サイバーセキュリティの状況は劇的に変化し、「ラブバグ」や「ブラスターウイルス」といった迷惑マルウェアの時代をはるかに超えました。サイバー犯罪は、何十億ドル規模の利益を生む高度なビジネスへと進化しています。
Cyber Risk and Cybersecurity: A Systematic Review(2021年)の調査によると、世界のサイバー犯罪は2020年に約1兆ドルの損失をもたらしました。世界銀行は、この数字が2025年には10.5兆ドルに達すると予測しています。この指数関数的な成長は、攻撃による経済的損失と現行の防御能力との間に大きなギャップがあることを浮き彫りにしています。
初期のサイバー脅威は、しばしばイデオロギーに動機付けられていました。しかし、攻撃者がサイバー犯罪の収益性に気づくと、スパム、ボットネット、暗号通貨マイニング、そして現在のランサムウェア・アズ・ア・サービスなど、マネタイズ手法が進化しました。今日、組織はますます巧妙化する脅威の絶え間ない攻撃にさらされており、セキュリティ戦略の抜本的な見直しが求められています。
新たに就任した最高情報セキュリティ責任者(CISO)、ITセキュリティ責任者、またはマネージドサービスプロバイダー(MSP)にとって、最初の100日間での最優先事項は明確です。できるだけ多くのサイバー攻撃を阻止し、サイバー犯罪者の活動を困難にし、かつITチームの反感を買わないこと。それを実現するには、積極的で予防重視のアプローチが不可欠です。
アプリケーションと行動制御による積極的な予防
サイバー攻撃の大部分—推定70%から90%—がOfficeマクロを利用しています。これらを無効化することは、業務への影響がほとんどなく、すぐに効果が出る対策です。マクロはしばしば実行ファイルのダウンロードやリモートアクセスツール(RAT)のインストールに使われ、攻撃者が持続的なアクセスを得る手段となります。
すべての悪意あるファイルを検出しようとするのではなく、アプリケーション許可リストは、デフォルトですべてのソフトウェアをブロックし、明示的に承認されたプログラムのみを許可します。これにより、マルウェアやランサムウェアだけでなく、攻撃者が悪用しがちなTeamViewerやGoToAssistのような正規ツールも自動的にブロックされます。
組織は、許可されたアプリケーションが何をできるかも制御する必要があります。Ringfencing™は、Microsoft WordのようなアプリがPowerShellなど他のプログラムを起動するのを防ぎます。これにより、ユーザーの操作なしで悪意あるコードを実行するFollinaのような脆弱性の悪用を無力化できます。
ネットワークとエンドポイントの制御
少しの手間で攻撃対象領域を大幅に減らせる対策がいくつかあります:
SMBv1を無効化しましょう。この古いプロトコルはWannaCryランサムウェア攻撃で悪用されましたが、現在はほとんど必要ありません。
RDPとSMBポートを制御しましょう。CyberSecurity AsiaがSophosのデータを引用している通り、リモート暗号化手法は2024年のランサムウェア攻撃の約70%に関与しています。信頼できるソースのみにアクセスを制限しましょう。
VPNは必要不可欠でない限り削除しましょう。VPNは、未修正のファイアウォールや不適切な設定によってランサムウェア攻撃に利用されています。必要な場合は、送信元や宛先でトラフィックを制限しましょう。
サーバーからのほとんどの外部インターネットアクセスをブロックしましょう。多くの場合、サーバーがインターネットにアクセスする必要はありません。外部アクセスをブロックすることで、SolarWindsやExchange攻撃で見られたようなペイロードのダウンロードを防げます。
一見内部向けのデバイスでも、ユーザーが自宅から業務システムにアクセスするためにポートを開放すると、外部にさらされる可能性があります。これにより、デフォルト拒否のファイアウォールやルーティングポリシーの必要性が強調されます。
アイデンティティとアクセス管理
多要素認証(MFA)は、Microsoft 365、Google Workspace、ドメインレジストラ、リモートアクセスツールなど、すべてのリモートアカウントに不可欠です。パスワードが漏洩しても、MFAがあれば不正アクセスを防げます。
ローカル管理者権限の削除も、攻撃者の行動を制限します。攻撃者はランサムウェアを実行するのに管理者権限を必要としませんが、これらの権限を削除することでセキュリティツールの無効化を防げます。特権アクセスはユーザー全体ではなく、昇格ツールを使ってアプリケーションごとに付与すべきです。
データ保護とアクセスの可視化
BitLockerなどのフルディスク暗号化は、対応するすべてのデバイスで有効にすべきです。これにより、ブートレベルの改ざん防止や、仮想ハードディスクのマウント・コピーからの保護が可能です。
きめ細かなファイルアクセス制御により、ユーザーやプログラムが本当に必要なファイルだけにアクセスできるようにすることでリスクを低減します。例えば、PuTTYのようなSSHクライアントはログやテキストファイルのみに制限すべきです。CFOは会社の財務データにアクセスする必要がありますが、マーケティング担当者には不要です。これにより、データの持ち出しや大量暗号化の試みを防げます。
USBドライブはデフォルトでブロックすべきです。これらのデバイスはマルウェアの持ち込みや機密情報の持ち出しに使われる可能性があります。例外は、暗号化され承認されたドライブに対して個別に許可しましょう。
包括的なファイル操作監査—読み取り、書き込み、削除、移動の追跡—をエンドポイント、OneDriveなどのクラウドストレージ、リムーバブルメディア全体で実施することで、インシデント対応やプロアクティブな監視時に重要な洞察が得られます。
脆弱性管理と実行時の可視化
パッチ適用は最も効果的でありながら一貫して実施されていないサイバー衛生習慣の一つです。多くの攻撃は、数か月または数年前からパッチが提供されている脆弱性を悪用して成功しています。OSやサードパーティアプリケーション、ポータブルソフトウェアも含めて、パッチ適用は自動化すべきです。
公式サポート終了から何年も経ってもレガシーシステムは依然として一般的です。セキュリティソリューションは、最新インフラだけでなく、現場で今も稼働しているWindows XPのような旧プラットフォームにも対応しなければなりません。
セキュリティチームは、インストールされているものだけでなく、実際に稼働しているものをリアルタイムで把握する必要があります。監視されていないブラウザ拡張機能、ダウンロードフォルダ内の署名のない実行ファイル、暗号化機能を持つツールなどは重大なリスクとなり得ます。
Webコンテンツフィルタリングは悪意あるドメインだけでなく、未承認のクラウドツールやファイル共有プラットフォームもブロックすべきです。シャドーITは依然としてデータガバナンス問題の主な原因です。
マネージド検知と対応
エンドポイント検知・対応(EDR)ツールは、アラートを監視する担当者がいて初めて効果を発揮します。24時間365日体制のセキュリティオペレーションセンター(SOC)やマネージド検知・対応(MDR)プロバイダーは、リアルタイムで攻撃を封じ込めるために不可欠です。感染した端末やユーザーアカウントを迅速に隔離することで、大規模な被害を防げます。
サイバーセキュリティ市場は、デフォルトでの予防、アプリケーションやアイデンティティのきめ細かな制御、リアルタイムのマネージド検知・対応を重視するモデルへと移行しています。明確なポリシー、継続的な監視、自動化された強制措置により、攻撃者が足がかりを得る前にリスクのカテゴリ全体を排除することができます。
