EDR、SIEM、NDR:異なるデータソースに基づくセキュリティ分析
多くの組織が、エンドポイントのプロセスデータやファイルデータなどを収集・分析する「EDR」、多様なシステムから発生するログデータやイベントデータを統合・相関分析する「SIEM」といったソリューションを導入し、セキュリティ対策を強化しています。しかし、複雑化したシステム環境においては、単一のデータソースや分析手法では捉えきれない、巧妙化した不正アクセスや内部の悪意を持った行動をリアルタイムに検知することは困難です。こうした背景から、ネットワークトラフィックデータやフローデータをリアルタイムに収集・分析することで、一見正常に見えるものの、データパターンとして不審な振る舞いを可視化する「NDR(Network Detection and Response)」という手法が注目されています。
NDRの中でも、「Darktrace」は独自のAIや機械学習を活用し、ネットワークトラフィックデータを教師なし学習などで分析することで、組織の「通常の」データパターンからの逸脱、すなわち「いつもと違う」異常なデータ検出に強みを持っています。各エンドポイントにエージェントのインストールが必要なEDRとは異なり、ネットワーク全体のトラフィックデータを監視・分析するため、エージェントの導入が困難なOTやIoTといったシステム環境だけでなく、IaaSやSaaSといったクラウド環境におけるデータ通信の脅威検知も可能です。これは、データ収集範囲の広さと分析対象データの多様性という点で強力なアプローチと言えます。
NDR運用におけるデータ分析結果の活用課題
しかしながら、高度化した不審な挙動をデータとして検知するNDRを効果的に運用するには、いくつかのデータ分析関連の課題が存在します。セキュリティやIT運用の専門人材が不足している状況の中で、「Darktraceで検知したアラートの内容が良く分からない」「どう対応すべきデータなのか判断がつかない」といった運用面における課題に悩む組織も少なくありません。これは、AIや機械学習による高度な分析結果(アラートデータ)を解釈するための専門知識や、分析結果に基づく迅速な意思決定プロセスの不在に起因しています。Darktraceが持つデータ分析能力を最大限に発揮し、サイバー攻撃被害を未然に防止するためには、発生したアラートデータのトリアージ、分析、そしてインシデントレスポンスへと迅速につなげる体制構築が不可欠です。豊富な機能を備えるDarktraceを活用し、より高度なセキュリティ運用を実現するには、検知したデータから価値を引き出し、対応につなげる運用方法を確立する必要があります。
Microsoft TeamsやSharePoint、Google Driveといったクラウドサービスも重要なデータ資産の保管場所となり、アカウント乗っ取りやなりすましといった攻撃の標的となっています。これらのサービスにおけるセキュリティ強化には、認証データやアクセスログデータの監視・分析に加え、DMARC設定のようなメール関連データの信頼性を高める対策も有効です。
ランサムウェア感染経路データと脆弱性管理の課題
リモート/ハイブリッドワークの環境が普及し、デジタルテクノロジーが発展する一方で、データアクセス経路が多様化し、さまざまな組織がサイバー攻撃の脅威に翻弄されています。警察庁発表のデータをみると、ランサムウェア感染経路の1位が「VPN」となっています。これは、特定のデータ経路が攻撃に悪用されている明確なデータトレンドを示しています。VPN経由の感染対策として脆弱性管理が挙げられますが、対応すべき脆弱性データの範囲が拡大しており、脆弱性データの収集、評価、対応にかかる管理負担が従来と比べて圧倒的に増加しています。企業の人材不足が課題となるなかで、増大する脆弱性管理データを効率的に処理・対応するには限界がきていると言えます。
正規認証情報悪用とデータセキュリティの強化
また最近では、ユーザーIDやパスワードといった「正規認証情報」を利用した攻撃が増えています。これは、正規認証情報データが悪用されている状況を示しており、この正規認証情報がダークウェブ上で取引されていることも、VPNを経由したサイバー被害が増えている原因の一つとして考えられます。この状況は、認証情報データに対する厳格な管理と、多要素認証のような追加的な認証データによる認証プロセスの強化が不可欠であることを強調しています。
総じて、現代のサイバー脅威に対抗するためには、EDR、SIEM、NDRといった異なるデータソースと分析手法を活用し、組織全体のデータを包括的に監視・分析する戦略が必要です。特に、膨大なトラフィックデータをAI/機械学習で分析するNDRは、未知の脅威に対する有効な手段となり得ますが、その分析結果を効果的に活用するための運用体制構築が成功の鍵となります。また、特定の攻撃経路(VPN)や悪用されるデータ(正規認証情報)に焦点を当てた対策も、データに基づいたリスク評価に基づき、優先的に講じるべき重要な要素です。
VPNリスクのデータ分析と「脱VPN」のデータ戦略
日々執拗に繰り返されるサイバー攻撃の脅威は、特にVPNのようなデータアクセス経路を狙う傾向を強めています。VPNはネットワークへの入口となるデータ集約点であり、その脆弱性を突かれることでシステム全体への不正アクセスを許してしまうリスクがあります。ランサムウェア感染経路のデータでVPN経由が上位を占めている事実は、このリスクの高さを示す統計的な根拠です。こうした状況に対処するため、脆弱性管理を必要としない「脱VPN」のアプローチが有効となり得ます。これは、従来の境界型防御から、データアクセス主体やデータ利用状況の継続的な監視・分析に基づくゼロトラストセキュリティモデルへの移行という、データアクセス制御の根本的な戦略変更を意味します。
正規認証情報悪用とデータ管理の重要性
サイバー攻撃者が正規認証情報(ユーザーIDやパスワード)を悪用するケースが増加しています。これらの情報は、システムへの正当なデータアクセス権限を付与する重要なデータ資産であり、ダークウェブ上で取引されているという事実は、認証情報データが違法に流通し、悪用されやすい環境が存在していることを示唆しています。正規認証情報が侵害されることで、攻撃者はデータアクセス権限を悪用し、機密データの窃取やシステムの破壊といった深刻な被害を引き起こす可能性があります。データセキュリティの観点から、正規認証情報に対する厳格な管理と、多要素認証のような追加的な認証データによる防御層の強化が不可欠です。
メール経由の脅威データ多様化と分析課題
ランサムウェアやマルウェア感染、なりすましやビジネスメール詐欺(BEC)といったメール経由のセキュリティ脅威は多様化し、その攻撃手法も高度化しています。特に蔓延しているのがフィッシング攻撃であり、その被害はデータとして急増しています。フィッシングの攻撃手法は実に様々で、特定の個人データを標的とするスピアフィッシング、悪意のあるURLリンクや添付ファイルを起点とする不正サイトへの誘導など、攻撃に利用されるメールデータの種類や内容、送信パターンが多様化しています。これらの攻撃は、一目見ただけでは正規のメールデータと区別できないほど巧妙化しており、人間の目や既存のメールセキュリティ対策による静的なデータ分析だけでは判別・分析が困難になっています。
標準機能や既存のメールセキュリティ対策(フィルタリング機能によるスパム/フィッシングメールのデータ遮断、マルウェア対策ソフトウェアによる不正データ(リンク、添付ファイル)からの防御など)を実施している組織は少なくありません。しかし、多くのフィッシング攻撃がこれらの既存対策をすり抜けているのが現状です。特に「Microsoft 365」や「Google Workspace(Gmail)」といったクラウドサービスの保護においては、オンプレミスメールサーバー向けのデータ特性に基づいて設計された既存のメールセキュリティ設計は不向きであり、対策として十分ではないと指摘されています。クラウド環境はオンプレミスとは異なるデータ構造や通信特性を持つため、それに適したデータ分析と対策が必要です。
コラボレーション/ファイル共有ツールのデータリスク
サイバー攻撃の標的はメールだけでなく、多くの従業員が利用するコラボレーション/ファイル共有ツールにも拡大しています。「Microsoft Teams」「OneDrive」「SharePoint」「Slack」など、日々の業務で多量の共有ファイルデータや通信データを扱うサービスが狙われています。例えば、ファイル共有機能を通じて悪意のあるファイルが送信され、マルウェアやランサムウェアがシステムに侵入するリスクは、データ内容のセキュリティチェック体制の不備を示しています。また、アクセス権限の不適切な設定は、データアクセス制御データの不備であり、誤操作や悪意のある行動によるデータ漏洩やシステム全体への危険を招く可能性があります。さらに、多くのコラボレーションツールは他のアプリケーションとデータを統合・連携して使用されることも多く、そうしたサードパーティーアプリのセキュリティデータ管理体制が不十分な場合、連携経路を介した脆弱性が発生するリスクも存在します。
統合型セキュリティソリューションによるデータ保護戦略
既存のメールセキュリティ対策をすり抜ける巧妙なフィッシング攻撃や、コラボレーションツールにおけるデータセキュリティ課題に対抗するためには、データに基づいた新しいアプローチが必要です。Microsoft 365やGmailなどのクラウドサービス固有の課題にも対応する最新のアプローチに基づいたセキュリティソリューションは、複数のデータソース(メールデータ、コラボレーションツール関連データ、通信データなど)を統合的に収集・分析し、既存の対策では防ぎきれない高度な脅威を検知する機能を提供します。優れたフィッシング検知機能などは、こうした統合的なデータ分析の結果として実現されるものです。
クラウドサービスの利用拡大に伴い、最適なメールセキュリティのプラクティスや、既存対策からの乗り換えを検討する際には、データに基づいたリスク評価と、クラウド環境のデータ特性に適したセキュリティソリューションの機能を十分に検討する必要があります。スパムやフィッシング、BECといったメール経由攻撃、そしてコラボレーションツールのセキュリティ強化は、データに基づいた統合的なアプローチによって実現されるべき重要なセキュリティ課題です。
アタックサーフェス拡大:データポイントの増加と脆弱性リスク
デジタル技術の急速な普及は、多くの組織が事業を展開する基盤を大きく変化させました。インターネット、クラウドサービス、IoTデバイスの増加、ビッグデータや人工知能の活用といった技術進展は、組織が扱う「データ」の種類、量、所在、そしてアクセス経路を多様化・分散させています。これにより、悪意のある攻撃者が利用可能な「データポイント」が増加し、結果としてサイバー攻撃の対象範囲、いわゆる「アタックサーフェス」は拡大の一途を辿っています。攻撃者はこれらの新たなデータポイントやその連携部分に存在する脆弱性を狙い、執拗なサイバー攻撃を繰り返しています。
IT資産データ把握と脆弱性データ管理の課題
多くの攻撃者は、まず初めにインターネットからアクセス可能な外部に公開されているIT資産から得られる公開情報や関連データを収集・分析し、攻撃対象や攻撃手法を検討します。こうしたサイバー攻撃から組織のデータ資産を守るためには、外部に公開されているIT資産というデータポイントを特定し、それらが「弱点となるデータを晒していないか」(脆弱性を抱えていないか)を継続的かつ定期的にデータに基づいて評価する仕組みを構築することが極めて重要です。
その一方で、組織内の様々な部署が管理統制外で大量のサイト(ドメイン)などのIT資産を立ち上げている場合、これらの管理すべきデータポイントの「棚卸し」(データ収集)ができていなかったり、大量のIT資産に関する最新の状況データ(稼働状況、構成情報など)を網羅的に把握できない状況がしばしば発生しています。これらのIT資産に関するデータを適切に把握・統合した上で、そこに存在する脆弱性データ(発見された脆弱性の種類、深刻度など)を一元管理し、全社的なデータに基づいた対策を講じなければ、結果的にサイバー攻撃などのセキュリティ・インシデントのリスクを高めてしまう原因となります。手間やコストの観点から、すべてのIT資産に対して脆弱性診断データ(診断結果データ)を収集・分析することも困難な場合が多く、これもデータ収集プロセスの課題です。
ASM(Attack Surface Management):データ収集・分析・管理戦略
自組織が保有するIT資産において増え続けるアタックサーフェスをどう把握、管理していくかは、データコンサルティングの重要なテーマです。その解決策の一つが「ASM(Attack Surface Management)」です。ASMは、外部(インターネット)からアクセス可能なIT資産に関する公開情報や関連データを調査・収集し、これらのデータと脆弱性データベースなどのセキュリティ関連データを照合・分析することで、それらに存在する脆弱性をデータとして継続的に評価する取り組みです。これは、組織が把握していない外部からの可視性というデータに基づき、アタックサーフェス上のリスクをデータとして可視化し、継続的に管理することを可能にします。
ASMを実行する具体的な手法は、データコンサルタントのプロジェクト遂行プロセスになぞらえることができます。一般的に、以下の4つのステップで実現されます。
外部公開IT資産データの網羅的な収集: インターネット上の様々なソースから、組織に関連する可能性のあるIT資産に関するデータ(ドメイン情報、IPアドレス範囲、ポート情報、使用技術など)を網羅的に収集します。これは、管理すべきデータポイントを特定するフェーズです。
収集データと脆弱性データの照合・分析: 収集したIT資産データと、既知の脆弱性情報データベースなどを照合し、発見されたIT資産に存在する可能性のある脆弱性データを分析します。ここでは、収集したデータからリスクをデータとして評価します。
リスクデータに基づく優先順位付け: 分析によって特定された脆弱性データに対し、その深刻度やIT資産の重要度といった要素を考慮してリスクを評価し、対応の優先順位をデータに基づいて決定します。これは、限られたリソースを最も効果的に活用するためのデータ活用です。
継続的なデータモニタリングと対策評価: アタックサーフェスは常に変化するため、ステップ1~3のプロセスを継続的に実行し、新たなIT資産データや脆弱性データを監視します。実施した対策の効果もデータに基づいて評価し、必要に応じて戦略を見直します。
「外部公開IT資産全体の脆弱性情報を一元管理できていない」という課題は、異なるソースから得られる脆弱性診断データや、外部からの観測に基づく脆弱性データを統合し、分析可能な形式で管理するデータ統合・管理の課題と言えます。手間やコストの観点からすべてのIT資産に脆弱性診断データを収集できない組織にとって、ASMは外部から観測可能なデータに基づきリスクを評価し、優先順位を付けて対策を行うための、データに基づいた効率的なアプローチを提供します。
増大するアタックサーフェスリスクに対抗するためには、ASMによって外部から観測可能なIT資産データを継続的に収集・分析し、脆弱性データを統合管理する、データに基づいたセキュリティ強化が不可欠です。これは、データコンサルタントが組織のリスクマネジメント戦略において貢献できる重要な領域です。
データコンサルタントおよびデータアナリストの視点から、現代ビジネスにおけるデータ資産の重要性、ランサムウェア攻撃の深刻化、および効果的なデータ保護戦略について分析します。
企業にとって深刻化するサイバー攻撃とデータリスク
現代のビジネス環境において、データは組織の意思決定、業務遂行、顧客との関係構築におけるまさに生命線です。しかし近年、ランサムウェア攻撃をはじめとするサイバー攻撃が急増しており、この重要なデータ資産に対する重大な脅威となっています。
ランサムウェア攻撃は、企業のシステムに侵入し、管理するデータを暗号化してアクセス不能にすることで、身代金を要求する悪質な手法です。一度感染すると、重要なデータが物理的に失われるリスクや、データへのアクセス不能による業務停止といった、データ可用性に関わる深刻な被害が発生します。これらの被害は、データに基づいた収益の損失、復旧コストの発生、顧客からの信頼失墜といった多岐にわたるビジネスインパクトにつながります。
ランサムウェア攻撃は、近年データとして増加傾向にあることが示されており、企業規模や業種を問わず、あらゆる組織がその脅威にさらされている状況です。警察庁が2024年9月に発表した「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、2024年上半期におけるランサムウェアの被害報告件数は114件となり、前年同時期よりも11件増加するなど、引き続き高水準で推移していることがデータから読み取れます。ランサムウェアによるサイバー攻撃を受けて25万人分の個人情報が流出した被害事例では、一部の情報がダークWebサイトで公開されるといった事態も発生しており、データ漏洩の規模や機密データが悪用されることの深刻さが浮き彫りとなりました。また近年は、生成AI(深層学習により新たなコンテンツを生成できる人工知能)を悪用した、より巧妙で大規模な攻撃手法も増えており、防御側が分析すべき攻撃データはより複雑かつ大量になっています。
従来のデータバックアップ運用における課題
高度化するランサムウェア攻撃から重要なデータ資産を守るためには、データ保護、特にバックアップと迅速なリカバリ対策が不可欠です。しかし、従来のバックアップ運用にはいくつかのデータ管理・データ処理に関する課題がありました。膨大なデータ量のバックアップに時間がかかったり、オンプレミスやクラウドなど複数のシステム環境に分散したバックアップデータを一元的に管理することが煩雑で運用コストがかさむなど、ランサムウェア対策として十分とは言えない状況でした。また、災害や障害発生時にバックアップデータからの迅速な復旧が困難である場合があり、これはデータ可用性の観点から事業継続に大きな課題をもたらします。
最新Arcserve UDPアプライアンスによるデータ保護戦略
これらの課題を解決し、ランサムウェア攻撃からビジネスの生命線であるデータ資産を守るための一つの解決策として、最新のデータ保護ソリューションであるArcserve UDP アプライアンスがあります。Arcserveが培ってきた実績と技術が詰まったこのアプライアンスは、データ保護システムのサイジング設計といった導入時の複雑性を軽減し、容易な導入を実現します。また、高速バックアップ機能により大量のデータを効率的に処理し、バックアップ時間を短縮します。さらに、複数のシステムに分散したバックアップデータを一元管理できるため、データ管理の効率化に貢献します。遠隔地やクラウドへのバックアップデータ複製は、ランサムウェア攻撃による主要拠点データの喪失リスクに対する地理的な分散対策となり、災害や障害発生時における迅速なデータ復旧(データ可用性の確保)とビジネス継続性を確保します。加えて、バックアップデータ自体も保護する機能は、リカバリに不可欠な二次バックアップデータの完全性を確保する上で重要です。
ランサムウェア攻撃によるデータ被害は拡大の一途を辿っており、重要なデータ資産を守るためには、データ量増加に対応できる効率的なバックアップ・リカバリ戦略と、バックアップデータ自体の保護が不可欠です。Arcserve UDP アプライアンスは、これらの要件を満たすための具体的な手段の一つとなり得ます。
データコンサルタントおよびデータアナリストの視点から、セキュリティリスクの現状と、メール、SaaS、エンドポイントといったデータポイントにおける対策について分析します。
メール起点のリスク可視化とセキュリティ運用改善のためのデータ活用
既存のメールセキュリティ対策をすり抜ける巧妙なフィッシング攻撃や、シャドーITの温床ともなり得るメールサービスやコラボレーションツールの利用状況は、データセキュリティ上の重要なリスク要因です。Microsoft 365やGoogle Workspaceといったクラウドサービスにおけるセキュリティ強化には、クラウド固有のデータ構造やアクセスパターンに対応したデータ分析に基づくアプローチが不可欠です。既存のセキュリティ対策では対応しきれない理由をデータ特性の観点から整理し、これらの課題に対応する最新のメール/コラボレーションセキュリティ統合ソリューションは、各種SaaSのログイン履歴・利用状況や、メールに関連するセキュリティ脅威を数値化・可視化して現状をデータとして把握可能な管理機能を提供します。これにより、メールを起点としたM365/Google WS環境全体のセキュリティ運用を、収集・分析したデータに基づいて改善するためのヒントを得ることができます。
エンドポイントデータと特権アカウントを狙う攻撃のリスク
IT環境の複雑化に伴い、サイバー攻撃はますます高度化しています。中でも、組織のエンドポイントであるPCは、ユーザー活動データ、プロセス実行データ、ファイルアクセスデータなどが発生する主要なデータポイントであり、攻撃者にとって魅力的な突破口となります。最も警戒すべき脅威であるランサムウェアの多くが、エンドポイントの特権、すなわちこれらのデータに対する広範なアクセス権限を狙ってきます。
攻撃者は、脆弱なエンドポイントからシステムに侵入し、その特権アカウントが持つデータアクセス権限を悪用しようと攻撃を仕掛けてきます。エンドポイントの特権が奪われると、セキュリティ設定データの無効化、マルウェアのインストールによる不正なデータ生成・操作、サーバへの水平移動による組織内データの不正アクセスといった、企業インフラの重要部分に対する広範なデータ操作が可能となります。また、管理者アカウントのような強力な特権アカウントが奪われてしまうと、システム全体へのデータアクセス権限が悪用され、導入しているすべてのセキュリティ対策データが無意味になりかねません。特権IDを悪用されないようにするには、エンドポイント特権が持つデータアクセス権限を適切に保護することが極めて重要です。
エンドポイント特権データの管理課題:「ゼロ特権化」の現実とバランス
セキュリティリスクを最小化するため、多くの管理者がエンドポイントから特権、すなわちデータへの広範なアクセス権限をなくしたい(ゼロ特権にしたい)と考えることは自然なデータリスク管理戦略です。しかし、実際にはシステム管理やアプリケーション導入など、管理者権限が必要な運用が存在するため、完全なゼロ特権化はデータ運用上の制約から困難なのが現状です。
ただ、現場のユーザーに「常時」管理者権限を付与すると、広範なデータアクセス権限が継続的に与えられている状態となり、セキュリティリスクが増大しシステムが脆弱になります。一方で、利用の「都度」権限を付与すると、個別のデータアクセス権限変更処理に伴う管理者の運用負荷が増えてしまいます。これは、データに基づいたリスク評価に基づくセキュリティ強化と、運用効率化のバランスをとることの難しさを示しています。多くの組織が、このバランスを取ることが難しくなった結果、リスクを承知で常時管理者権限を付与して運用している状況です。
高度化する脅威に対し、メール/SaaS利用データやエンドポイントデータを分析し、リスクをデータとして可視化すること、そしてデータに基づいた特権アクセス管理戦略によって、セキュリティリスクを最小化しつつ運用効率も考慮した対策を講じることが不可欠です。
データコンサルタントおよびデータアナリストの視点から、エンドポイントセキュリティ、特に特権アカウント管理の課題と、ランサムウェアやソーシャルエンジニアリングといった脅威へのデータに基づく対策について分析します。
エンドポイント特権データの管理課題とEPMによるデータアクセス権限の最適化
セキュリティと利便性のバランスを保つことは、エンドポイント特権管理における重要な課題です。エンドポイントデバイスのローカル特権IDは、システム構成の変更やソフトウェアのインストールなど、データ操作に不可欠な広範なアクセス権限を持っています。しかし、これらの特権IDが侵害された場合、システム全体のデータへの不正アクセスや操作、防御システムの無効化といった深刻なリスクを招きます。
この課題に対する解決策の一つとして、「エンドポイント特権管理(EPM)」の適用が有効です。EPMは、エンドポイントに存在するローカル特権IDという「データ」をデフォルトで無効化し、特権が必要な特定の作業を行う際にのみ、一時的に必要な権限データを付与することを可能にします。これにより、データアクセス権限を最小限に抑えつつ、業務遂行に必要なデータ操作を許可するという、セキュリティと利便性のバランスを図ることができます。
EPMを効率的に実現するソリューションとして、「iDoperation EPM Cloud」のようなクラウドベースのサービスが挙げられます。iDoperation EPM Cloudは、組織内のエンドポイント特権IDデータの一元管理と制御を可能にし、運用負荷を軽減します。これにより、エンドポイントにおける特権アカウントデータの保護を強化し、サイバー攻撃によるデータ侵害リスクを最小化することに貢献します。進化するサイバー攻撃に備えるためには、データに基づいたエンドポイント特権管理戦略の構築が不可欠です。
ランサムウェア被害データと生成AI悪用による攻撃の高度化
データを暗号化して身代金を要求するランサムウェアによる被害は、データとして高水準で推移しています。警察庁が2024年9月に発表した「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、2024年上半期におけるランサムウェアの被害報告件数は114件となり、前年同時期より11件増加しています。ランサムウェアによるサイバー攻撃を受けて25万人分の個人情報が流出した被害事例に見られるように、データ漏洩の規模や機密データがダークWebサイトで公開されるといった事態は、データに関する被害の深刻さを浮き彫りにしています。
また近年は、生成AIが悪用された、より高度な手法によるサイバー攻撃が増えています。生成AIが持つ高度なデータ生成能力や自動化機能は、サイバー攻撃を効率化するなど、攻撃者にとって強力なツールとなり得ます。たとえば、生成AIを悪用し、巧妙な回避技術を備えたランサムウェアが生成され、エンドポイントセキュリティやウイルス対策ソフトによるデータ分析(検知)をくぐり抜け、被害が深刻化する事態も発生しています。これは、防御側が分析すべき攻撃データがより複雑化し、従来のデータ分析手法だけでは対応が困難になっていることを示唆しています。
ソーシャルエンジニアリングと人間データの脆弱性
サイバー攻撃者は、技術的な脆弱性だけでなく、人間の心理や行動といった「人間データ」の脆弱性を突く「ソーシャルエンジニアリング」の手法も巧みに用います。技術的なセキュリティ対策(データに基づいた防御システム)がどれだけ整備されていても、従業員のセキュリティ意識や知識が不十分な場合、誤って悪意のあるリンクをクリックしたり、フィッシングメールに誘導されたりするといった人的ミスにより、システムへの侵入を許してしまうことがあります。これは、セキュリティ対策のデータ分析では捉えきれない、人間という要素に起因するセキュリティリスクです。信頼されている組織を装ったメールやメッセージを送り、相手を信用させて情報を盗むという攻撃手法は、ディープフェイクなどに生成AI技術を利用することで、人間データを模倣・悪用し、より巧妙化しています。
高度化するサイバー脅威に対し、技術的なデータに基づいた対策(EPMによる特権データ管理強化など)を講じることに加え、人間というデータ要素の脆弱性にも対応するための従業員のセキュリティ意識向上や教育が不可欠です。データ分析に基づく技術的な防御と、人間的な要素への対策を組み合わせた多層的なアプローチが、サイバー攻撃から組織のデータ資産を守る上で重要となります。
データコンサルタントおよびデータアナリストの視点から、特に中堅・中小企業が直面するセキュリティ対策の課題と、データに基づいた効果的な対策について分析します。
中堅・中小企業におけるセキュリティ対策のデータ分析上の盲点
中堅・中小企業においては、セキュリティ対策が断片的であり、システム全体を俯瞰したデータに基づいた包括的な防御体制が構築できていないケースが少なくありません。アンチウイルスソフトやファイアウォールといった基本的な対策は導入されているものの、システムログやイベント情報といったセキュリティ関連データの収集、統合、分析体制が不十分であるため、包括的な脅威検知やデータに基づいたリスク管理の仕組みが不足していることが多いのが現状です。さらに、定期的な侵害調査や、システム内に存在する脆弱性データ、構成情報を明らかにする脆弱性診断やペネトレーションテストといったリスク評価のためのデータ収集・分析プロセスが十分に実施されていないため、システム内に潜在する脆弱性データが長期間放置され、攻撃者に悪用されるリスクデータが高まっています。
そのため、限られたセキュリティ対策予算という制約の中で最大の効果を上げるためには、データコンサルティングのアプローチが不可欠です。具体的には、自社の情報資産をデータとして正確に特定・棚卸し・分類し、それぞれのデータ資産が持つビジネス価値や、そこに存在する脆弱性データ、外部からの脅威データといったリスクデータを分析して優先順位を明確にした上で、投資対効果(ROI)というデータに基づいた実効性のあるセキュリティ強化策を選択・講じることが求められます。
限られた予算で最大限の効果を発揮するデータに基づいたセキュリティ強化策
中堅・中小企業が直面するセキュリティ対策のデータ分析上の課題に焦点を当て、典型的な侵入経路と攻撃手法、そして最新の事例から得られるデータをもとに、限られた予算で最大限の効果を発揮するセキュリティ強化策について分析することが重要です。
この分野で国際的な実績を持つViettel Cyber Security(VCS)は、ベトナムの国有企業であり、東南アジア最大の通信事業者であるViettelグループの一部門として2011年に設立されました。ホワイトハッカーを含む500名以上のセキュリティ専門家を擁し、国際基準に準拠したCREST認証を取得、世界的なセキュリティコンテスト「Pwn2Own 2023-2024」で2年連続優勝を達成するなど、そのセキュリティ分野におけるデータ分析能力や技術力の高さはデータが示しています。アジアだけでなく、国際的にもトップクラスのサイバーセキュリティ企業としての地位を確立しており、これは彼らが持つ膨大な脅威データ、脆弱性データ、攻撃手法に関する分析データに基づいています。
日本市場においても、VCSは侵害調査、脆弱性診断、ペネトレーションテストといった、システムやネットワークに関するリスクデータ、脆弱性データを収集・分析し、対策に繋げるデータコンサルティング/データ分析サービスを提供しています。また、24時間365日の監視サービスは、セキュリティ関連データを継続的にモニタリングし、異常を示すデータをリアルタイムで検知するサービスです。これらの高品質なセキュリティソリューションを競争力のある価格で提供しており、これはセキュリティ対策におけるコストパフォーマンスというデータに着目していることを示唆し、多くの組織のセキュリティ強化をデータに基づき支援しています。
不正アクセス対策としての認証データ強化の重要性
現代のサイバー攻撃は巧妙化しており、パスワードに依存した認証方法では防ぎきれないリスクが増えています。これは、パスワードデータが侵害されやすく、悪用されるデータセキュリティ上の脆弱性があるためです。フィッシング攻撃や不正アクセスの脅威が拡大する中、組織に求められるのは、セキュリティを強化しながらユーザの利便性を損なわない認証方式の採用です。すなわち、認証データを多層化・多様化することです。
その中で、特にクライアント証明書は、ID・パスワードでの認証データと組み合わせた多要素認証も可能なパスワードレス認証として、セキュリティと運用効率の両面で優れた解決策を提供します。クライアント証明書は、デバイスやユーザーを識別するためのデジタルデータであり、認証プロセスにおいて重要な役割を果たします。
クライアント証明書運用のデータ管理課題
実際にクライアント証明書は様々なシステムで利用されていますが、その運用にはデータ管理に関する課題が存在します。例えば、クライアント証明書を自社で発行・管理する場合、認証局に関するデータ管理知識の有無、証明書データの発行、配布、管理、失効といった証明書データライフサイクル管理に伴う運用負荷、秘密鍵データ管理のための物理的/論理的セキュリティ要件を満たすための設備投資など、多くのコストがかかります。また、パブリック認証局から証明書を取得する場合も、手続きの煩雑さや証明書発行コストといったデータ管理関連の課題が存在します。
中堅・中小企業が直面するセキュリティ課題に対し、データに基づいた情報資産のリスク評価と優先順位付け、認証データ強化といった対策が不可欠です。外部の専門家によるデータ分析サービスや、データ管理負荷を軽減するソリューションの活用は、限られたリソースの中で効果的なセキュリティ対策を実現するための有効な選択肢となり得ます。
データコンサルタントおよびデータアナリストの視点から、ネットワーク分離環境におけるデータの安全な受け渡しと、そのためのデータセキュリティ対策について分析します。
データブリッジ:ネットワーク分離環境における安全なデータ転送デバイス
ネットワーク分離が進む環境において、セキュリティレベルの異なるネットワーク間でデータを安全に、かつ効率的に連携させることは重要な課題です。データブリッジは、このような環境でデータを安全に「受け渡し」(転送)するためのデバイスとして設計されています。データブリッジの顕著なデータセキュリティ機能は、USBケーブルを取り外したり、電源をオフにしたりすることで、内部のデータがすべて物理的に消去される点です。これは、デバイス上にデータが滞留しないことで、データブリッジが持ち出されたり盗難にあったりした場合でも、USBメモリのようにデータが流出するリスクを排除する、物理的なデータセキュリティ対策となります。これは、データをデバイスに保持する特性を持つUSBメモリと比較した場合の、データセキュリティにおける明確な優位性と言えます。
データガバナンスとデータ監査機能
データブリッジは、データの不正利用を防止し、データ転送の透明性を確保するためのデータガバナンスおよびデータ監査機能を備えています。管理機能により、データの受け渡しに利用できる端末を特定のデータに基づいて制限したり、日時、曜日、受け渡し可能なファイル種別やファイル名といった詳細なデータ属性に基づいてデータ転送を制御したりすることが可能です。これにより、ポリシーに基づかないデータ転送という異常なデータ操作を防止し、データガバナンスを強化します。
さらに、すべてのデータの送信ログが自動的に記録される機能は、データ転送に関する詳細な監査データ(イベントログデータ)を継続的に収集します。「誰が、いつ、どのデータを渡したのか」といったログデータを追跡できることは、セキュリティインシデント発生時やデータ漏洩の疑いがある際に、データ転送の経緯をデータに基づいて詳細に追跡し、原因究明や影響範囲特定を行うための重要なデータトレーサビリティ機能となります。これは、データコンサルタントがインシデントレスポンスやフォレンジック分析を行う上で不可欠なデータソースとなります。
ネットワーク分離環境におけるデータ連携シナリオ
高いセキュリティを保ちながらネットワーク分離環境でのデータ連携を実現するため、データブリッジはさまざまなケースで採用されています。これは、特定の種類のデータを分離されたネットワーク間で安全に移動させるというデータ連携戦略の具体的なシナリオを反映しています。例えば、メールやインターネットで取得した業務用ファイルを基幹ネットワークへ安全に取り込む必要がある場合、基幹ネットワークで処理された重要な取引データをネットバンキングシステムへ受け渡す必要がある場合、金融機関における複数基幹システム間で「取引データ」を自動受け渡しする場合、医療機関における電子カルテ系とインターネット系間で調査データを安全にやり取りする場合、あるいは教育機関で学習系ネットワークから校務系ネットワークへ学習データを取り込む場合など、データブリッジはこれらのデータ転送ニーズに対応します。
機能拡張とデータ連携ニーズへの対応
データブリッジは、顧客のセキュリティ対策に関するデータニーズに対応するため、随時機能拡張を行ってきました。「ウイルスチェックオプション」や「無害化オプション」といった機能追加は、転送されるデータにマルウェアデータなどが混入するリスクを低減するためのデータ処理機能強化です。また、ネットワーク間のセキュアなデータ連携のためのAPI機能を提供するなど、データブリッジをデータ連携基盤の一部として位置づけ、他のシステムとの連携によるデータ転送プロセスの自動化や効率化を可能にするデータ連携機能も提供しています。
簡単で難しい設定なく利用できる「データブリッジ」は、ネットワーク分離環境での組織における安全なデータ受け渡しにおいて重要な役割を果たしています。
セキュリティ対策における現状把握とデータ収集
適切なセキュリティ対策を実施するためには、まず現在のセキュリティ状態を正確に「現状把握」することが不可欠です。これは、ネットワーク機器やウェブアプリケーションに存在する“脆弱性”といった「リスクデータ」を、定性的な診断や定量的なデータ分析によって検知・評価することに基づいています。データブリッジのようなデバイスによる安全なデータ転送は重要な要素ですが、システム全体の脆弱性データを継続的に収集・分析し、リスクを評価することこそが、データに基づいた効果的なセキュリティ戦略の基盤となります。統合型のセキュリティ診断サービスは、このようなシステム全体のセキュリティ状態に関するデータを収集・分析し、組織のリスクを可視化するための手段を提供します。
データコンサルタントおよびデータアナリストの視点から、モバイル脅威防御とWebアプリケーションセキュリティにおけるデータ活用と課題について分析します。
モバイル脅威防御(MTD)におけるデータ収集・分析と連携戦略
組織には、モバイル脅威防御(MTD)ソリューションの実装に関していくつかの選択肢があります。MTDは、モバイルデバイスから脅威に関するデータ(ネットワーク接続情報、デバイスの挙動、インストールされているアプリケーション情報、マルウェアの痕跡など)を収集・分析する機能を提供します。これは単独で機能させることも、統合エンドポイント管理(UEM)ソリューションまたはMDMソリューションと組み合わせて使用することも可能です。
MDMソリューションと組み合わせて使用する場合、MTDはデバイス管理そのものを行うのではなく、モバイルデバイスを実際の脅威データから保護するモバイルエンドポイントセキュリティ戦略の一部として機能します。MDMの管理ポリシーは、MTDアプリの導入を推進したり、MTDによる脅威データの検出機能を有効化したりといった自動化を可能にします。さらに、管理者はMTDソリューションから収集された脅威データと定義されたポリシーに基づいて、モバイルデバイスからの重要なビジネスデータへの条件付きアクセス制御やセキュリティポリシー適用を容易に自動化できるようになります。たとえば、ユーザーが不正なWi-Fiネットワークといったリスクの高いネットワークデータに接続している場合、MTDはその接続情報というデータを基にユーザーと企業に脅威に対する警告を出します。また、MDMと連携して、ユーザーが安全なネットワーク上に移動するまで、ビジネスに不可欠なアプリへのデータアクセスを制限するといった自動的な対応を実行します。
MTDが管理されていないデバイスで単独で使用される場合、MTDソリューションは機械学習を活用して、モバイルデバイス上で発生する多様な攻撃データ(不審な通信パターン、異常なプロセス実行、ファイル改ざんなど)を分析し、脅威を特定・防止します。また、デバイス自体を能動的にスキャンして有害な挙動、マルウェアデータ、またはその他の脅威データを検出することができます。この場合、MTDはユーザーに警告を通知しますが、統合されたUEMソリューションとのデータ連携がないため、データに基づいたより広範なアクセス制限や修復といった制御された修正に限定されます。
いずれのケースでも、モバイルデバイス上で検出された脅威はローカルで処理される場合があります。しかし、MTDは収集した脅威データを企業に報告することも可能であり、これによりセキュリティチームは発生したすべての脅威データを理解し、全体的なリスクを把握することができます。ユーザーの受ける障害を大幅に減らし、重要なビジネスデータを保護するためには、MDMとのMTDソリューション連携を強く推奨します。両ソリューションを連携配置することで、異なる種類のデータ(モバイル脅威データとデバイス管理・ポリシーデータ)に基づく保護を組み合わせ、データ漏洩リスクを低減し、脅威データ検知とデータに基づいた自動的な対応によってビジネスデータ可用性を高めることができます。
DDoS攻撃とWebアプリケーション攻撃におけるデータ分析の課題
2024年末に金融機関や公共機関を狙った大規模なDDoS攻撃が相次いで発生しました。この事例は、特定のデータポイント(金融システム、公共サービス)への攻撃が、年末年始という特定の時期と重なることで、深刻な業務・サービス停止というデータ可用性の侵害を引き起こし、顧客のみならず社会的な混乱という広範なデータへの影響をもたらすことを示しています。デジタルビジネスが進展する中で、DDoS攻撃による被害はサービス停止による売上機会の喪失といった直接的なデータ損失のみならず、顧客満足度やブランドイメージの低下といったデータに基づいた間接的な損失も多く生じさせます。特に、公共性の高い事業者が狙われた場合、その社会的な影響力はデータとして計り知れないものとなります。
実際、Webアプリケーションの脆弱性を狙うサイバー攻撃が増加しており、従来のDDoS攻撃、SQLインジェクション、クロスサイトスクリプティング(XSS)などに加え、悪質なBotやAPIの悪用など、近年その攻撃手法はさらに多様化しています。これは、Webアプリケーションを保護するために分析すべき攻撃データの種類やパターンが複雑化していることを意味します。
特にDDoS攻撃は、正常なユーザーのアクセスと見分けがつきにくい形で大量のリクエストを送信したり、高度な偽装技術によってトラフィックデータの特定を難しくしたりしています。これは、正規のトラフィックデータと異常なトラフィックデータを区別するための高度なデータ分析手法が必要であることを示しています。また、DDoS攻撃を仕掛けるためのボットネットや攻撃ツールがデータとして入手しやすくなったことは、サイバー攻撃の実行ハードルを下げ、攻撃データ量が増加する要因となっています。
そうしたWebアプリケーションの脆弱性を利用した攻撃を防ぐため、Webアプリケーションのセキュリティ強化は必要不可欠となりました。現在、多くの組織が「WAF(Webアプリケーションファイアウォール)」を導入して、セキュリティ対策の強化を図っています。ただ、従来型のWAFは静的なシグネチャデータに依存した分析を行うため、シグネチャを回避するような未知の攻撃データは検知・対処しきれない状況が生まれています。また、分析精度が低いことによる過検知・誤検知も発生し、生成された大量のアラートデータの中から重要な脅威データを見つけ出すことが困難になり、結果として重要アラートへの対応が遅れる恐れもあります。オンプレミスやクラウド、ハイブリッド環境など、異なる環境でそれぞれ異なるWAFソリューションを導入・運用することは、セキュリティ関連データの収集・管理・分析のサイロ化を招き、運用負荷を増大させるデータ管理上の課題も抱えています。効率的なWAF運用には、データ収集・分析・管理の統一化が求められます。