サイバーセキュリティの状況は劇的に変化しており、「Love Bug」や「Blaster Virus」のような迷惑マルウェアの時代をはるかに超えています。サイバー犯罪は、何十億ドルもの利益を生み出す高度で利益重視のビジネスへと進化しました。
Cyber Risk and Cybersecurity: A Systematic Review(2021年)の調査によると、2020年の世界のサイバー犯罪による損失は約1兆ドルに上りました。世界銀行は、この数字が2025年には10.5兆ドルに増加すると予測しています。この急激な増加は、攻撃による経済的損失と既存の防御能力との間に大きなギャップがあることを浮き彫りにしています。
初期のサイバー脅威は、しばしばイデオロギーによって動機づけられていました。しかし、攻撃者がサイバー犯罪の収益性に気づくと、マネタイズ手法も進化しました。スパム、ボットネット、暗号通貨マイニング、そして現在ではランサムウェア・アズ・ア・サービスへと発展しています。今日、組織はますます高度化する脅威に絶えずさらされており、セキュリティ戦略の抜本的な見直しが求められています。
新たな役割を担う最高情報セキュリティ責任者(CISO)、ITセキュリティ責任者、またはマネージドサービスプロバイダー(MSP)にとって、最初の100日間での最優先事項は明確です。できるだけ多くのサイバー攻撃を阻止し、サイバー犯罪者の活動を困難にし、かつITチームの反感を買わないことです。それを実現するには、積極的かつ予防重視のアプローチが不可欠です。
アプリケーションと挙動制御による積極的な予防
サイバー攻撃の大部分—推定70%から90%—はOfficeマクロが関与しています。これらを無効化することは、業務にほとんど影響を与えずに迅速な効果を得られる対策です。マクロは、実行ファイルのダウンロードやリモートアクセスツール(RAT)のインストールによく利用され、攻撃者が持続的なアクセスを得る手段となっています。
すべての悪意あるファイルを検出しようとする代わりに、アプリケーション許可リストは、デフォルトですべてのソフトウェアをブロックし、明示的に承認されたプログラムのみを許可します。これにより、マルウェアやランサムウェアだけでなく、攻撃者が悪用しがちなTeamViewerやGoToAssistのような正規ツールも自動的にブロックできます。
組織は、許可されたアプリケーションが何をできるかも制御する必要があります。Ringfencing™は、Microsoft WordのようなアプリがPowerShellなど他のプログラムを起動するのを防ぎます。これにより、ユーザーの操作なしで悪意のあるコードを実行できるFollinaのようなエクスプロイトを無効化できます。
ネットワークとエンドポイントの制御
少ない労力で攻撃対象領域を大幅に減らせる変更がいくつかあります。
SMBv1を無効化しましょう。この旧式プロトコルはWannaCryランサムウェア攻撃で悪用されましたが、現在はほとんど必要ありません。
RDPおよびSMBポートを制御しましょう。CyberSecurity AsiaがSophosのデータを引用している通り、2024年のランサムウェア攻撃の約70%はリモート暗号化手法が関与しています。信頼できるソースのみにアクセスを制限しましょう。
VPNは必要不可欠でない限り削除しましょう。VPNは、未修正のファイアウォールや不適切な設定によりランサムウェア攻撃で悪用されています。必要な場合は、送信元や宛先でトラフィックを制限してください。
サーバーからのインターネットへの送信アクセスはほとんどブロックしましょう。多くの場合、サーバーがインターネットにアクセスする必要はありません。送信アクセスを遮断することで、SolarWindsやExchange攻撃で見られたようなペイロードのダウンロードを防げます。
一見内部用のデバイスでも、ユーザーが自宅から業務システムにアクセスするためにポートを開放すると、外部にさらされることがあります。これにより、デフォルト拒否のファイアウォールやルーティングポリシーの必要性が強調されます。
アイデンティティとアクセス管理
多要素認証(MFA)は、Microsoft 365、Google Workspace、ドメインレジストラ、リモートアクセスツールなど、すべてのリモートアカウントで不可欠です。パスワードが漏洩しても、MFAがあれば不正アクセスを防げます。
ローカル管理者権限の削除も攻撃者の行動範囲を制限します。攻撃者はランサムウェアを実行するのに管理者権限を必要としませんが、これらの権限を削除することでセキュリティツールの無効化を防げます。特権アクセスはユーザー単位ではなく、昇格ツールを使ってアプリケーションごとに付与すべきです。
データ保護とアクセスの可視化
BitLockerや同様のフルディスク暗号化は、対応するすべてのデバイスで有効化すべきです。これにより、ブートレベルでの改ざん防止や、仮想ハードディスクのマウント・コピーからの保護が可能です。
きめ細かなファイルアクセス制御により、ユーザーやプログラムが本当に必要なファイルだけにアクセスできるようにし、リスクを低減します。例えば、PuTTYのようなSSHクライアントはログやテキストファイルのみに制限すべきです。CFOは会社の財務データにアクセスが必要かもしれませんが、マーケティング担当者には不要です。これにより、データの持ち出しや大量暗号化の試みを防げます。
USBドライブはデフォルトでブロックすべきです。これらのデバイスはマルウェアの持ち込みや機密情報の持ち出しに使われる可能性があります。例外は、暗号化された承認済みドライブに限り、個別に許可しましょう。
包括的なファイル操作監査—読み取り、書き込み、削除、移動の追跡—をエンドポイント、OneDriveなどのクラウドストレージ、リムーバブルメディア全体で実施することで、インシデント対応や事前監視において重要な洞察が得られます。
脆弱性管理と実行時の可視化
パッチ適用は最も効果的でありながら一貫して実施されていないサイバー衛生習慣の一つです。多くの攻撃は、数か月から数年も前にパッチが提供されている脆弱性を突いて成功しています。OSやサードパーティアプリケーション、ポータブルソフトウェアも含め、パッチ適用は自動化すべきです。
レガシーシステムは、公式サポート終了から何年経っても依然として一般的です。セキュリティソリューションは、現代的なインフラだけでなく、Windows XPのような古いプラットフォームにも対応する必要があります。
セキュリティチームは、インストールされているものだけでなく、実際に稼働しているものをリアルタイムで把握する必要があります。監視されていないブラウザ拡張機能、ダウンロードフォルダ内の署名されていない実行ファイル、暗号化機能を持つツールなどは重大なリスクとなり得ます。
Webコンテンツフィルタリングは、悪意のあるドメインだけでなく、未承認のクラウドツールやファイル共有プラットフォームもブロックすべきです。シャドーITは依然としてデータガバナンス問題の主因となっています。
マネージド検知と対応
エンドポイント検知・対応(EDR)ツールは、アラートを監視する担当者がいて初めて効果を発揮します。24時間365日体制のセキュリティオペレーションセンター(SOC)やマネージド検知・対応(MDR)プロバイダーは、リアルタイムで攻撃を封じ込めるために不可欠です。感染した端末やユーザーアカウントを迅速に隔離することで、大規模な被害拡大を防げます。
サイバーセキュリティ市場は、デフォルトでの予防、アプリケーションやアイデンティティのきめ細かな制御、リアルタイムのマネージド検知・対応を重視するモデルへと移行しています。明確なポリシー、継続的な監視、自動化された強制適用により、攻撃者が足がかりを得る前にリスクのカテゴリごと排除することが可能です。