セキュリティ侵害の根本原因は依然として不明確 ― レジリエンスが危機に

インシデント後の分析は、今日のほとんどのセキュリティ組織にとって依然として重要な課題です。FoundryのSecurity Priorities調査によると、セキュリティリーダーの57%が、過去1年間に発生したセキュリティインシデントの根本原因を特定するのに苦労したと報告しており、再び侵害されるリスクが高まっています。

セキュリティ専門家はCSOに対し、この調査結果は、火消し的な即時対応のプレッシャーによって、インシデント後の学習が十分なリソースを割かれていないことを浮き彫りにしていると語ります。組織は、インシデント対応を一度きりの後始末ではなく、継続的な学習サイクルとして捉える必要があります。そうすることで、再発の可能性を減らすことができます。

「多くの組織は、即時の侵害封じ込めだけに集中する反応的なサイクルに陥っており、重要なフォレンジック調査を犠牲にしてしまっています。その結果、『患者のドア』が次の攻撃者に再び開かれたままになってしまうのです」と、マネージドセキュリティレスポンス企業HuntressのセキュリティオペレーションシニアマネージャーであるDray Agha氏はCSOに語ります。

「根本原因を特定するための徹底的な事後分析がなければ、企業は本質的に目隠しをして自分自身を守っているようなものであり、同じ過ちを繰り返す運命にあります」とAgha氏は言います。

根本原因分析によるレジリエンスの強化

他の専門家も、多くの企業がインシデント対応を分析的なものではなく、運用的なものとして扱っていることに同意しています。その結果、封じ込めや復旧のアクションはよく訓練されていても、より深いフォレンジック調査やインシデント後の学習が遅れがちです。

「証拠保全や根本原因分析への規律あるアプローチがなければ、貴重な知見が失われます」と、マネージドセキュリティサービスベンダーBlueVoyantのデジタルフォレンジック＆インシデントレスポンスディレクターであるTom Moore氏は言います。「堅牢なインシデント対応とは、単にシステムを復旧させることだけでなく、得られた教訓を検知・予防・リスク軽減戦略に活かすことです。」

Moore氏はさらに、「この継続的なフィードバックループこそが、長期的なレジリエンスを生み出し、サイバー脅威の状況が急速に進化・適応している現代において特に価値があります」と述べています。

クラウドセキュリティベンダーSemperisの危機管理プリンシパルコンサルタントであるMarie Hargraves氏も、「ほとんどの組織は、炎から学ぶのではなく、火を消すことに集中しています」と同意します。

すべての危機には3つのフェーズがあります：検知、対応（急性期）、そしてレビューです。

「レジリエンスが築かれるのは、第3フェーズである危機後のレビューです」とHargraves氏は言います。「リアルタイムデータを収集し、厳密に分析し、特定した教訓を実行に移す組織は、より早く回復し、より強くなります。」

「インシデント対応は単に生き延びることではなく、適応し、レジリエンスを構築することです」とHargraves氏は付け加えます。

攻撃経路の追跡

準備が鍵となるため、企業はセキュリティインシデント＆イベント管理（SIEM）などの技術を通じて、インシデント発生前からデジタルフォレンジックのための専用ツールやスキルを備えておく必要があります。

SIEMデバイスは重要です。なぜなら、多くのゲートウェイやVPNデバイスは、数時間以内に自動的にローカルストレージを上書きしてしまうからです。

「サイバー犯罪者がVPN経由で侵入し、1日ほど滞在してからビジネスクリティカルなサーバーに移動した場合、VPNのテレメトリはすでに消失してしまっています」とHuntressのAgha氏は説明します。「SIEMによるVPNログの集中管理と保持は、リアクティブな検知だけでなく、貴重なデータの保存や、初期侵害がどのように発生したかを特定する根本原因分析にも役立ちます。」

Huntressの統計によると、高度なサイバー犯罪者の約70%がVPN経由で侵入しています。「SIEMが導入されている場合、攻撃経路のかなり早い段階で彼らを捕捉できるだけでなく、事後分析によって侵害に至った正確な根本原因を特定することも可能です」とAgha氏は述べています。

マネージド検知＆対応（MDR）や拡張検知＆対応（XDR）などの各種サービスも、フォレンジックキャプチャソフトウェアを含むことができます。これにより、プロバイダーはフォレンジックサイバー調査員と連携して侵害の発生源を特定し、修復に取り組むことができます。

「このようなツールがなければ、『どのように』を遡って特定するのはますます困難になります」と、サイバーセキュリティ企業Securus CommunicationのCTOであるRob Derbyshire氏は言います。「侵害が発生した際にインシデント対応サービスを提供する企業はありますが、迅速な対応と再発防止の鍵は、すでにツールやプロセスを整備し、対応を大幅に効率化できる体制を持っていることです。」

EclecticIQのシニアサイバー脅威インテリジェンスアナリストであるArda Büyükkaya氏は、徹底的な根本原因分析がなければ「攻撃の実際の原因が不明のままであり、潜在的に依然として活動中である可能性がある」と指摘します。

「ベストプラクティスには、デジタルフォレンジックの専門知識、根本原因分析プロセス、そしてインシデントをより広範な攻撃者の戦術やキャンペーンと結びつける脅威インテリジェンスの統合が含まれるべきです」とBüyükkaya氏は助言します。「このアプローチにより、組織はあらゆるインシデントからレジリエンスを構築できます。」

堅牢な計画策定

インシデント対応チームは、通常CISOが率い、インシデント発生時に主導権を握るよう指定されるべきです。計画には、ITスタッフから法務アドバイザーまで、各関係者の役割と責任も明記する必要があります。

CSOが取材した専門家によれば、インシデント対応プレイブックは以下のいくつかの主要ステップに集約されます：

• 準備： テスト済みのインシデント対応計画、明確な役割、エスカレーション経路を維持する。
• 検知と分析： 監視を集中化し、脅威インテリジェンスを活用し、フォレンジック能力を確保する。
• 封じ込めと復旧： 迅速に行動しつつ証拠を保全し、復旧前にシステムを検証する。
• 事後分析： 構造化されたレビューを実施し、所見を文書化し、セキュリティアーキテクチャやトレーニングに反映する。
• 継続的改善： 脅威モデリングを統合し、封じ込めを自動化し、スキル開発に投資する。

多くの組織は、インシデント対応計画のテンプレートとして確立されたフレームワークやISO規格を利用することを選択しています。

「これらのフレームワークは、ガバナンスから技術的対応まで、すべての重要分野をカバーするセクションやサブセクションを提供し、構造化されたアプローチをもたらします」と、Integrity360のCTOであるRichard Ford氏は言います。「認知されたフレームワークを使うことで、網羅性が確保できるだけでなく、そのフレームワークに精通した外部関係者とのコミュニケーションも容易になります。」

組織レジリエンスの構築

効果的なインシデント対応は、時間とともにレジリエンスを強化する、構造化され再現可能かつインテリジェンス主導のプロセスを構築することを目指すべきです。

インシデント対応計画は、シミュレーションやテーブルトップ演習などを通じて、定期的にテスト・改善・更新されるべきです。これは、より広範な事業継続性および組織レジリエンス戦略の一環です。

サイバーセキュリティベンダーTrend MicroのフィールドCTOであるBharat Mistry氏は、多くの組織がインシデント対応において成熟度のギャップを抱えており、単なる封じ込めや復旧だけでなく、フォレンジック分析や事後分析まで拡張すべきだと指摘します。

「根本原因分析を省略する組織は、症状だけを治療しているに過ぎません」とMistry氏は警告します。「この課題は、攻撃の正確な再構築を妨げるツールのサイロ化による断片的な可視性、フォレンジックや脅威ハンティングの専門知識不足によるスキルギャップ、そして事後分析が非公式または単に省略されがちなプロセスの弱さが組み合わさって生じています。」

「侵害・修正・再発」のサイクルを断ち切る

多くの場合、サーバーの消去やログの消失、フォレンジックの痕跡の消滅など、証拠が意図せず破壊されてしまいます。これは、迅速な業務復旧が優先されるためです。

「これには、ビジネスからのプレッシャーや時間的制約、リソース不足も拍車をかけ、チームはインシデントから学ぶよりも次の緊急タスクへ移ることを優先してしまいます」とMistry氏は付け加えます。「その結果、事後スキャンや根本原因分析、手順の更新が頻繁に省略されます。」

初期の攻撃ベクターやラテラルムーブメントが不明のままとなり、脆弱性が放置され、「侵害・修正・再発」のサイクルが生まれます。

「このサイクルを断ち切るには、組織はフォレンジック対応力をインシデント対応戦略に組み込み、証拠を保全し、構造化された事後分析を実施し、得られた教訓をセキュリティアーキテクチャやトレーニングに反映させる必要があります」とMistry氏は結論付けています。