メディア
特集
» 2019年10月08日 08時00分 公開

56%の企業はインシデントレスポンスが遅れて撃沈、カスペルスキーが激白

カスペルスキーが2018年に対処したインシデントレスポンスのうち、50%超がサイバー攻撃による損害後に依頼を受けたものだった。なぜ企業の対応が遅れるのか。同社がその原因とともに、インシデントに対して効果的に対応するための7つのポイントを解説する。

[キーマンズネット]

 カスペルスキー(Kaspersky)は2019年9月30日、同社のセキュリティ専門チームが2018年に依頼を受けて対処したインシデントレスポンスに関する分析結果を発表した。分析によれば、全体の81%の組織で内部ネットワークで悪意のある活動の痕跡を発見し、34%の組織で高度な標的型攻撃の形跡が見られ、金融機関の54.2%は、APTグループによる攻撃を受けていたという。

 さらに分析結果からは、サイバー攻撃を受けた多くの企業でインシデントへの対応が遅れている状況が見えてきた。実際に、調査対象となった企業の56%は、サイバー攻撃によって不正送金やランサムウェアによるワークステーションの暗号化、サービス提供の停止といった深刻な被害を受けた後で、同社のセキュリティ専門チームに依頼している。一方、攻撃の初期段階を検知した直後に対処にあたり、深刻な被害から守れた割合は44%だった。

 なぜ、企業のセキュリティチームの対応が遅れてしまうのか。カスペルスキーは、自社の見解とともに、インシデントに対して効果的に対応するための7つのポイントを解説している。

対応が遅れて、金銭の窃取につながることも―ーインシデントレスポンスの7カ条

 一般にインシデントレスポンスは、サイバー攻撃による損害を被った後に、原因など詳細を調査をする際に必要なものと思われがちだ。カスペルスキーは、同社のセキュリティ専門チームが関わった複数のインシデントレスポンス事案を分析した結果、インシデントレスポンスは被害の詳細調査のためだけでなく、サイバー攻撃の初期段階で攻撃の種類を特定して損害を阻止するための手段にもなると主張する。

 例えば、2018年に同社が依頼を受けたインシデントレスポンス事案のうち、「ネットワーク内で脅威となりそうな活動を検知した」後に、インシデントレスポンスを開始した事案と、「ネットワーク内で悪意のあるファイルが発見された」後に開始した事案が、それぞれ22%ずつだった。同社によれば侵害を示す形跡がない場合、これら2つのケースは現在攻撃を受けていることを示している恐れがあるという。

 しかし、上記で挙げた2つのケースのような「攻撃の初期段階」において、企業のセキュリティチームは、自動セキュリティツールが既に悪意のある活動を検知して阻止したのか、それともより大規模な検知できない悪意のある攻撃がネットワーク内で始まっていて外部の専門家が必要なのかを判断できない場合があると同社は説明する。

 実際に、2018年のインシデントレスポンスのうち「依頼が遅い」ケースの26%は暗号化型マルウェアの感染によるもので、そのうち11%は金銭を窃取された。また、「依頼が遅い」ケースの19%は企業のメールアカウントからスパムを検知したものや、サービス提供不能状態を検知したもの、セキュリティ侵害を検知したものだった。

 カスペルスキーのセキュリティエキスパートであるアイマン・シャーバン(Ayman Shaaban)氏は、多くの企業で検知手法やインシデントレスポンス手順を改善する余地があるとして、「攻撃を早く特定できれば、被害はより小さくできる。しかし当社の経験によれば、企業は重大な攻撃がもたらすものに対して十分に注意できていないことが多く、当社のインシデントレスポンスチームが連絡を受けた段階では、遅すぎて被害を阻止できないことも多々ある」と述べる。

 一方で、ネットワーク内の重大なサイバー攻撃の形跡に対する判断について知識のある企業による依頼では、深刻なインシデントにつながる事態を阻止できたとも話す。

 カスペルスキーは、インシデントに対して効果的に対応するために、以下のことを推奨する。

(1)企業内にITセキュリティ問題を担当する専門チーム(少なくとも専門の従業員)を置く。

(2)重要なデータ資産についてはバックアップシステムを導入する。

(3)サイバー攻撃に迅速に対応するために、第一線で対応する社内インシデントレスポンスチームと、より複雑なインシデントを担当する外部の専門業者を組み合わせる。

(4)さまざまなサイバー攻撃についての詳細なガイダンスと手順を示したインシデントレスポンス計画を策定する。

(5)従業員に対してサイバー犯罪に対する基本的な予防策について教育し、悪意のある可能性があるメールやリンクに気付き、回避する方法についてのトレーニングを実施する。

(6)ソフトウェアをアップデートするためのパッチ管理手順を導入する。

(7)ITインフラストラクチャのセキュリティ評価を定期的に実施する。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。