CISO Insider: 第 1 号

新型コロナウイルス感染症 (COVID-19) がきっかけで、組織はワークプレイス柔軟性への依存増加とデジタル トランスフォーメーションの加速を迫られることになりましたが、こうした変化が起きると当然ながら、セキュリティ戦術における変化も必要になります。境界は拡大し、そのハイブリッド化が進んで複数のクラウドやプラットフォームにまたがるようになりました。新しいテクノロジは多くの組織にとってメリットをもたらすものであり、困難な時代にあっても生産性を高め、成長を可能にしていますが、このシフトは、複雑化が進むデジタル環境で見つかった脆弱性を悪用しようとするサイバー犯罪者にとっての好機でもあります。

リモート ワーク関連のフィッシング攻撃の増加は、セキュリティ従事者の皆様とお話しするときの一番の話題であり、そのことは私たちの調査にも反映されています。セキュリティ リーダーを対象として Microsoft が 2020 年に実施したアンケートでは、55% が新型コロナウイルス感染症の大流行開始以降に自分の組織でのフィッシング攻撃検出が増加したと回答し、88% が自分の組織にフィッシング攻撃の影響があったと回答しています。他にもよくお聞きするのは、ランサムウェア攻撃の急増や、マルウェアという脅威が決してなくならないこと、そして ID 侵害がセキュリティ チームにとって大きな悩みの種であり続けることです。

これに加えて、国家が関与する攻撃がますます激化し、永続性を増していることも明らかになっています。NOBELIUM によるサプライ チェーン攻撃では SolarWinds プラットフォームが利用されましたが、このような新奇性のある攻撃がこの 1 年間に何度もニュースに取り上げられています。目新しい手法はたびたびニュースとして報じられますが、CISO の皆様が一様に口にするのは、多くのサイバー犯罪者のような高度な脅威アクターであっても、低コスト高価値の攻撃機会を狙う傾向があることです。

この点の例証として、国家の支援を受ける攻撃者がパスワード スプレー攻撃を利用する事例の増加が確認されています。セキュリティ リーダーの仕事はリスクの管理と優先度付けですが、多くのリーダーからは、ごく一般的なタイプの攻撃を防ぐために自社のサイバー衛生を強化すること、特に拡大しつつある自社のデジタル フットプリント全域でこれを行うことが最優先事項であるとお聞きしています。 私たちのデータと調査も、この意見を裏付けており、基本的なセキュリティ衛生だけでも攻撃の 98% に対して防御できると推定されています (Microsoft デジタル防衛レポート 2021 年 10 月号の 124 ページをご覧ください)。 

基本的なセキュリティ対策は、口で言うのは簡単でも、実生活の中で実行するのはずっと難しいとお考えかもしれません。特に、チーム全員の仕事があまりにも忙しく、人員不足の場合です。しかし、セキュリティ リーダーの仕事はリスクと優先度付けの両方を管理することだと私は考えます。それゆえに、基本に焦点を当てることが確実に現実的なアプローチとなるのです。多くの場合は、セキュリティ インシデントは "起きるかどうか" ではなく "いつ起きるか" の問題です。警鐘を鳴らすサイバーセキュリティ統計は無数にあり、たとえば米国内だけでも 1 日あたり約 4,000 件のサイバー犯罪攻撃が発生しており、全世界では 1 日あたり 30,000 件以上の Web サイトがハッキングされています。

私が考える最善の防衛線は、バランスの取れたアプローチを採用して、インシデントの検出と応答に加えて予防にも投資するというものです。

検出と応答の需要増加に対応しきれていないときに、新たなレベルの予防に投資するのは難しいように思われるかもしれませんが、この 2 つの活動のバランスを適切に取ることは、必要不可欠であると同時に有益です。2021 年に Ponemon Institute と IBM Security が実施した調査によれば、インシデント応答のチームを持たず、計画も立てていない組織は、データ侵害の平均損害額が 55% 上昇しています。セキュリティ チームの戦略にインシデント応答と、検出および修復のツールへの投資が含まれており、堅実な予防とのバランスが取れている場合は、避けられない事態もうまく切り抜ける準備ができているといえます。

大離職時代 (グレート レジグネーション) が到来したと言われています。 全世界の労働者の 40% 以上が今年退職することを考えており、セキュリティ リーダーとそのチームは既に人員不足を実感しています。私は CISO の皆様とたびたび、全体的な状況についてお話ししますが、優秀な人材を雇う予算を確保し、人材を見つけて維持することは、一番の懸念事項とお聞きしています。優秀な人材が退職してしまった場合は、新たに優秀な人材を見つけるか、残っている人材のスキルをレベルアップしなければなりません。より効率的で統合型、かつ自動化されたテクノロジは役に立ちますが、それだけでは不十分です。

サイバー攻撃が毎日のようにニュースに登場するため、セキュリティの専門用語が日常語になりつつありますが、そのような攻撃 (およびそれについてのニュース) は企業に大きな影響を与える可能性があります。しかし実は、悪いニュースばかりではありません。サイバーセキュリティが組織内のあらゆる領域にわたっておなじみのトピックとなったため、"セキュリティは全員の仕事" というコンセプトが組織全体に浸透し始めているそうです。特に、新しいハイブリッド作業モデルが登場してセキュリティ境界があらゆる新しい方法で押し広げられているため、セキュリティ リーダーは人材とスキルのギャップに直面しているときでも全員の安全を保てるような革新的な方法をますます必要としています。"より少ないリソースで、より大きな成果を" ではなく "別のやり方で、より大きな成果を" が、今日の革新的なセキュリティ リーダーが目指していることです。

人材とスキルの不足は決して良いことではありませんが、一筋の光明が差しています。それは、セキュリティの文化作りが現実になりつつあることです。多数の CISO からお聞きしていることですが、人員配置の課題がある中でセキュリティの課題に対処するための最も効果的な方法は、セキュリティは全員の仕事であるというセキュリティの文化を構築することです。組織全体がセキュリティの責任を負うことができるという、この考えを支持する CISO が増えています。特に、人員不足または資金の問題に直面している場合です。

開発チーム、システム管理者、そしてもちろんエンド ユーザーが、自分に関係するセキュリティ ポリシーを理解している必要があります。情報共有は基本であり、企業のセキュリティ チームは次々と、開発者、管理者、ビジネス プロセス所有者との新たな協力方法を見つけてリスクを理解し、組織全体にとって有益となるポリシーと手順を開発しています。

人材不足とスキルのギャップ (特に、絶えず変化するサイバーセキュリティの職務での) が理由で、CISO は一歩先を行くための革新的な方法を求めています。戦略のひとつとしてよくお聞きするのは、セキュリティ チーム外の従業員による "代行" の進化です。CISO は組織全体の活用に目を向けていますが、特に焦点を当てているのは、エンド ユーザーをトレーニングしてソリューションの一部とするとともに、隣接するチームからの支持を築くことです。

セキュリティ脅威についてのエンド ユーザーの知識を高めること、たとえばフィッシングについて、および巧妙な攻撃の徴候について確実に理解させることは、セキュリティ チームの目と耳を増やすのに役立ち、特にエンド ユーザーが攻撃の入り口となることが多い場合の "先槍" 戦略として活用できます。エンド ユーザーをトレーニングすれば魔法のように何でも捕捉できるわけではありませんが、準備を整えてユーザーの注意を喚起することによって、セキュリティ チームの負荷を劇的に軽減することができます。

もう 1 つの戦略は、IT をセキュリティの一部として代行に任命することです。IT チームとセキュリティ チームのつながりを密接にして IT にセキュリティ戦略を説明しておくことは、多くの組織のセキュリティ リーダーにとって、その使命を組織の全領域に広げるのに役立っています。

自動化や、その他のプロアクティブなワークフローとタスク管理の戦略についてのガイダンスと支援を提供することとは、企業の CISO が堅実なセキュリティ態勢を確実にするためにそのチームを拡張して IT を活用するには欠かせない方法です。

引用した Microsoft の調査はすべて、量的および質的調査の両方において、独立した調査会社を使用してセキュリティ従事者に連絡を取ることによって、プライバシーの保護と分析の厳密性を保証しています。このドキュメントに含まれる引用および調査結果は、特に明記されていない限り、Microsoft による調査研究の結果です。