2024年セキュリティの現状:競争が激化するAIの活用
先進的なサイバーセキュリティ対策を推進する組織がどのように課題を克服し、AIを活用してイノベーションを推進し、デジタルレジリエンスを強化しているかをご確認ください。
Splunkは、Forrester、ガートナー、IDCの3社からSIEMのリーダーに選出されました。最新のマジック・クアドラントレポートをダウンロードして、その理由をご確認ください。ダウンロードはこちら→
Splunkのセキュリティ製品とソリューションについて詳しくは、以下の各Webサイトをご覧ください。
サイバーキルチェーンは、「CKC」または「サイバー攻撃ライフサイクル」とも呼ばれ、高度なサイバー攻撃が組織に影響を及ぼす前に検出して阻止することを目的に開発されたセキュリティ防御モデルです。一般的には7つのステップで構成され、サイバー攻撃を複数の段階に分けて考えることで、セキュリティチームが攻撃の段階を識別して防御または防止できるようにします。
サイバーキルチェーンのフレームワークを使えば、関連する脅威をよく理解し、インシデントの管理と対応を改善できます。ただし、適切に活用すればセキュリティ面でのメリットが大きい一方で、使い方を誤ると組織を危険にさらす可能性があります。キルチェーンは、一部の欠点によって将来性に疑問が持たれています。それでも、多くの組織がサイバーセキュリティ戦略にサイバーキルチェーンの方法論を取り入れています。サイバーセキュリティ戦略に組み込めるアプローチとしてはCyber COBRA (Contextual OBjective RAting)もあります。Cyber COBRAは、脅威について、より動的でコンテキストに応じた評価指標を提供します。
この記事では、サイバーキルチェーンの概要やユースケース、注意事項について説明し、サイバー脅威管理におけるそのメリットとデメリットを考察します。
(SplunkのCKCダッシュボードに関するドキュメント(英語)はこちらからご覧いただけます)
サイバーキルチェーンは、攻撃を複数の段階に分けて考えることによって、高度なサイバー攻撃を検出して阻止できるようにすることを目的としたセキュリティフレームワークです。このモデルを活用することで、組織に影響が及ぶ前に攻撃を識別し、防御または防止することができます。
「キルチェーン」はもともと軍事用語で、敵の攻撃を識別し、複数の段階に分け、先制措置を取る戦略を指します。それを応用したのが当初のサイバーキルチェーンで、2011年にLockheed Martin社によって提唱されました。サイバーキルチェーンの目的は、APT (Advanced Persistent Threat)とも呼ばれる高度なサイバー攻撃に対し、組織の防御力を強化することです。対象となる脅威には以下のものが含まれます。
サイバーキルチェーンの考え方を取り入れることで、攻撃の構想から実行までのあらゆる段階に備え、先手を打つことができます。さらに、キルチェーンのプロセスにCyber COBRAを組み込めば、潜在的な脅威をコンテキストに沿ってより詳細に評価することでフレームワークを強化し、対応戦略を改善できます。
サイバーキルチェーンはMITRE ATT&CKフレームワークとよく比較されます。MITRE ATT&CKもサイバー攻撃を段階化するフレームワークであり、段階の多くがサイバーキルチェーンモデルと類似しています。サイバーキルチェーンとMITRE ATT&CKの主な違いは、キルチェーンでは一部の段階がまとめられ順番に進むのに対して、MITREでは戦術が特定の順序に従っていない点です。
もう1つの違いは、サイバーキルチェーンフレームワークではサイバー攻撃のプロセスを大きく7つの段階に分けているのに対して、MITRE ATT&CKではサイバー攻撃を細かく分類し、それぞれ関連する技法と手順を探っている点です。Cyber COBRAの方法論は、攻撃の特定のコンテキストに基づいて脅威のレベルを評価するスコアリングシステムを追加し、対応時に優先順位をより正確に判断できるようにすることで、この両方のフレームワークを補完します。キルチェーンとATT&CKの両方の要素をサイバーセキュリティ戦略に取り入れることもできます。この点については後ほど詳しく説明します。
Lockheed Martin社による当初のサイバーキルチェーンモデルでは、攻撃が7つの段階に分けられています。サイバーキルチェーンはセキュリティ業界で最もよく参照されるフレームワークです。攻撃のタイムライン全体を7つの段階に分け、そのそれぞれの段階の攻撃手法とサイバー犯罪者の動機を示しているため、組織は脅威を理解して対策を立てることができます。その7つの段階は次のとおりです。
各段階を詳しく見ていきましょう。
Cyber Kill Chain®、Lockheed Martin社(画像出典)
攻撃者は、標的に関する情報を収集し、脆弱性や侵入できそうな経路を探ります。この段階では、公開データの収集、スパイツールの利用、自動スキャナーによるセキュリティシステムやサードパーティアプリケーションの検出が行われます。
(関連記事:脆弱性、脅威、リスクの関係)
攻撃者は、情報を収集した後、特定した弱点を悪用するためのマルウェアや悪質なペイロードを作成します。この段階では、特定の脆弱性に合わせた新しいマルウェアの開発や既存のプログラムの変更などが行われます。
攻撃者は、標的にマルウェアを送り込んでネットワークへの侵入を試みます。一般的な手口には、フィッシングメール、ソーシャルエンジニアリングツール、ハードウェアやソフトウェアの脆弱性の悪用などがあります。
攻撃者は、マルウェアを配布した後、標的の脆弱性を突いてネットワークの奥深くに侵入します。多くの場合、システム間を横方向に移動し、侵入できそうな経路や弱点をさらに探ります。
攻撃者は、マルウェアをインストールして、ネットワークでの権限強化を狙います。この段階では、権限を変更したり昇格させたりするために、トロイの木馬、アクセストークンの不正操作、コマンドラインインターフェイス、バックドアなどの手口が使われます。
攻撃者は、コマンドアンドコントロール(C2)チャネルを確立して、ネットワーク内に配備したサイバー兵器をリモートから監視および操作します。この段階では、難読化技法によって痕跡を隠したり、DoS攻撃を仕掛けてセキュリティチームの注意を真の目的からそらしたりします。
最終段階として、攻撃の主な目的であるデータの窃取や暗号化、サプライチェーン攻撃などを実行します。ここまでの手順の成否や攻撃の複雑さに応じて、この段階までには数週間から数カ月かかります。
(サプライチェーンのリスクに関する参考情報:Coffee Talk with SURGe、『サプライチェーン攻撃対策:日本政府セキュリティ統一基準にも採用される「監視」の実現方法』)
一部のセキュリティ専門家は、サイバーキルチェーンに8番目の段階として「収益化」を追加することを提唱しています。この段階は攻撃の最終目的とも考えられますが、特にサイバー犯罪者が攻撃によって金銭的利益を得ることに重点を置いています。たとえば、攻撃者が機密データ(個人情報や業界機密)を暴露または販売すると脅して金銭を要求する身代金要求などの手口です。
近年、サイバー攻撃による搾取は、仮想通貨の普及によってますます悪化しています。仮想通貨を使えば、攻撃者はより簡単かつ安全に金銭を要求したり受領したりできるため、金銭目的のサイバー攻撃が急増しています。
サイバー攻撃を防ぐには、プロアクティブな多層防御型の対策が求められます。以下に、組織の防御力を強化するための戦略をご紹介します。
1. 高度な脅威検出ツールを導入する
IDS (侵入検知システム)、IPS (侵入防止システム)、EDR (エンドポイント検出/対応)ソリューションなどのツールを導入します。これらのツールを使えば、脅威をリアルタイムで検出して緩和し、攻撃を受ける機会を減らすことができます。
2. 脆弱性評価と侵入テストを定期的に行う
脆弱性評価と侵入テストを定期的に実施して、セキュリティ上の弱点を攻撃者に悪用される前に見つけ出して修正します。その場合に、自動スキャンと、熟練のセキュリティ担当者による手動テストの両方を取り入れます。
3. パッチ管理を徹底する
オペレーティングシステム、アプリケーション、セキュリティツールを含むすべてのソフトウェアに対して、常に最新のパッチと更新プログラムを適用します。これにより、攻撃者が既知の脆弱性を悪用するリスクを軽減できます。
4. ネットワークをセグメント化する
ネットワークをセグメント化して、ネットワーク内で攻撃者が移動できる範囲を限定します。ネットワークを小さいセグメントに分割して切り離すことにより、攻撃を封じ込め、機密性の高い領域へのアクセスを阻止できます。
5. 多要素認証(MFA)を導入する
すべてのユーザーアカウントに多要素認証を要求します。特に、機密情報や重要なシステムにアクセスするユーザーには必須にします。また、多要素認証を導入すれば、セキュリティの層を厚くして、攻撃者が不正にアクセスするのをより難しくできます。
6. 従業員向けのトレーニングと意識向上プログラムを実施する
従業員向けにサイバーセキュリティトレーニングと意識向上プログラムを定期的に実施します。フィッシング攻撃やソーシャルエンジニアリング攻撃を見抜けるように教育し、インターネットの安全な使い方を身に付けてもらいます。従業員の知識を強化することは、サイバー脅威に対する重要な防御策の1つです。
7. インシデント対応計画を策定する
包括的なインシデント対応計画を策定し、維持します。この計画では、セキュリティ侵害が発生した場合に実行すべき手順を定め、役割と責任、連絡窓口、復旧手順などを明確化します。また、計画を定期的にテストして更新し、有効性を確認します。
8. 行動分析を取り入れる
行動分析を取り入れて、ネットワーク内の通常とは異なるアクティビティや異常なパターンを検出します。正常な行動のベースラインを確立することで、従来のセキュリティ対策では見逃しがちな潜在的な脅威を特定できます。
9. ゼロトラストアーキテクチャを導入する
ゼロトラストセキュリティモデルでは、「決して信頼せず、常に検証せよ(Never Trust, Always Verify)」という考え方に基づいてネットワークを運用します。すべてのユーザー、デバイス、アプリケーションに対して、アクセスを許可する前に必ずネットワークの内部と外部の両方で検証を行います。
10. データを定期的にバックアップする
重要なすべてのデータを定期的にバックアップします。また、バックアップシステムのセキュリティを確保し、定期的にテストを行います。ランサムウェア攻撃を受けた場合やデータを損失した場合、信頼性の高いバックアップがあれば、復旧を迅速に行い、ダウンタイムを最小限に抑えることができます。
これらのベストプラクティスとCyber COBRAを組み合わせれば、脅威の評価と優先順位付けの精度を高めて、レジリエンスを強化しながらコンテキストに即したサイバーセキュリティ態勢を築くことができます。
(関連記事:高度な脅威検出でSplunkを活用するメリット)
Lockheed Martin社のサイバーキルチェーンモデルには長所もありますが、2011年に開発されたフレームワークであるために時代遅れであったり、革新性に欠けるといった意見もあります。従来のモデルの大きな欠点は、マルウェアの検出と防止や境界防御が想定されていることです。その一方、今日では、セキュリティ脅威が増え続け、サイバー犯罪はますます巧妙化しています。
従来の7段階のサイバーキルチェーンには主に以下の欠点があります。
キルチェーンには、検出できる攻撃のタイプに制限があります。もともとはマルウェアとペイロードへの対策として開発されたため、ファイルレスマルウェア、Living off the Land攻撃、Webベースの高度なエクスプロイト(SQLインジェクション、クロスサイトスクリプティング(XSS)、ゼロデイ脆弱性など)といった最新の脅威への対応が不十分です。また、盗まれた認証情報で不正アクセスする第三者が行う攻撃も検出できません。
組織に重大なリスクをもたらす内部脅威は、従来のサイバーキルチェーンでは想定されていません。内部脅威には、正規のアクセス権を持つ従業員や請負業者による特権の悪用などがあります。こうした脅威を効果的に検出するには、複数のネットワークやアプリケーションにわたって、ユーザーの行動やアクティビティを監視する必要があります。これを実現するには、不審なアクティビティの検出時にアラートを生成する自動システムを使用するのが一般的です。
すべての攻撃がサイバーキルチェーンの順序どおりに進むわけではありません。いくつかの段階を省略したり、統合したり、逆戻りしたりすることもあります。たとえば、「スプレーアンドプレイ」などの無差別攻撃では、大規模な偵察はあまり行われません。また、Alert Logic社の調査では、攻撃の約90%がキルチェーンの最初の5段階を1つのアクションにまとめていることがわかっています。従来のキルチェーンは構造に柔軟性がないため、そのパターンに適合しない脅威を見逃したり、対応を誤る可能性があります。
クラウドコンピューティング、DevOps、IoT、機械学習、自動化などのテクノロジーの進歩に伴い、サイバー攻撃の範囲が拡大しています。このようなイノベーションによって新しい侵入経路やデータソースが生まれ、従来のキルチェーンフレームワークでは対応しきれなくなっています。さらに、リモートワークや仮想通貨の普及により、サイバー犯罪者が悪用する新たな手段も増えています。
サイバー犯罪者は、当初のキルチェーンの対応能力を超える新たな手法を次々に生み出しています。たとえば、ディープフェイクフィッシング、AIを悪用した攻撃、高度なランサムウェア攻撃などの手法に対応するには、より動的で適応性に優れたセキュリティモデルが必要です。また、従来のサイバーキルチェーンでは、これらの高度な脅威を緩和するための適切なガイダンスが提供されていません。
これらの欠点を補うには、MITRE ATT&CKやCyber COBRAのような包括的で柔軟性の高いフレームワークを併用する必要があります。これらのフレームワークは、最新のサイバー脅威に対してきめ細やかで適応性に優れたアプローチを提供します。また、攻撃に先手を打ち、デジタル資産を効果的に保護するには、組織のセキュリティ戦略を継続的に進化させることも必要です。
当初の7段階のサイバーキルチェーンを疑問視する声もありますが、その方法論を取り入れれば、既存のサイバー攻撃と新たなサイバー攻撃への備えを強化できます。サイバーキルチェーンフレームワークは、現在の戦略の欠陥を見つけるためにも、うまく機能している対策を確認するためにも、組織のサイバーセキュリティ戦略のガイドとして役立ちます。たとえば、以下のようなサービスやソリューションの導入が推奨されます。
このフレームワークにCyber COBRAを組み込めば、評価と優先順位付けの層を追加して、特に重大な脆弱性にすばやく対処できます。進化し続けるサイバー攻撃に対抗するには、管理面、技術面、物理面のセキュリティ対策を組み込んだ多層防御のアプローチを戦略に取り入れる必要があります。サイバーキルチェーンの方法論はその実現に役立ちますが、当初のモデルではそこまでが限界です。
サイバーキルチェーンフレームワークは、組織の要件に合わせて調整する必要があります。ここでは、当初のキルチェーンプロセスの応用方法をいくつか紹介します。
統一キルチェーン(Unified Kill Chain)は、MITRE ATT&CKの技法と当初のサイバーキルチェーンモデルの技法を組み合わせたものです。この2つを組み合わせることで、18の段階で構成される、詳細で統合されたフレームワークができます。この18の段階は以下の3つのコアフェーズに分類されます。
このアプローチを取り入れれば、侵害の痕跡(IoC)と複数の脅威インテリジェンスフィードを同時に比較して、脅威に効果的に対応できます。また、この統一モデルは防御面でも攻撃面でもセキュリティコントロールを開発する際にも役立ちます。さらにCyber COBRAを組み込めば、組織に対する具体的な影響に基づいて脅威を優先順位付けするコンテキスト評価システムを構築して、脅威の検出と対応を一層強化できます。
キルチェーンモデルはサイバー攻撃のシミュレーションにも利用できます。サイバーキルチェーンのプロセスをシミュレートするための専用プラットフォームも数多くあります。シミュレーションを行えば、侵入経路やシステムの脆弱性を短時間で特定し、修正できます。
専用プラットフォームでは、メール、Web、ファイアウォールゲートウェイを介したサイバー脅威をシミュレートするだけでなく、システムエンティティのリスクスコアやレポートを生成し、リスクのある主要な領域を特定することもできます。組織はその結果に基づいて対策を講じ、設定を変更したりパッチを適用するなどして、脅威の防止につなげることができます。このシミュレーションプラットフォームにCyber COBRAを統合すれば、詳細でコンテキストに即したリスク評価が可能になります。これにより、シミュレーションでさまざまな脅威の潜在的な影響を正確に把握できます。
サイバー攻撃が絶えず進化する中で、多くの人がサイバーキルチェーンの将来に疑問を抱き始めています。しかしキルチェーンもまた、MITRE ATT&CKやXDR (拡張検出/対応)戦略の要素を組み込んで俊敏性を向上させることで、幅広い脅威を検出し、より効果的に防止および無力化できるように進化しています。
組織を保護するには、サイバーキルチェーンフレームワークに対する姿勢に関係なく、既存の脆弱性に対処し、包括的なサイバーセキュリティ戦略を策定することが重要です。
このブログはこちらの英語ブログの翻訳です。
この記事について誤りがある場合やご提案がございましたら、ssg-blogs@splunk.comまでメールでお知らせください。
この記事は必ずしもSplunkの姿勢、戦略、見解を代弁するものではなく、いただいたご連絡に必ず返信をさせていただくものではございません。
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。