサイト、Skype for Business の会话のコンテンツを検索できます。 |
| 灾害复旧および事业継続计画へのサイバー関連インシデントの組み込み | 既存の灾害复旧および事业継続计画にサイバー関連インシデントを組み込み、それらのインシデントに対して、従来の天灾よりも高い発生可能性を割り当てる。 | Azure: セカンダリ インフラストラクチャに対して费用をかけることなく、すべての主要な IT システムに灾害复旧対策を実装する予定がある场合、マイクロソフトでは、组织が Azure でセキュリティ保护、高可用性、高性能、耐障害性を备えたソリューションを设计、実装するために役立つアーキテクチャを复数提供しています。 Office 365: Office 365 のオファリングは、高いサービスのレベルを保证するために、回复力のあるシステムによって提供されます。サービス継続性の提供は、Office 365 のシステム设计の一部です。これらの备えにより、Office 365 は、ハードウェアやアプリケーションの障害、データ破损、ユーザーに影响を与えるその他のインシデントといった予期しない事态から迅速に复旧できます。サービス継続性ソリューションは、重大なサービス停止 (たとえば、自然灾害やインシデントによって、ある Microsoft のデータ センター全体が使用不能になった场合など) の际にも适用されます。 |
| プラットフォームのセキュリティ强化 | ハッキングの试行に対してプラットフォームをロック ダウンする。 | Azure: プラットフォームのセキュリティ强化の観点から、マイクロソフトは侵入テストおよびレッド チームを通して自らの内部評価を行っています。マイクロソフトでは、Microsoft Azure と Office 365 のセキュリティを検证および强化するために、レッド チームが実施している実際の侵害のシミュレーション、24 时间体制でのセキュリティ监视、およびセキュリティ インシデント対応を実施しています。お客様が安全な方法で基干アプリケーションおよび重要なデータにアクセスできる坚牢なクラウド プラットフォームを提供することを目指しています。 Office 365: Office 365 はセキュリティが强化されたサービスであり、マイクロソフトのセキュリティ开发生命サイクルに従って设计されています。マイクロソフトは、エンタープライズ ソフトウェアの构筑とオンライン サービスの管理における 20 年の经验から得られたベスト プラクティスをまとめて、统合された SaaS (Software as a Service) ソリューションをお客様に提供します。 |
| 电子メールへのサイバー胁威に対する保护 | ユーザーが疑わしい、あるいは恶意のある电子メール (例えば、フィッシング目的) の Web リンクや添付ファイルを开くことを検出し保护するための、セキュリティ ポリシーを実装する。 | Office 365: Office 365 Advanced Threat Protection は、未知の高度な攻撃からメールボックスをリアルタイムで保护します。危険な添付ファイルを开かないよう防御すると共に、恶意のあるリンクに対する保护を拡大することによって、Exchange Online Protection のセキュリティ机能を补完し、ゼロデイ攻撃に対する防御を强化します。 |
| アクセスの制御 | リスクを减らすために、データおよびアプリケーションへのアクセスを制限する。 | Azure: Azure Multi-Factor Authentication では、データとアプリケーションへのアクセスを保护するとともに、シンプルなサインイン プロセスを求める顾容にも対応できます。电话、テキスト メッセージ、モバイル アプリ通知などの各种の簡単な确认オプションにより认证を强化し、お客様に最も合った方法を提供できます。 Office 365: Multi-Factor Authentication for Office 365 (英语情报) は、Office 365 への安全なアクセスを提供します。単にパスワードだけではなく、それ以上にクラウド サービスへのユーザー ログインのセキュリティを强化します。ユーザーは、パスワードを正しく入力した后、スマートフォンで通话、テキスト メッセージ、またはアプリ通知を确认するように求められます。この第 2 の认证要素が认证された场合のみ、ユーザーはサインインすることができます。 |
| 认证されていないシステムを検出し、対抗する | 认证されていないシステムに条件付きアクセスベースのセキュリティ防御策を适用する | Azure: 条件付きアクセスは、特定の条件に基づいて环境内のアプリへのアクセスに対してコントロールを适用できるようにする Azure Active Directory の机能です。コントロールを使用 |