不正を早期に検出する取り組みが最優先項目
外部から指摘を受けて情報漏洩の被害に気づくのは、理想的な姿からはあまりにもかけ離れている。なぜなら、外部から指摘を受けた、疑念を持たれたということは、すでに不正に流出した情報が第三者の手に渡り、悪用され始めていることを意味しているからだ。不正が行われている兆候をリアルタイムに特定した上で対処できる仕組みを確立することが、サイバーセキュリティの領域でいま最も重要な施策となっている。国内でも広く参照され始めている米国立標準技術研究所(NIST)が発行するサイバーセキュリティ関連の基準でも、特に重要となっている部分がこの領域に該当する。
国内でも重要インフラ関連業種に向けたサイバーセキュリティに係る行動計画や、防衛調達に関係する企業を対象にした防衛産業サイバーセキュリティ基準においても、この考え方が採用されている。自組織でいかにして迅速に被害に気づいた上で対応できるかが、それだけ重要になっているのだ。
製品やサービスとしては、脅威検知・対応(Extended Detection and Response、XDR)やユーザーとエンティティの挙動分析(User and Entity Behaviour Analytics、UEBA)といったものが代表例で、標準的な動きのデータ(ベースライン)やさまざまなログデータを収集した上で、AIや機械学習といった技術を活用して不審な挙動を検出するものだ。わかりやすい例としては、従業員が業務上必要としていないデータにアクセスしたり、ダウンロードしたりといった、日常的にはありえない挙動を疑わしいものとして検出するものだ。
2年前の調査データにはなるが、UEBAを導入済みの企業は32%、XDRにおいてはわずかに10%と、この領域における取り組みは大きく遅れをとっている。不正を早期に検出できる仕組みの整備は、被害を未遂にするためにも、被害に遭ってしまった際にすみやかに通知義務を果たすためにも、企業におけるサイバーセキュリティの最優先項目といえる。
情報漏洩をはじめとしたセキュリティインシデントに関する被害組織の報道発表を見てみると、フォレンジック調査の結果「ここに原因があった」「このような不正な動きがあった」と断定的な説明をよく目にするだろう。逆をいうと、サイバー攻撃や内部不正といった兆候を示す有益なデータがシステム上にあるにもかかわらず、リアルタイムでそのデータが活用されていないことを意味している。被害を未遂にするために活用できるデータはすでに企業の中に存在している。後はAIを中心にした検出技術を導入して、そのデータを活用するだけだ。
連載:「あの」インシデントから紐解く企業セキュリティの本質
過去記事はこちら>>