データコンサルタントおよびデータアナリストの視点から、ハイブリッド環境におけるサイバーセキュリティ課題、特にDDoS攻撃対策と、攻撃者の偵察行動におけるデータ活用について分析します。
ハイブリッド環境におけるデータ管理・運用課題
オンプレミス環境とクラウド環境を組み合わせたハイブリッド環境は、多くの組織にとって標準的なITインフラとなりつつあります。しかし、これらの異なる環境では、収集すべきデータ特性(トラフィックデータ、ログデータ、設定データなど)やセキュリティ対策の方法、管理体制が大きく異なるため、データ管理・運用上の複雑性が増大します。個別にセキュリティ対策を講じることは、異なるデータ収集・分析・対応プロセスがサイロ化し、担当者のデータ管理・分析といった業務負荷を増大させ、組織の人的リソース不足を深刻化させるデータ運用上の課題となります。また、そもそもクラウドとオンプレミスで担当部門が分かれている場合もあり、セキュリティ関連データの部門間連携や情報共有が困難となり、セキュリティベンダーとのデータ連携も煩雑になり、検出された異常データに対する迅速な連携・対応が難しいという課題も生じます。特に、DDoS攻撃のような大規模な攻撃が発生した場合、現状の体制では大量の攻撃トラフィックデータやイベントデータをリアルタイムで収集・分析し、迅速に対応するためのデータ処理能力や体制が追いつかない可能性が指摘されています。
CDNベンダーWAAPソリューションによるデータ統合・効率化
ハイブリッド環境におけるDDoS対策を含むWebアプリケーションセキュリティのリスク低減に向けた選択肢として、CDNベンダーが提供するWAAP(Web Application and API Protection)ソリューションが注目されます。これらのクラウドセキュリティ製品は、大規模DDoS攻撃を緩和するための豊富なリソースを備えており、単一のプラットフォームでオンプレミスとクラウドの両方のWebトラフィックデータやセキュリティデータを監視・防御できるデータ統合・管理機能を提供します。導入も比較的容易で、ドメイン単位での管理・対策が可能である点は、データ収集・管理設定の簡便性や、特定のデータ範囲(ドメイン)に焦点を当てた効率的な対策を実現します。ハイブリッド環境においてCDNベンダーのクラウドセキュリティサービスを活用するメリットは、異なる環境のデータを統合的に管理・分析し、データに基づいた統一的なセキュリティ対策を、データ管理・運用効率を高めながら実現できる点にあります。進化するDDoS攻撃の最新動向とその対応策を分析し、「ハイブリッド」環境においてCDN(コンテンツデリバリーネットワーク)ベンダーのクラウドセキュリティサービスが、データに基づいた効果的な対策にどのように貢献するかを理解することが重要です。
攻撃者の偵察行動とデータ収集
サイバー犯罪者は攻撃を実行する前に、標的を特定するための偵察をデータ収集・分析活動として行います。例えば、サイバー保険に加入している企業は身代金を支払う可能性が比較的高いため、その「保険加入」というリスクに関するデータを基に標的として狙いを定めるかもしれません。攻撃者は、標的のアタック・サーフェス(攻撃対象領域)を把握し、領域内の弱点を示すデータを探し、最適な攻撃経路を構築する独自の方法を確立しています。
例えば、攻撃者が数十億ドル規模の企業と取引している小規模なISPを標的にしたとします。その場合、攻撃者は以下のような情報をデータとして調べてISPへの侵入経路を探ります。
その取引企業には、ソーシャル・エンジニアリングに対応するサポート・スタッフがいるか?:これは、人間の心理や行動といった「人間データ」の脆弱性を突くための糸口となる情報を収集する活動です。
彼らが情報をやり取りする特定の人物がいるか?:組織構成や人間関係に関するデータを収集し、攻撃の足がかりとなる人物を特定しようとします。
ISPはどのようなサービス、ツール、ソフトウェアを使用しており、アタック サーフェスはどの程度の範囲か?:これは、システム構成や使用技術に関するデータを収集し、既知の脆弱性を悪用できる可能性のあるデータポイントを特定するための活動です。
公開されているSSL証明書から内部のホスト名を特定できるか?:公開されている証明書データを分析し、組織の内部ネットワーク構造を推測しようとします。
DNS名やホスト名が乗っ取り可能なリソースを指していないか?:DNSデータを分析し、設定ミスなどにより不正にコントロール可能なリソースを特定しようとします。
こうしてISPへの侵入に成功した攻撃者は、サプライチェーンにおけるデータ連携経路を侵害し、取引相手の企業にもアクセスできるようになります。これは、サプライチェーン全体でのデータセキュリティレベルをデータに基づいて評価・管理する必要性を示唆しています。
DevSecOps導入状況とリスクデータ
DevSecOpsの導入が進んでいる状況は、開発・運用・セキュリティが連携し、セキュリティに関するデータ(脆弱性データ、構成管理データ、ログデータなど)を開発ライフサイクル全体で継続的に収集・分析・活用する文化・体制の広がりとして捉えることができます。DevSecOpsを導入しない組織は、これらのセキュリティ関連データの継続的な収集・分析・活用プロセスが欠如しているため、サイバー攻撃リスクが高まることを指摘できます。これは、データに基づいた迅速なセキュリティ改善サイクルが回っていない状況を示しています。
ハイブリッド環境やサプライチェーン全体におけるデータ管理・分析の課題に対し、CDNベンダーWAAPのようなデータ統合ソリューションや、DevSecOpsのようなデータ活用文化を取り入れることで、データに基づいた効果的なサイバー攻撃対策を実現する必要があることを再強調します。攻撃者の偵察行動におけるデータ収集・分析を理解することは、防御側がどのようなデータを保護し、監視すべきかを判断する上で不可欠です。
データコンサルタントおよびデータアナリストの視点から、サイバーセキュリティにおけるデータ分析と自動化、特にフィッシングメール対策、セキュリティ運用、およびOSINT情報活用について分析します。
フィッシングメール対策におけるデータ分析と教育
既出のとおり、巧妙化したフィッシングメールをユーザーが見抜くことは、メールが持つデータ(送信元、件名、本文、URL、添付ファイルなど)が正規のメールデータと区別が困難であるというデータ分析上の課題から、ますます難しくなっています。これらのメールの多くは、既存のアンチウイルスなどのシステムによる静的なデータ分析では検知が難しいという特徴があります。そのため、人間による判断が依然として重要であり、ユーザーひとりひとりが正しい対応を日々徹底する必要があります。
そこで一部の組織では、従業員がフィッシングメールデータの特徴を識別し、リスクを判断するための教育が行われるようになりました。このトレーニングは、疑似的なフィッシングメールを従業員に送信し、「疑わしいメールを開封しない」「管理者に報告する」といった決められた対応を取れるよう訓練するものです。この訓練におけるユーザーの対応データ(開封率、報告率など)を収集・分析することで、教育効果を測定し、必要なフォローを行うといったデータ駆動型アプローチで従業員への浸透を狙います。
このほか、生成AIを用いてフィッシングメールに対抗するシステムも登場してきています。これは、大量のフィッシングメールデータを収集し、生成AIにその特徴を機械学習させ、送信されたメールのデータを分析してフィッシングメールかどうかを自動的に検出するといった、データ分析の自動化を図るものです。
セキュリティ対策の自動化とデータ活用
生成AIによって自動化された攻撃への対抗手段として、セキュリティ対策自体を生成AIによって自動化するという方法があります。これは、生成AIにさまざまなサイバー攻撃の方法やシステムの脆弱性に関するデータを学習させたあと、その知識を基にサイバー攻撃のシミュレーションを行い、システムに潜在するぜい弱性をデータに基づいて評価します。その分析結果を踏まえて、実際のサイバー攻撃への対処方法をデータに基づき準備するというものです。
サイバー攻撃を検出した際にも、生成AIを利用して自動的に対処する試みが進められています。検出された異常データに基づいて、攻撃の封じ込めや防御策を自動的に生成・実行させることを想定しています。例えば、外部からの異常なアクセスを検知し、そのアクセスデータ分析結果に基づいて自動的に警告を発する、あるいはアクセス元からの通信を遮断するといった対応が、生成AIを用いることで実現可能です。
OSINT情報の自動分析と脅威インテリジェンス
OSINTとは「Open Source Intelligence」の略であり、インターネットや書籍、メディアなどで一般に公開されている、誰でもアクセス可能な情報源からセキュリティに関連するデータ(攻撃者の活動情報、脆弱性情報、サイバー攻撃に関するニュースなど)を収集・分析し、意思決定に役立てるプロセスを指します。
現在では、サイバー攻撃もしくはそれに対抗する技術である「脅威インテリジェンス」の両方に用いられています。サイバー攻撃の攻撃者は、OSINTによって攻撃対象の組織や個人に関する公開されている情報データを収集・分析し、サイバー攻撃を仕掛けますが、逆に、それに対抗する脅威インテリジェンスにおいても、攻撃者の過去の実績や攻撃方法、使用ツールといったセキュリティ関連データを分析し、将来的な脅威に対抗するための知識や洞察を得ます。
現在、この脅威インテリジェンスに生成AIを用いる方法が研究されています。サイバー攻撃を行う主要な攻撃者集団の情報は、ネット上でOSINT情報として公開されています。そういった膨大な情報データを生成AIで自動的に収集・分析し、セキュリティの向上に役立てようとするものです。これは、データ分析の対象となる情報の範囲を拡大し、分析速度を向上させる可能性を秘めています。
高度化するサイバー攻撃に対抗するためには、フィッシングメールのような攻撃手法に関するデータ分析、セキュリティ対策プロセスの自動化、そしてOSINTのような公開情報データの活用といった、データに基づいた多角的なアプローチが不可欠です。生成AIのような最新技術を活用することで、データ分析能力を強化し、より効果的なセキュリティ対策を実現できる可能性があります。
データコンサルタント・データアナリスト視点でのサイバー攻撃とデータ活用の考察
サイバー攻撃者は、組織のアタックサーフェスにおけるデータに関連する弱点に注目し、攻撃ベクトルを定めます。例えば、公開されている脆弱なWordPressブログのDNSホスト名が特定された場合、攻撃者はこのインスタンスを侵害し、そのホストサーバーへのアクセスを試みます。成功した場合、攻撃者は当該ホスト名を含むURLを悪用し、従業員を標的としたフィッシングキャンペーンを展開します。これにより、偽装されたWebページへの誘導を通じて、社内ネットワークやVPNへの認証情報詐取を試みます。
窃取された認証情報を利用した侵入後、攻撃者はネットワーク内でのラテラルムーブメントを開始し、攻撃対象範囲を拡大します。このプロセスでは、様々なサーバーへのアクセスを試み、機密データや知的財産データの窃盗、あるいはランサムウェアを用いたデータ暗号化などを目的とします。これらの攻撃は驚異的な速度で進行することがあり、30~40分で組織全体に影響が及ぶ可能性も指摘されています。この短時間で、バックアップデータへの不正アクセスや削除、正規ユーザーによるアクセスを阻害するための認証情報改変といったデータ操作が行われることもあります。さらに、攻撃者は侵入後直ちに攻撃を実行せず、数週間から数ヶ月間にわたりネットワーク内のデータを監視し、状況分析に基づいた攻撃戦略を練る潜伏期間を設ける場合もあります。このことから、目立った異常がない状況でも、潜在的な脅威、すなわちデータ窃取や改変を狙う攻撃者が存在している可能性を常に考慮する必要があります。
データに基づいた攻撃発生時の対応
攻撃を受けた際にデータコンサルタントやデータアナリストの視点から取るべき行動は、データ収集、分析、そしてそれに基づく迅速な意思決定に集約されます。適切なSIEMやログ管理ツールを用いたネットワーク監視体制が構築され、異常なデータパターンやイベントを識別できる分析スキルを持つ担当者が配置されている場合、攻撃の実態把握のためには以下のデータ分析タスクが重要となります。
データ分析による攻撃の特定
攻撃の特定には、収集されたイベントデータ、ネットワークトラフィックの種類、使用されているプロトコルなどのデータにおける異常値やパターン分析が不可欠です。
「異常」とは、データ間の整合性が取れない事象を指します。例えば、ドメインコントローラーへのアクセス権限を持たない従業員アカウントによるログイン試行や、バックアップサーバーへの秘書アカウントによるログイン履歴などがこれに該当します。このようなアクティビティデータは、攻撃者がラテラルムーブメントを試み、データアクセス権限を拡大する過程で、不正に取得した認証情報を悪用し、本来アクセスすべきではないシステムへアクセスしているデータ痕跡として現れます。
また、ネットワーク上のトラフィックデータの種類も攻撃特定の重要なデータポイントとなります。例えば、通常IPv4トラフィックが主体である内部ネットワークにおいて、異常なレベルのIPv6トラフィックが観測された場合、これは侵害の兆候である可能性が高いと考えられます。これは、攻撃者がIPv4トラフィック監視を目的とした既存のセキュリティ製品を回避するために、IPv6を利用している可能性があるためです。WindowsシステムはDHCPv6リクエストを送信し、接続性やDNSの詳細を要求することがありますが、攻撃者はブロードキャスト要求をリッスンし応答する権限を利用してこれに応答することで、不正な通信チャネルを確立することがあります。
さらに、LLMNRやNBT-NSのようなブロードキャスト通信のデータからも攻撃の兆候を発見できます。これらのプロトコルは名前解決要求をブロードキャストしますが、任意のホストがこのブロードキャスト要求に対して応答するデータが観測された場合、ネットワーク内に攻撃者が潜んでいることを示す決定的なデータ証拠となります。攻撃者は、Windows内部ネットワークに対して、これらのプロトコルを利用したデータ収集や不正アクセスを試みることが少なくありません。
データに基づいた対応計画の実行
攻撃を受けているデータが明確になったら、事前に策定しておいたデータに基づいたインシデントレスポンス計画を実行に移すことが極めて重要です。攻撃への対応においては、インシデントレスポンス計画と復旧手順に厳密に従う必要があります。データに基づかない場当たり的な対応は、多くの場合効果がないか、より大きなデータ損失やシステム被害を招く可能性が高いと経験的に言えます。
調査のためのデータ準備
攻撃後のフォレンジック調査に備え、攻撃に関連するあらゆるデータ(ログ、トラフィックデータ、侵害されたシステムのイメージなど)を保全・整理しておくことが不可欠です。これは、攻撃経路、手法、影響範囲を正確に特定し、将来的な再発防止策を講じるための根拠データとなります。
データコンサルタント・データアナリスト視点でのDevSecOpsとデータ戦略
近年、DevSecOpsがデータ活用の新たな側面として注目されています。しかし、DevOpsほどの急速な普及には至っておらず、その将来性について判断を保留している組織も少なくありません。この点について過度に懸念する必要はありません。多くの組織はDevSecOpsという名称を明示的に用いていないとしても、ソフトウェア開発ライフサイクルの初期段階からセキュリティデータと分析を考慮に入れるという基本的なアプローチを既に採用しており、これは今日のデータ駆動型開発において不可欠であると、Splunkのエキスパートは指摘しています。
SplunkのIT運用/オブザーバビリティ担当グローバルディレクターであるNate Smalley氏も、ソフトウェア開発ライフサイクル全体を通じたセキュリティデータの共有と、開発の初期段階からのセキュリティデータ分析の組み込みが重要であるという見解を共有しています。同時に、この実践がデータ活用という観点ではまだ発展途上であることを認めています。
同氏は、「全体として、データに基づくDevSecOpsの実践はごく初期の段階です」と述べています。「開発スピードの向上を追求する過程で、多くの場合、セキュリティに関するデータの収集・分析と、システム全体の可視性(オブザーバビリティ)が犠牲になる傾向があります。今後1年間で、オブザーバビリティの向上と同時に、セキュリティに関する工程を前倒しする『シフトレフト』による具体的なデータに基づいたメリットが明らかになり、組織はセキュリティ強化のためのデータ戦略に本格的に乗り出すでしょう。」
ただし、このデータ戦略へのシフトは、想像以上に困難を伴うとSmalley氏は指摘します。DevOpsワークフロー全体におけるデータ収集プロセスと分析役割の見直し、そして新しいデータ分析スキルセットの獲得が必要となるためです。しかし、サプライチェーン攻撃やランサムウェア攻撃といった、データを標的とする脅威が急増している現状を鑑みると、データに基づいたセキュリティ対策の構築は待ったなしの課題です。
Smalley氏は、「パイプラインプロセスの初期段階からセキュリティデータへの取り組みの重要性にいち早く気付き、データ収集・分析体制の見直しを行う組織ほど、これらのデータ攻撃リスクを効果的に緩和できます」と強調します。
データ漏洩やシステム停止といった脅威の深刻さが広く認識されれば、コンプライアンスや規制遵守というデータ管理の側面からも、データに基づいたセキュリティへのシフトは加速すると考えられます。クラウドファーストやクラウドネイティブな環境への移行が進むことも、DevSecOpsにおけるデータ統合と分析の推進を後押しするでしょう。では、具体的に何から着手すべきでしょうか。Splunkのプラットフォームセールス担当VPであるMike Saliter氏は、これまでデータの共有や連携が限定的であった開発チームとセキュリティチーム間の、データと分析に関する文化的なギャップを埋めることが重要であると述べています。データプラットフォームを活用し、共通のデータに基づいた理解と協力を促進することが、DevSecOps成功のための人的・文化的な基盤整備につながります。
データコンサルタント・データアナリスト視点でのセキュリティと「人間データ」の重要性
開発プロセスにおけるセキュリティの組み込みは、データコンサルタントの視点から見ると、セキュリティ関連のデータと開発データの統合、そしてその分析に基づいた意思決定の促進が核心となります。「開発者にセキュリティを常に意識してもらうこと」とは、セキュリティテストの結果やコードの脆弱性に関するデータを開発ワークフローの中に自然に組み込み、アクセス可能な状態にすることと言えます。セキュリティツールの専門的な操作スキルよりも重要なのは、こうしたセキュリティ関連のデータを迅速に共有し、開発チームがそのデータを基に問題を解決できる環境を整備することです。セキュリティテストの結果をGitHubに連携したり、コードの静的解析結果などの問題をSlackのようなコミュニケーションプラットフォームを通じてデータ通知したりする方法は、セキュリティチームと開発チーム間でのデータフローを円滑にし、両チームのデータ共有による連携を強化する手段となります。
人間の行動データとサイバー攻撃
サイバーセキュリティ対策において、しばしば見落とされがちなのが、人間の心理や行動が生み出す「人間データ」の分析とその活用です。これまで観測されたサイバー攻撃の大部分は、高度な技術的エクスプロイトやゼロデイ攻撃といったシステムやソフトウェアの脆弱性を直接的に突くものではなく、人間を起点としたものでした。フィッシングメール、ビッシング(電話による詐欺)、あるいは自動化されたツールを用いたソーシャルエンジニアリングなど、攻撃者はまず人間とのインタラクションを通じてログイン認証情報という機密データを窃取しようと試みます。その後、盗み取った認証情報というデータを使って、正規ユーザーになりすましネットワークへの不正アクセスを行います。
人々がこうした攻撃の標的となる背景には、様々な心理的要因が生み出す行動データがあります。セキュリティに関するデータに基づいた十分なトレーニングを受けていないこと、他者の役に立ちたいという心理、あるいは無能に見られることや職を失うことへの恐れなどが挙げられます。これらの心理は、例えばCEOを装った偽のメールが送られてきた際に、その正当性をデータに基づいて疑うことなく、安全でないリンクをクリックしてしまうといった行動につながります。わずか数日間の準備と少額の費用で偽のソーシャルエンジニアリングキャンペーンが立ち上げられ、それによって十億ドル規模の企業のネットワークに侵入され、機密データが窃取される可能性があることは、攻撃者にとって人間データを利用した効率的な手法であることを示しています。
組織内部に潜む脅威もまた、重要な「人間データ」に関連する懸念事項です。国家レベルの攻撃者や犯罪組織が、標的組織の従業員を買収し、内部からランサムウェアを仕掛けたという事例も報告されています。このような、不十分なセキュリティ対策(システム的なデータ防御の弱さ)、不正な金銭の授受(倫理的なデータ異常)、そして人間の心理的な脆弱性という複数の要因が複合的に作用した結果、フィッシング攻撃を受けた従業員がアクセス認証情報という機密データを渡してしまい、侵入に成功した攻撃者が内部ネットワークのデータ構造を把握しながらラテラルムーブメントを展開し、最終的にランサムウェアによるデータ暗号化攻撃へと至るケースが見られます。データコンサルタントとしては、システムログやネットワークトラフィックといった技術的なデータに加え、従業員の行動データや心理的な側面から発生しうるリスクについても分析し、多角的な視点からのセキュリティ対策を提案していく必要があります。
データコンサルタント・データアナリスト視点での生成AIによるサイバー攻撃の変化とデータ戦略
近年、ディープフェイクに加えて、生成AIの悪用がサイバー攻撃手法を自動化し、データセキュリティに対する新たな課題を提起しています。これはデータコンサルタントとして、脅威インテリジェンスの分析と防御策のデータ設計において注視すべき由々しき問題です。
マルウェア生成の自動化とデータ量の爆発的増加
生成AIの登場は、マルウェア生成のハードルを劇的に低下させました。かつて高度なプログラミングスキルを持つ一部の専門家しか作成できなかったマルウェアが、ITの専門知識を持たない個人でも生成AIを活用することで容易に作成可能になるという事例が報告されています。これは、マルウェアのデータ量が今後加速度的に増加することを強く示唆しています。
実際に、2023年には前年と比較してマルウェアの報告数が大幅に増加しました。これが直接的に生成AIによるものだと断定するデータ証拠はまだ不十分ですが、生成AIツールが広く利用可能になった時期と重なることから、その関連性は高いと推測されます。このマルウェアデータの爆発的な増加に対応するためには、次々と出現する多様なマルウェアのデータを迅速に収集、分析し、それに基づいて防御システムを更新し続けるデータ駆動型の体制構築が不可欠です。膨大なマルウェアデータセットを効率的に処理し、未知のマルウェアパターンを識別するための高度なデータ分析手法や機械学習モデルの導入が求められています。
フィッシング攻撃の高度化とデータ分析の難化
フィッシング詐欺による被害も、生成AIによってさらに増加する可能性が高いと考えられます。従来のフィッシングメールは、不自然な日本語や明らかな誤りを含むことが多く、データ分析の視点からは異常なテキストパターンとして比較的容易に検出できました。しかし、生成AIは文脈に応じた自然で巧妙な文章を大量かつ低コストで生成できるため、フィッシングメッセージのデータに含まれる不自然さが極めて識別しにくくなっています。
これは、データ分析によるフィッシング検出の難易度を著しく向上させています。今後は、単なるキーワードマッチングや既知の悪性パターンの照合だけでは不十分であり、自然言語処理技術と高度なデータ分析を組み合わせ、文章の微妙な違和感や送信元の行動データなど、複数のデータポイントを関連付けて異常を検知する洗練されたデータ分析モデルが必要となります。すべての個人が巧妙化されたフィッシング詐欺の標的となりうるという前提に基づき、データに基づいた従業員向けのセキュリティ教育と、詐欺に遭遇した場合のデータに基づく適切な対応手順の周知徹底がますます重要になります。
生成AI悪用による自律的な脆弱性発見と攻撃の効率化
さらに懸念されるのは、生成AIが悪用されることで、アプリケーションの脆弱性発見から攻撃コードの生成、そして実際のハッキングまでの一連のサイバー攻撃プロセスが、より効率的かつ低コストで自律的に実行される可能性が出てきたことです。これは、セキュリティデータが生成される速度と量が圧倒的に増加することを意味し、従来の人間による分析や対応では追いつかなくなることを示唆しています。
データコンサルタントとしては、このような自律的な攻撃に対抗するために、データ収集基盤の強化、リアルタイムに近いデータ分析能力の向上、そしてAIを活用した自律的な防御システムの構築を提案していく必要があります。生成AIによって生み出される多様な攻撃データパターンを学習し、未知の攻撃にも対応できるような、データに基づいた継続的なセキュリティ対策の見直しと強化が急務となっています。
データコンサルタント・データアナリスト視点でのインシデントレスポンスとデータ復旧
インシデント発生時、データコンサルタントの視点では、関係者(インシデント対応担当者、経営層、法務チームなど)と連携し、ベンダーや法執行機関によるデータ侵害の調査に備えた環境整備が重要となります。第三者機関に調査を依頼した場合、その組織と法執行機関の間での正確なデータおよび情報伝達フローの確立が不可欠です。
ランサムウェア攻撃におけるデータと身代金
ランサムウェア攻撃に直面した場合、「身代金を支払うべきか」という問いは、データコンサルタントとしても非常に難しい判断を伴います。原則として、身代金の支払いは攻撃を助長するデータエコシステムを作り出すため避けるべきです。Cybereason社のレポートデータによれば、身代金を支払った組織の80%が再び攻撃されているという統計データも存在します。
しかし、状況によってはデータへのアクセスを早期に回復するために、要求に応じざるを得ないケースも存在します。例えば、病院の集中治療システムが暗号化され、患者の治療データにアクセスできなくなるような人命に関わる状況では、データ復旧を最優先するために身代金の支払いが検討されるかもしれません。身代金支払いの妥当性は、事業継続におけるデータへの依存度や、データ復旧にかかる時間とコストなどの要素をデータに基づいてケースバイケースで判断する必要があります。
さらに、どのような対応策を選択したとしても、攻撃者はデータの二重、三重恐喝を仕掛けてくる可能性があります。単にデータを暗号化して身代金を要求するだけでなく、追加の金銭を支払わなければ窃取した機密データを公開するという脅迫データを用いた手口が一般的になってきています。また、最終手段として、攻撃の事実をメディアに暴露するという脅迫データを用いることもあります。被害が公になった場合、顧客からの信頼喪失(これは将来的な収益データに影響します)、法務関連費用の増加、株主代表訴訟、監督省庁へのコンプライアンス関連のデータ報告義務など、様々なデータに基づいた負の影響が発生する可能性があります。
データに基づかないセキュリティ計画の代償
予算や人員の制約から、セキュリティおよびデータ復旧に関する計画を十分に策定していない組織は少なくありません。セキュリティ部門が存在する場合でも、インシデント発生時の各担当者の役割やデータ連携の方法が不明確であることもあります。
対応計画がデータに基づいていない場合、セキュリティ部門は何を優先して対応すべきか判断に迷い、事態をさらに悪化させる可能性があります。セキュリティエンジニア、データアナリスト、インシデント対応担当者が攻撃を発見した際に、連携体制に関するデータに基づいた明確な指針が定まっていなければ、組織全体が混乱に陥るリスクが高まります。侵害の全容をデータから正確に把握することが困難になり、本来オフラインにする必要のないシステムまで停止させてしまうなど、不適切なデータに基づいた判断を下す可能性も出てきます。また、インシデント対応を依頼したベンダーや社内チームに対して、調査や復旧に必要なデータや情報を提供できないといった問題も発生します。
攻撃後のデータ・リストアの重要性
事業活動の停止が長引くほど、データアクセスが不可能であることによる経済的損失は増大します。Gartner社の調査データによると、ITシステムのダウンタイムがもたらす損失は、1分あたり平均5,600ドルとされています。これは1時間あたりに換算すると約30万ドルにも達します(14万ドル~54万ドルの平均値)。繁忙期の大規模小売業(ブラックフライデー期間中のCostco、Target、Walmartなど)においては、1分あたりの損失が数百万ドルに達する可能性を示すデータもあります。
2020年のCoveware社のレポートデータによると、ランサムウェア攻撃による平均的なダウンタイム期間は16.2日でした。さらに、攻撃から完全に復旧し、データが完全に利用可能な状態に戻るまでには、平均で287日を要しているというデータも存在します。
このような高いコストデータを考慮すると、ダウンタイムは短ければ短いほどよいことは明らかです。攻撃から迅速に回復し、事業を再開するためには、侵害されたシステム環境のクリーンアップと、バックアップデータからの迅速かつ正確なリストアが不可欠です。データ復旧計画の事前策定と定期的なテストは、ダウンタイムによるコストを最小限に抑えるための最も重要なデータ戦略の一つと言えます。
データコンサルタント・データアナリスト視点での攻撃後のデータ管理と新たな脅威への対応
サイバー攻撃を受けたシステム群は、データコンサルタントの視点では、攻撃活動が完全に終息するまでネットワークから論理的または物理的に隔離し、データの流出やさらなる侵害を防ぐ必要があります。攻撃収束後は、ネットワーク上の全てのシステムに徹底的なデータ調査を実施し、マルウェアの痕跡や不正に残置されたデータ(アーティファクト)がないことを確認することが極めて重要です。このデータ検証プロセスを怠ると、システムの再稼働、データ移行、そしてバックアップからのデータリストアを実施しネットワークをオンラインに戻した途端に、潜伏していたマルウェアが再び活動を開始し、データ侵害が再発するリスクがあります。したがって、バックアップデータからシステムを本稼働させる前には、必ずクリーンな環境であることをデータに基づいて確認する必要があります。
迅速なデータリストアのための戦略
攻撃に備える上で、BCDR(事業継続・災害復旧)計画にデータ復旧戦略を明確に盛り込むことが不可欠です。これらの計画には、具体的にバックアップデータからシステムをリストアする手順を明記します。ダウンタイム中は、データアクセスが不可能であることによるコストが刻々と発生するため、データ復旧は可能な限り迅速に行えるように準備しておく必要があります。効果的かつ迅速なデータリカバリには、直前または極めて近い時点のデータ復元ポイントが不可欠です。これが存在しない場合、データ復旧プロセスが大幅に遅延したり、最悪の場合データリカバリが不可能になる可能性もあります。
したがって、リカバリ性能に優れたストレージおよびバックアップソリューションの選択が非常に重要になります。優れたソリューションは、最新のストレージテクノロジーを活用し、攻撃者が組織のバックアップデータを完全に削除することを防ぐデータ保護機能を提供しています。
また、スナップショットデータやバックアップデータのフォレンジック分析を行うための、適切なサンドボックス環境を用意することも重要です。データ復旧を安全に行うためには、まずフォレンジック調査とデータクレンジングを実施し、攻撃者が残した侵害の兆候データを発見し、確実に除去する必要があります。強固なロギング環境を整備し、システムおよびネットワークの活動データの可視性を確保しておくことは、復旧プロセス中に侵害の痕跡データを探し出す上で不可欠なデータリソースとなります。
データに基づいた振り返りと対策
復旧後には、攻撃によって何が起こったのかをデータに基づいて詳細に振り返ることが重要です。そこから得られた分析結果を基に学び、必要に応じてシステム構成やデータ管理ポリシーを修正し、今後のデータセキュリティ強化にどのように取り組むべきかを理解します。この振り返りのプロセスでは、テクノロジーに関するデータだけでなく、人間の行動データや、セキュリティプロセスにおけるデータフローの問題点なども検証します。これにより、例えば、フィッシング攻撃のデータパターンを識別するためには、より包括的なユーザー教育が必要であるといった具体的な課題が明らかになります。検証で判明した課題への対応策をデータセキュリティ計画や方針に取り入れることで、準備と対策を継続的に改善していくことが可能となります。
プロンプトインジェクション攻撃:生成AIへのデータ操作
生成AIは、サイバー攻撃の強力なツールとして利用されるだけでなく、その処理するデータや出力がサイバー攻撃の対象ともなり得ます。プロンプトインジェクション攻撃は、対話型AIシステムに対する攻撃手法の一つであり、AIへの入力データであるプロンプトに悪意ある指示やデータを挿入することにより、生成AIの出力データを操作し、不正な動作を引き起こすものです。
このタイプの攻撃は様々なデータ悪用の手段に用いられます。例えば、企業の機密情報やユーザーの個人情報といった機微なデータをAIから不正に引き出したり、さらに悪意のあるデータを入力することで、AIが不適切な回答や出力を生成するように誘導したりすることも可能です。
ここで述べてきたように、残念ながら生成AIは既に様々なサイバー攻撃におけるデータ操作や自動化に用いられています。データコンサルタントとしては、このような新しい攻撃手法によるデータリスクを理解し、生成AIを利用するシステムにおけるデータの入力検証や出力フィルタリングといった対策の重要性を啓蒙していく必要があります。
データコンサルタント・データアナリスト視点での生成AIによる攻撃加速と防御のためのデータ戦略
新しいWebアプリケーションがリリースまたは更新された直後に、その脆弱性データを利用して攻撃を仕掛ける「ワンデイ攻撃」は、データコンサルタントとしてその発生メカニズムとデータ痕跡の分析が重要な脅威手法です。攻撃者は、公開されている脆弱性情報などのデータソースを参考に、エクスプロイトと呼ばれる脆弱性を突くプログラムを作成し、サイバー攻撃を展開します。
生成AIによるエクスプロイト生成の自動化と攻撃データの変化
生成AIが出現するまで、エクスプロイトの開発には脆弱性に関する情報収集とプログラム開発に時間を要するため、必ずしも効率的な攻撃方法とは言えませんでした。しかし、この状況はデータ分析の視点から劇的に変化しています。2024年5月には、「生成AI悪用で脆弱性を突く「自律サイバー攻撃」、GPT-4利用なら成功率87%」という報道がありました。
これは、人間が手作業で行うよりも低コストで、生成AIを用いたエクスプロイトの自動生成に成功したことを示しています。この能力は、インターネット上に存在する過去に作成された様々なエクスプロイトに関する膨大なデータを生成AIが学習することによって実現されました。この学習プロセスにより、生成AIは自律的に攻撃プログラムを生成できるようになったのです。
現時点では大規模な被害報告は少ないものの、今後は生成AIを用いたワンデイ攻撃が発生し、その被害データが増加することが予想されます。これは、新しいアプリケーションのリリースと同時に、その脆弱性データに対する攻撃がより迅速かつ大規模に行われるようになることを意味します。
生成AIを用いたサイバー攻撃へのデータ対抗策
生成AIによってサイバー攻撃は巧妙化し、攻撃手法や生成される悪性データの多様性が増していますが、逆にサイバー攻撃から身を守るためのセキュリティもデータ分析とAI活用によって高度化しています。
ネット上のデマ・ディープフェイクの検出におけるデータ活用
SNSで拡散するデマや偽情報、特に生成AIによって作成されたコンテンツに関しては、データに基づいたファクトチェックツールを用いることで、その情報の真偽をデータとして検証することが既に可能になっています。「LLMファクトチェッカー」は、東京大学発のAIベンチャー企業である株式会社TDAI Labによって開発されたツールで、生成AIや人間が書いた文章の真偽判定をデータに基づいて行うことができます。判定方法としては、インターネット上の信頼できるデータソースを自動で検索・抽出し、情報の根拠データと比較することで真偽を効率的に確認するというものです。
ディープフェイクに対抗する方法としても、様々なデータ分析ツールや技術が開発されています。例えばSentinel(センチネル)は、世界最大規模のディープフェイクデータベースという膨大な視覚データセットを備えたディープフェイク自動検出プラットフォームを提供しています。
これらのツールや技術を活用することで、怪しい情報やデータに対して、データ分析に基づいた対抗措置を講じることが可能です。しかし一方で、ディープフェイクを作成する生成技術も向上しており、攻撃手法とそれに対する防御手段の進化は、データ分析の高度化という側面において「イタチごっこ」の状況にあると言えます。
そのため、現状では法的な規制が追いついていないディープフェイクによる虚偽情報の拡散に対し、法的に禁止し、刑事罰の対象とすることも必要となってきています。既にアメリカの一部の州では、特定の条件下におけるディープフェイク情報の拡散を禁じる州法が制定されています。今後、このようなデータに基づいた法規制の動きが世界的に広がっていくことが予想されます。データコンサルタントとしては、技術的な対策だけでなく、データを取り巻く法規制の動向にも注視し、クライアントに対して包括的なデータリスク管理の視点を提供していく必要があります。