rapid7では、既存のお客様や今後ご導⼊を検討中の組織だけ...

�|�https://www.Rapid7.com/ja��Rapid7�Research�2020�Threat�Report�脅威レポート�2020 年版�

�

ƒ�

�

�

�

�

�

はじめに�

Rapid7 では、既存のお客様や今後ご導⼊を検討中の組織だけでなく業界全体がセキュリティプログラムで成果を上げられるように、知識やツールとテレメトリによる診断情報の提供に尽⼒をしております。そして、総⼒を上げて意識改⾰を推進し、ソフトウェアの開発から、より成果が明確で達成可能なソリューションの提供へと事業の⽅向性を転換してきました。そこで脅威レポートでも同様な考え⽅に基づき、以下のように内容を変更しました。

l 記述⽅法：「技術の説明だけでなく、対処⽅法について」より詳しい説明を加えました。各セクションでは、いくつかの図表と解説によって、「組織にとっての意味」、「情報の活⽤⽅法」、そして「セキュリティプログラムの改善⽅法」について基本的な内容を解説しています。�

l データ：前提となるデータをよりわかりやすくするように、データの収集と分類について改善しています。�

l 対象：本レポートでは、Rapid7 のユーザーエクスペリエンス（UX）チームと協⼒して、最近実施した取り組みで得たセキュリティプログラムに関する膨⼤なデータを分析し、脆弱性管理（VM）プログラムや検知と対応（D&R）プログラムについて、何が事業に関連した成果となるのか明確にするように⼼がけています。�

l レポートの構成：内容が増えるにつれて、より体系的な構成が必要になってきました。そこで、本レポートでは、「脅威テレメトリ」、「検知」、「推奨事項」、「セキュリティプログラム」の 4つのセクションを設けました。�

本レポートでは、2019 年第 4 四半期（Q4）のデータと、2019 年の年間を通したデータの両⽅に⾔及しています。以前のように四半期ごとの状況を⽰すだけでなく、年間データと⽐較することで、2020 年に向けた指針を考察するのがその⽬的です。� �

Rapid7�2020 年版�脅威レポート�White�Paper�


�

エグゼクティブサマリ�

脅威テレメトリデータの分析では、組織のシステムが今も脆弱な状態でインターネットに晒され、攻撃の標的になっていることが明らかになっています。特にインターネットに公開されているシステムについては、パッチを展開する時間を測定しその短縮優先的に取り組むことが推奨されます。また、インターネットからアクセスできるシステムやサービスに関して、外部の攻撃者が組織をどのように⾒ているのかを評価し、対策を改善することもおすすめします。�

脅威テレメトリと検知データの分析からは、攻撃者が環境に侵⼊する⼿段として、有効なユーザーアカウントを狙っていることが明らかになっています。この点について推奨されるのは、⼆要素認証、パスワードの複雑さに対する要件、パスワードのローテーションポリシー、外部ビジネスアカウント⽤のシングルサインオンソリューションでユーザーアカウントのセキュリティを強化することと、クレデンシャルの漏洩の有無をダークウェブで継続的に監視することです。また、ユーザー⾏動分析（UBA）を通じて、クレデンシャルの不正利⽤を検知する能⼒を強化することもおすすめします。�

Rapid7 のマネージドディテクション＆対応（MDR）チームは、検知開始後 1 時間以内に

85%、1 ⽇以内に 90%超の脅威を特定し、⾷い⽌めています。MDR を活⽤すれすべてのお客

様がこれを実現できます。�

この点においては、さまざまな⼿法で攻撃者を捕らえることができる脅威検知機能の開発に対して投資をおこなうことが推奨さます。⼈と技術に対して投資をおこなうことで、科学的⼿法を開発していくための専⾨的な知識を蓄積しつつ、脅威アナリストが成果を上げるために必要な可視化が可能となります。�

MITRE�ATT&CK™�フレームワークは、セキュリティプログラムへの投資について判断し、投資の成果を理解するのに役⽴ちます。このフレームワークには、攻撃者が使う 7 つのわかりやすい戦術と、セキュリティチームが検知のために注⼒できる数百個の⼿法が⽤意されています。組織のセキュリティチームは、データを分類することで、組織を狙う脅威の傾向を明らかにできます。状況を確認したうえで、必要に応じた投資が求められます。�

Rapid7 は、組織がセキュリティ侵害の修正のためにどのような対策をおこなっているか、そしてリスクや影響をプロアクティブに緩和するために何に取り組んでいるかを把握しています。推奨事項のセクションをご覧になることをおすすめします。� �


�

脅威テレメトリについて�

オープンポートと脆弱なサービス�

Project�Heisenberg のハニーネットでは、今も EternalBlue を悪⽤しようとする試みの数が減ることもなく横ばいになっています。これは驚くことではありませんが、ここからわかるのは、悪⽤できる Microsoft�Server�Message�Block（SMB）サービスがインターネット上にまだ多数あり、攻撃者がこれらを探し回ることにメリットを感じているということです。この脆弱性は2017年に報告され、パッチが公開されていますが、脆弱なサーバーの全体数が変わらないため、攻撃者の注意を引きつけています�

図 1：正規化された EternalBlue ソースの 5⽇間移動平均�

�

�

�

�

�

�

�

�

�

�

�

� �


�

図 2：�2019 年のWindows�SMB サーバー検知件数�

�

�

�

�

�

�

�

�

�

�

�

組織にとっての意味�

注⽬すべき問題は 2 点あります。1 つ⽬は、2017 年に確認された脆弱性がまだ広く存在し、1 ⽇に数百回悪⽤が試みられていることです。2 つ⽬は、多くの SMB が現在でもインターネットに公開されていることです。最も効果的で信頼性に優れていて無料のツールは、ネットワークアクセス制御とエンドポイント強化です。ネットワークセグメンテーションに対してデフォルトの拒否アプローチを導⼊しておらず、展開するシステムを強化していない場合は、そこが次のステップになります。�

本情報の活⽤⽅法�

セキュリティプログラムに対する投資をどこに振り向けるべきか検討する際、攻撃者側から組織がどのように⾒えるのかを知ることが重要です。さらに、外部フットプリントがどのように変化しているかを常に把握しておくことが、問題につながる可能性がある変化を気づき管理することに役⽴ちます。�

パッチの適⽤については、多忙な IT チームに依頼する任務に対して、効果的な優先順位付けをおこない、根拠を⽰すことができる状態にしておく必要があります。IT チームとしては、必要な施策を実施したいと考えていますが、他の部署からの依頼もあるため、何を優先すべきかを理解できるようになる必要があります。脆弱性と、それを攻撃者がどのように利⽤しているかを関連付けて管理することで、より効果的にリスクを下げる作業を優先させることができます。�

セキュリティプログラムの改善⽅法�

ネットワークセグメンテーションとシステム強化は、共にネットワークとコンピュータが登場した頃から存在するセキュリティに関する基本的な概念です。基本的な概念として、ほとんど無料で導⼊でき、展開が容易で多様な環境に対応できます。� �


�

図 3：�2019 年の 1⽇ごとの正規化されたソース（ポート別）�

�

�

�

�

�

�

�

�

�

�

�

このデータは Project�Sonar のもので、インターネット上で⾒られるすべてのサービスの頻度分析を⽰しています。本来であれば、インターネット向けに強化されインターネット対応のサービスのみがこのチャートに含まれるはずです。つまり、HTTP、HTTPS、DNS、メールプロトコルです。しかし、以下のサービスが不適切な状態でインターネットに公開されています。�

図 4：�2019 年のポート 445 の 1⽇ごとの正規化されたソース�

�

�

�

�

�

�

�

�

�

� �


�


�

�

�

�

�

�

�

�

�

�


�

�

�

�

�

�

�

�

�

� �


�


�

�

�

�

�

�

�

�

�

�


�

�

�

�

�

�

�

�

� �


�


�

�

�

�

�

�

�

�

�

�

リモートデスクトッププロトコル（RDP）は、インターネット対応であると位置付けることも可能かも知れません（しかし、実際にはこれは誤りで、その役割を果たすのはリモートデスクトップゲートウェイです）。しかし、SMB�/�NetBIOS（Windows の内部ネットワークプロトコル）、MSSQL（データベースプロトコル）、UPnP（内部サービス検索プロトコル）、ADB（Android�Debug�Bridge、ローカル Android デバイスの管理⽤）に⾄っては、まったくもってインターネット対応とは⾔えません。�

脅威の ATT&CKテクニック�

本四半期は、MDR のお客様がどのような攻撃の標的になっているのかについてお伝えするだけでなく、⼀般的に⽣じている脅威を理解できるよう、Project�Heisenberg のデータをまとめ直しています。今回は、データソースに対して特に広く利⽤されている、悪意ある⼿法が明確にわかるようになりました。MDR データについて、最も多く検知されたのは、攻撃者によって利⽤されている有効なアカウントでした。Project�Heisenberg についても、最も多く検知されたのは、攻撃者によって利⽤されている有効なアカウントでした。ブルートフォース（有効ではないアカウントと⾒なす）と悪⽤も⾮常に多く⾒られました。�

� �


�

図 10：�Rapid7�Project�Heisenberg で確認された ATT&CK テクニック�

�

�

�

�

�

�

�

�

�

組織にとっての意味�本データは社内の意思決定者に提⽰すべきものです。社内に盗み出す価値のあるデータがなかったとしても、コンピュータの処理能⼒を活⽤することが可能です。あらゆる悪意ある⾏為に使える⾼い処理能⼒を攻撃者が好んで選択しているということを、意思決定者に理解してもらう必要があります。コンピュータの処理能⼒は、DDoS の帯域幅、暗号通貨のマイニング、あるいは⾝元を隠す攻撃の踏み台のために利⽤可能で、アンダーグラウンドではとても価値のあるものになります。�

本情報の活⽤⽅法�インターネットに悪意あるさまざまな攻撃者が潜み情報を奪う機会を窺っていることは、今や周知の事実です。その上で何に重点を置いているのでしょうか。トロイの⽊⾺、ワーム、エクスプロイト、あるいは有効なアカウントでしょうか。今回のデータが明⽩に⽰すとおり、⼀般的な脅威への対策として優先すべきことは、ユーザーアカウントの安全性、パッチの適⽤、そしてブルートフォース攻撃を⾃動的に検知して阻⽌するソリューションです。�

セキュリティプログラムの改善⽅法�クレデンシャルの不正使⽤の抑制は、どのようなセキュリティプログラムにとっても最低限必要なことです。クレデンシャルと認証情報の使⽤を確実に管理、監査できることが、機密性、完全性、可⽤性（CIA）トライアド（英語）の基礎となります。さらに、正規ユーザーの認証に使⽤するツールの多くは、エンタープライズ IT ツールにすでに組み込まれています。多くの場合、問題となるのは、何を保護する必要があるのか、そのアセットがどこにあるのかについて、セキュリティチームと IT チームに明確な指針がないことです。時間をとってデータカタログを作成し、アセットインベントリを改善すれば、それが明らかになります。組織にとって最も重要なデータについてユーザーを教育すれば、全員にセキュリティを意識した習慣が根付きます。�

IT チームは多くの場合、脆弱性への対処としてのパッチ適⽤に全⾯的に関与することを渋ります。IT チームの⽴場を考えると、その理由もわかります。多忙で、正当に評価されず、常に責任を押し付けられているからです。しかし、影響の度合いに応じて IT チームの任務に優先順位をつけ、その任務をおこなわなかった場合のリスクを説明して根拠を⽰せば、通常は協⼒を得て良い成果を上げることができます。� �


�

検知テレメトリについて�

攻撃者の滞在時間とインシデントのカテゴリ�

今回の年間データには、前四半期のデータが反映されていることがわかります。Rapid7 の MDRチームには、問題発⽣前の脅威の特定において優れた実績があります。また、攻撃者が好んで使う⼿法が、マルウェア、フィッシング、不正ドキュメントであることがわかります。この 3つのカテゴリだけで、組織に対する攻撃の 80%近くを占めています。�

図 11：�攻撃者の滞在時間（MDRのインシデントカテゴリ別）�

�

�

�

�

�

�

�

�

�


この脅威レポートのもとになっているデータは、Rapid7 の MDR チームから提供されています。MDR チームは、数百に及ぶお客様の環境で、合計で 100 万を超えるエンドポイントを監視しています。MDR チームは、複数の異なる⽅法で攻撃を検知しています。エンドポイントでの攻撃者の⾏動の監視、既知の脅威が残す兆候の活⽤、InsightIDR データセット内の脅威の検知、ログデータに対するユーザー⾏動分析などの⼿法を活⽤しています。�

また、マルウェア、フィッシング、不正ドキュメントの脅威の検知と防⽌に⼒を注ぐことで、今後の攻撃の試みによるリスクと影響に⼤きな違いをもたらすことができると考えています。�


脅威の検知に対するRapid7のアプローチは成熟度が⾼いことが評価されており、参考になる部分があるでしょう。Rapid7 の検知とインテリジェンスには、Rapid7 の取り組みに加え、情報セキュリティのコミュニティ全体で共有されている情報も活かされています。他のセキュリティプログラムでも、同様のことを実現し、有効性を⾼めることができます。今回のデータからは、マルウェア、フィッシング、不正ドキュメントに関する対策への投資を最優先におこなうべきであることがわかります。�


�

検知プログラムの改善⽅法�

ここで挙げる指標は、Rapid7 のアプローチの効果を⽰しています。検知プログラムの効果を⾼めるための検討事項をいくつか紹介します。�

l 攻撃者⾏動検知機能の導⼊または開発：�エンドポイント、ネットワーク、ログデータを監視し、攻撃者の⾏動の痕跡を検知できる製品や製品カテゴリはいくつかあります。こうしたツールは、既存の脅威防御テクノロジー（アンチウイルスやファイアウォール）や、脅威インテリジェンスベースの検知（侵⼊検知システム（IDS）やアプリケーションのホワイトリスト設定）を補います。また、脅威検知に使われるデータの多くを提供します。�

l ユーザー⾏動機能の導⼊または開発：�クレデンシャルの使⽤に関する異常を監視できる製品や製品カテゴリはいくつかあります。この監視では、トレーニング期間中に誤検知が多数発⽣しますが、攻撃者が不正なソフトウェアから PowerShell や環境寄⽣型攻撃に移⾏するとともに（2019 年第 3四半期の脅威レポートで指摘）、重要性が⾼まっています。�

l 脅威検知機能の開発：�脅威検知のためには、攻撃者、その⼿⼝、侵⼊時に残していく痕跡、その痕跡を集計する⽅法、データを分析する⽅法に関する知識が必要です。これは、⼈とテクノロジー双⽅の成熟度が求められる⾼度な能⼒です。�

l リアルタイムで詳細なエンドポイントの可視化：�エンドポイントで発⽣することのなかには、セキュリティ担当者が知っておく必要があることがあります。また、わからないことがあるときに必要に応じて調べることもあります。優れたエンドポイント検知と対応（EDR）ソリューションは、この両⽅の役割を果たします。�

ATT&CKテクニックの頻度�

エンドポイントでの盗まれたクレデンシャルの使⽤と攻撃者⾏動の検知に注⼒する効果が引き続き⾒られます。図 12では、⾊分けが⾚やオレンジ⾊に⼤きく偏っていることがわかります。これは、Rapid7 が多くの場合で攻撃のライフサイクルの早期に攻撃を検知し、組織は Rapid7 の⽀援を受けて脅威を取り除き、必要に応じて修復作業を実施できていることを⽰しています。�

� �


�

図 12：�2019 年のMITRE�ATT&CK テクニック（頻度別）�

�

�

�

�

�

�

�

�

�

�

�

�


これは、UBA、攻撃者⾏動分析（ABA）、従来型脅威の兆候、そして脅威検知などの検知⼿法の組み合わせが、攻撃者の滞在時間短縮に役⽴っている証拠です。また、攻撃者がエンドポイントにおける⾏動の検知に対して投資することで、被害を受ける前に侵害を検知できる可能性が⾼まります。�

本情報の活⽤⽅法す�

本データは、EDR ツールへの投資の必要性を裏付ける根拠となります。MDR サービスは、攻撃者がどのようにホストと通信し、認証を受けているかがわかれば、攻撃者の⾏動をほぼすべて追跡できるという前提に⽴っています。2019 年を振り返ると、攻撃者の滞在時間を短縮し、さらに深刻な攻撃が開始される前に脅威を封じ込めるうえで、この前提が明らかに役⽴っていることがデータからわかります。�


2019 年第 3 四半期の脅威レポートで、PowerShell と環境寄⽣型の⼿法を取り上げたように、確認される不正な⾏為の⼤部分は、ほとんどのセキュリティツールから⾒えないところで、Windows�OS で利⽤可能な機能を使⽤されることで発⽣しています。こうした攻撃に対処する唯⼀の⽅法は、攻撃対象領域を縮⼩することです。そのためには、Windows のスクリプト⾔語の機能を制限し、通常のワークステーションにインストールされる管理ツールの数を制限し、プロセスの実⾏を監視して攻撃者⾏動の有無を確認します。�

� �


�

ATT&CKの戦術（業種別）�

図 13 と図 14 は、検知のタイミングを別の視点から⽰しています。グラフの横軸は、通常は⼀定のタイムラインに沿って進む、攻撃のライフサイクルにおける各段階を⽰しています。すべての業種にわたり、MDR のチームがライフサイクルの早期で攻撃を検知し、その結果、事業の継続に対する脅威の影響を軽減していることがわかります。�

図 13：�2019 年のMITRE�ATT&CK の戦術に関するアラート（業種別）�

�

�

�

�

�

�

�

�

�

�

�

�

� �


�

図 14：�2019 年第 4四半期のMITRE�ATT&CK の戦術に関するアラート（業種別）�

�

�

�

�

�

�

�

�

�

�

�

�


この種のデータは、投資を優先的に向けるべき領域を判断する際に役⽴ちます。脅威を効果的に検知するには、階層型のアプローチが必要であることが知られていますが、投資から最⼤限の利益を得るには、投資をどこに向けるべきか把握しておく必要があります。図 13 と図 14 のデータから明らかなのは、ライフサイクルの早期に攻撃を検知できるよう注⼒することで、攻撃者の滞在時間が短くなり、企業が修正のために負うコストが少なくなるということです。�


MITRE�ATT&CK エンタープライズフレームワークに従って、防御、検知、対応に関する調査結果を評価、分類すれば、攻撃がどの程度進展しているかだけでなく、具体的にどのテクニックが使われているかもわかるため、効果的な防御策を講じることが可能です。�


セキュリティ業界では、⼀部の被害者のみを標的にする特定の脅威だけでなく、インターネット上の幅広い脅威を対象に設計された、脅威ベースのセキュリティプログラムの開発がよく話題にのぼります。MITRE�ATT&CK フレームワークは、脅威ベースのセキュリティプログラムを導⼊する際のロードマップとなります。戦術の内でテクニックを定義し、戦術を攻撃のライフサイクルの各段階に⼤まかに対応づけることで、情報階層に沿ってデータを分類できると同時に、脅威を特定するための具体的な兆候がわかります。�

� �


�

脅威の兆候�

Rapid7 の検知チームは、脅威の兆候の管理に多くの時間とリソースを注ぎ込んでいます。これには正当な理由があります。Rapid7 では、攻撃者を⾒つけるためにアラートの調査に⻑い時間をかけることがあります。この場合は、攻撃者の活動を組織のエコシステム全体で迅速に検知すべきでしょう。さらに、こうした兆候に対しては、防御テクノロジーを活⽤し、さらなる脅威をコストをかけることなく阻⽌すべきであると考えています。�

図 15：�侵害の兆候（IoC）のインシデント分布�

�

�

�

�

�

�

�

�

�

�

�


MDR チームは、脅威インテリジェンスを管理しておく必要がある点をよく理解しています。脅威を検知するコストは⼈件費が⼤く占めているからです。誤検知が多すぎると、アナリストの時間が無駄になります。⾏動分析ツールを使って脅威を検知するように依頼したとしても、アナリストの時間は無駄になります。Rapid7 にとっては、⼤規模な検出および対応プログラムを運⽤しているため、この事実は極めて明⽩です。しかし、ほとんどのセキュリティプログラムでは、脅威の兆候の管理に投資していないため、毎⽇、膨⼤な時間を無駄にしています。これが数週間、数か⽉と積み重なると、セキュリティアナリストの仕事に対する満⾜度が下がり、最終的には燃え尽き症候群や離職などにつながります。�


図15は、Rapid7がお客様に報告している兆候の種類と頻度を⽰しています。メール、FQDN、IPアドレス、MD5、SHA1、SHA256、URL、Vuln（脆弱性）には特に注意が必要です。この 8 項⽬は、脅威の検知と対応のプログラムで収集すべき兆候です。これらの兆候はコミュニティと共有することをおすすめします。しかし、ここで取り上げるのは別の理由からです。これらの兆候を脅威防御テクノロジーにフィードバックすると、こうした識別⼦を持つ脅威が境界の防御を通過しないようにすることができます。� �


�


脅威の兆候の管理で重要となるのは効率です。脅威の兆候が対応の段階から検知の段階、防御の段階にどのように移⾏しているか追跡する際は、コストセーブしている⾦額、効率化の度合い、リスク低減策のレベルの追跡が必要になります。本セクションで⽰したプロセスを実施するだけでなく、セキュリティプログラムの各階層で兆候の変化を⼊念に測定することをおすすめします。最後に、コミュニティとの共有を検討してください。私たちは共に戦う仲間です。それぞれがデータを抱え込んでしまったら、勝つのは攻撃者です。�

マルウェアの種類�

多くのマルウェアが⾒られます。それ⾃体は驚くほどのことではありません。驚くのは、図の内でトロイの⽊⾺が圧倒的に多いことです。その理由について仮説はまだ⽴てられていません。また、タイムラインの中央で V 字型に折れ、そこを基点に上下に同じように伸びている理由もわかっていません。さらに、図ではオレンジ⾊も多く⾒られます。これはマルチステージ攻撃が発⽣していることを⽰しています。�

図 16：�⽉ごとのマルウェアの感染率（種類別）�

�

�

�

�

�

�

�

�

�

�

�

�


マルウェアは、あらゆるセキュリティプログラムにとって現実に対処すべき問題です。⼀般的な脅威も、標的型の脅威も、内部からの脅威でもマルウェアが使⽤されています。マルウェアは、メール、Web の閲覧、悪意のあるユーザーによるインストール、正規ソフトウェアへの付属、脆弱なWeb アプリケーションを通じたアップロードなど、さまざまな場所から現れます。追加のマルウェアをダウンロードするマルウェアさえあります。この課題に対処する唯⼀の⽅法は、防御テクノロジー、検知に関する専⾨知識、ユーザー教育をバランスよく活⽤することです。� �


�


画⼀的なアプローチではマルウェアに対処できないと認めることで、（MITRE�ATT&CK エンタープライズフレームワークを採⽤しているおかげで）攻撃者がとることがわかっているさまざまな攻撃の経路を評価し、マルウェアの脅威を低減する管理機能やテクノロジーが存在するかどうかを検証できます。�


攻撃経路の例としてメールの場合を考えます。わかっているのは、攻撃者がメールを送信すること、メールサーバーがそのメールを受信すること、そのメールがクライアントにダウンロードされること、ユーザーがそのメールを開き、添付ファイルを実⾏する可能性があることです。⼀連のイベントのなかには重要なポイントが 2 点あり、添付ファイルの実⾏⽅法に⽬を向けるとさらに多く点があります。�

1 点⽬は、メールがメールサーバーに到着する部分です。添付ファイル（場合によっては添付ファイルの実⾏時の動作）を確認し、不正なものかどうかを判断できるテクノロジーはいくつかあります。この場所で脅威を⾷い⽌める効果をどの程度望むかによっては、複数の異なるテクノロジーを採⽤することも検討できます。�

2 点⽬は、メールがクライアントに配信される部分です。メールクライアントが実⾏されているプラットフォームによっては、脅威の防御と検知のツールを使⽤して、エンドポイントでユーザーが添付ファイルを開く前に脅威を⾷い⽌めることができます。�

最後に、2 点の不確定要素があります。ユーザーがメールを開くかどうかと、ユーザーが添付ファイルを開くかどうかです。私たちは、少なくとも部分的に、ユーザー教育、メール内の注意書き（「警告：このメールは外部から送信されています」）、またはユーザーに注意を促すその他の視覚的な⽬印で、こうした不確定要素をコントロールできます。�

� �


�

推奨事項について�

推奨事項の優先度と必要な作業量�

本四半期の新しい特徴として、MDR チームが調査結果のレポートに含める推奨事項について着⽬したという点があります。⽬標は、Rapid7 の調査でわかったこと、そしてそれについて事後対応（修正）と事前対応（緩和）としてお客様が何をすべきかを伝えることです。推奨事項にはそれぞれ優先度と必要な作業量の⽔準が指定されています。注⽬すべき点がいくつかあります。�

1. 修正作業の 75%は優先度が⾼く、必要な作業量が低〜中程度になっています。�

2. 緩和のための推奨事項は、優先度と必要な作業量が広範囲にわたります。�

図 17：�2019 年の推奨事項の必要な作業量（優先度別）�

�

�

�

�

�

�

�

�

�

�

�


必要な作業量が少なく、優先度が⾼い場合、Rapid7 ではすぐに⾃動化の検討を始めます。具体的な推奨事項を⽰す次のセクションに進めば、皆様にも同意していただけると確信しています。修正作業の時間とコストに注⽬することで、短期間でも多額のコストを節約できます。必要な作業量が少なくても、セキュリティプログラムの成熟度が低く、⼈間が推奨事項を実施する場合、⼯数がかかります。セキュリティプログラムに⾃動化を取り⼊れることをすでに検討中の場合は、このデータでその根拠を補える可能性があります。�

� �


�


お客様が脅威を効果的に修正できるように Rapid7 がお客様に提⽰している推奨事項の 75%は、優先度が⾼く、必要な作業量が少ないということに気づくだけで、⾃動化の検討（あるいは⾃動化への投資）に役⽴つはずです。まだ検討していない場合は、この指標が検討の正当な理由になるかも知れません。�


⾃動化は、多くのセキュリティプログラムにすでに組み込まれていますが、機械学習と⼈⼯知能とともに次の先端領域の 1 つになっています。その可能性は無限です。セキュリティと IT の分野のほとんどの製品が、セキュリティ情報/イベント管理（SIEM）（英語）をサポートするためにAPI モデルに移⾏するなか、⾃動化はこの機能を利⽤して、IT 全般、特にセキュリティに貢献しています。⾃動化によって、プロセスを効率化するための無数の選択肢がもたらされます。たとえば、さまざまなセキュリティツールや IT ツールを連携させてワークフローをシームレスにしたり、アラートに必要な周辺コンテキストの収集を⾃動化したり、ユーザーアカウント、ネットワークアクセス、物理アクセスの修正を⾃動化したりすることができます。�詳細な推奨事項�

図 18 と図 19 に⽰す推奨事項について説明します。最初のチャートは緩和に関する推奨事項、2つ⽬のチャートは修正に関する推奨事項を⽰しています。推奨事項のデータを深く掘り下げ、緩和と修正（事前対応と事後対応）を分け続けています。ほとんどの修正作業はシンプルであることを強調するため、各推奨事項の趣旨を抽出しています。�

緩和のデータでは、「ユーザーの意識向上トレーニング」が最も推奨される対応であることが明らかです。修正のデータでは、「パスワードの変更」が最も推奨される対応です。1 つ説明を加えておきます。Rapid7 の MDR サービスと InsightIDR のクラウド SIEM テクノロジーは、クレデンシャルの不正使⽤を特定するよう設計されているため、ここには⽅法論による偏りがわずかに⽣じています。それでも、攻撃者はアカウントを必要とし、使⽤するため、検知と対応ではアカウントに関する問題の緩和が⼀般的であることに変わりはありません。�

�

� �


�

図 18：�2019 年の緩和に関する推奨事項、優先度、必要な作業量�

�

�

�

�

�

�

�

�

�

�

�

図 19：�2019 年の修正に関する推奨事項、優先度、必要な作業量�

�

�

�

�

�

�

�

�

�

�

�

�

� �


�


最も推奨される修正⽅法について詳細を確認すれば、それが⾃動化に適している理由を理解できるでしょう。お客様が⾃⾝の推奨事項のデータを追跡していなかったとしても、このデータは単純に私たちが直感的にわかっていたことの確証となります。つまり、セキュリティプログラムに⾃動化を加えることで、効率を⾼め、影響を抑制できる⼤きな余地があるということです。�

同様に緩和の推奨事項では、私たちは皆、攻撃者のために扉を開けることが最も多いのはユーザーであると疑ってきました（そして、このような脅威レポートでもそのように報告されていました）。しかし、ほとんどの組織では、ユーザーの教育、⽀援のプログラムが⼗分に実施されていません。このデータを使⽤して、事前対応のセキュリティ対策の焦点を合わせる必要があります。データは、ユーザー教育にもっと⼒を⼊れる必要があることを明確に⽰しています。�


このデータすべてを利⽤して、⾃動化とユーザー教育への投資を正当化できます。Rapid7 が多くのインプットをかみ砕いて、読者の皆様に検知と対応に関するテレメトリデータを提供している理由は、皆様がデータに基づく証拠を経営陣に⽰し、投資判断ができるよう⽀援するためです。このデータは、セキュリティプログラムにおいて何が重要であるかに対する皆様の考えの確証または反証としても役⽴ちます。このデータを分析する前なら、Rapid7 はエンドポイントの修正の優先度をもっと⾼く設定したはずです。しかし、この考えは間違っていました。実際にはユーザーアカウントの⽅が重要であることがわかりました。�


最終的な分析として、Rapid7 の MDR アナリストが MDR のお客様の環境で特定した脅威に基づき、本レポートでは、ユーザーアカウント修正の⾃動化とユーザー教育への投資を優先させることを、ほぼすべてのセキュリティプログラムを改善できる主要な対応策として位置付けています。�

� �


�

ATT&CKの戦術やテクニックと推奨事項の対応�

図20には、たくさんの情報があります。各ブロックを左から右に⾒ていくと、MITRE�ATT&CKの戦術と、緩和、修正に必要な対応の数の間にパターンがあることに気づくはずです。「防御の回避」戦術については、推奨事項が（⽐較的）少なくなっていることがわかります。これに対して、「実⾏」戦術の下にある推奨事項は、緩和と修正のために必要な⼿順が多くなっています。�

次に、テクニックと推奨事項を結ぶリンクの⾊が⻘（修正）に偏っていることがわかります。しかし、ここに⽰すテクニックの 1 つを除くその他すべてに、リスクを低減できる何らかの対策があることがわかります。最後のポイントとして、「ユーザーの意識向上トレーニング」が、3 つの戦術に緩和策として存在し、「実⾏」の場合はそのなかの各テクニックの緩和策になっています。�

図 20：�2019 年のMITRE�ATT&CK と推奨事項�

�

�

�

�

�

�

�

�

�

�

�

�


このデータは、セキュリティプログラムの有効性と効率性を⾼める最も効果的な 2 つの⽅法として、⾃動化とユーザー教育に投資する必要性をさらに裏打ちしています。脅威防御と侵害検知のプログラムの作成、評価、報告の⽅法として、MITRE�ATT&CK エンタープライズフレームワークを採⽤することになった場合は、このデータをお客様独⾃のデータと組み合わせることで、優先すべき緩和策がわかります。�


本当にプロアクティブな組織は、図 20の緩和に関する推奨事項をすべて実施し、侵害のリスクと影響を抑制できます。プログラムの開発を始めたばかりの場合は、環境から脅威を迅速かつ効果的に取り除くために必要な機能のロードマップとしてこれを使⽤できます。� �


�


防御、検知、対応のデータをここに⽰すように追跡すれば、他の指標をいくつでも追加できる可能性が開かれます。たとえば、この図に加えて、（⼈または⾃動化ワークフローへの）対応の割り当てにかかる時間を測定する時間指標を追跡し、特に時間が⻑いものについて短縮に取り組むことができます。別の例として、⼈の⼿でおこなう必要がある対応に注⽬し、⾃動化が可能かどうかを評価できます。�

� �


�

セキュリティプログラムについて�

脅威レポートに新たに追加された本セクションでは、Rapid7 のユーザーエクスペリエンス（UX）チームがお客様と協⼒してきた内で収集し、検証のために業界を対象に調査を実施したデータを掘り下げていきます。�

まず、「成果」とは何かについて説明します。簡単に⾔えば、誰かが⼀定期間中に達成しようとしている事柄であり、何らかの値によって評価します。成果は具体的に次のような構成となっています。�

図 21：成果に関する望ましい表現⽅法�

�

�

�

�

なぜこのデータに取り組んでいるのか疑問に思われているかも知れません。Rapid7 は、優れた戦略的、戦術的インテリジェンスには、その 1 要素として、他社が防御のために何を実践し、何を考えているかに関する知識が存在していると考えています。18 社のお客様がこうした成果を導き出すために協⼒してくださったため、そのデータを分析、報告することが私たちの責務であると感じています。�

この取り組みの結果は次のとおりです。�

検知と対応のプログラムを対象とする 97 の成果、重要度順�

脆弱性管理プログラムを対象とする 72 の成果、重要度順�

最初に、検知と対応（D&R）に求められる成果の上位 3点を確認しました。�

�

成果 1：�「セキュリティツールで検知できない脅威が存在する可能性を最⼩限に抑える」�

これが 1 番⽬であったことに驚きはまったくありません。これは、対応に携わる担当者や企業のリーダーが夜も眠れないほど悩んでいることです。しかし、このような状況は改善されるべきです。悩みが尽きることはないかも知れませんが、セキュリティプログラムとそれに伴う⽬標が最⼤限に効果を発揮し、企業にとって最も⼤切なものが守られれば、安⼼感が増します。重要なのは、侵害を防ぐことではなく、組織が重⼤な被害を受ける前に侵害を⾷い⽌めることです。�

成果 2：�「ネットワーク上の脆弱性を把握する能⼒を最⼤限に⾼める」�

Rapid7 では通常、攻撃対象領域の管理作業を、セキュリティプログラムの防御レイヤー内にすべて注ぎ込んでいます。効果的な脆弱性の管理と修正のプログラムは、脅威が現実のものとなる可能性を下げるための重要な柱の 1つです。�


�

成果 3：�「セキュリティのベストプラクティスに対する従業員の意識を⾼めることで、そもそも問題が発⽣することを防ぐ」�

この点が 3 番⽬に⼊ったことは注⽬すべきことです。脅威や攻撃が組織内でどのように具現化するかに対する理解が⽋如していると、セキュリティプログラムへの投資が偏り、誤った安⼼感につながると Rapid7 は確信しています。エンドユーザーから始めて、IT チームやセキュリティチームを含む組織全体の意識向上が必要です。�

その後、脆弱性管理（VM）の上位 3点を確認しました。�

�

成果 1：�「深刻な事態への対処にかかる時間を最⼩限に抑える」�

脆弱性管理の成果が、対応に関するものであった点は特に興味深いことです。検知と対応の 1 つ⽬の成果は、脅威を確実に検知することでした。⼀歩離れて企業のセキュリティ担当者の⽴場で考えると、脆弱性管理と攻撃対象領域管理のプログラムは、検知と対応プログラムよりも前から存在したと推測できます。このため、データの収集と分析、意思決定における運⽤の不確実性の多くは、すでにわかっています。これは、脆弱性管理プログラムの⽅が総合的に成熟度が⾼い可能性があることを⽰しています。�

成果 2：�「環境が侵害を受ける可能性を最⼩限に抑える」�

脆弱性管理における 2 番⽬に重要な成果が、実際には検知と対応の成果であることが明らかになったことは驚くべきことです。しかし、これは理解できることで、優先度としては間違っていません。脆弱性管理や攻撃対象領域管理でおこなうことはすべて、環境が侵害を受ける可能性を最⼩限に抑えるためのものです。これには正当な理由があります。脆弱性管理と攻撃対象領域管理は防⽌策です。防⽌策は、脅威の検知と対応に必要な労⼒を最⼩限に抑えるテクノロジーを使うことで最も効果的に実施できます。検知と対応の⼿段は⼀般に多⼤な労⼒を必要とし、防御よりも検知と対応のコストが⾼くなります。�

成果 3：�「環境内で新たな脆弱性が⽣まれる可能性を最⼩限に抑える」�

これは脆弱性管理プログラム全体を対象とする成果です。この成果は多くを意味します。脆弱性が持ち込まれる経路には、ベンダー、ユーザーデバイス、相互接続されたネットワーク、私たちのコントロールの範囲を超えたその他の経路があると考えるとなおさらです。Rapid7 は、脅威やインシデントのビジネスに対する影響を最⼩限に抑えることが達成可能であるとして、それを⽬標として定めることを推奨していますが、脆弱性管理についても同じことが⾔えます。⽬標は、可能性を最⼩限に抑えることではなく、ビジネスに対する脆弱性の影響を最⼩限に抑えることであるべきです。�

� �


�

結論�

本レポートで取り上げた内容は多岐にわたります。全体を通してお伝えしてきたように、脅威の防⽌、侵害の検知、インシデントの対応の各プログラムの指針とし、実施と評価をおこなうために MITRE�ATT&CK エンタープライズフレームワークを採⽤することをおすすめします。Rapid7では、MDR データにこのフレームワークを採⽤するまで、お客様の環境で確認されていた傾向を理解するのに苦労していました。皆様のプログラムも同様である可能性があります。何が起きているのか、うまく実施できていること、うまく実施できているが改善の余地があること、うまく実施できていないことを評価するテレメトリが⼿に⼊れば、そのデータを根拠に投資し、投資利益率を算出できます。このレポートのポイントを以下に⽰します。�

脅威テレメトリ�

外部フットプリントに注⼒する必要があります。脅威のテレメトリデータからわかるのは、EternalBlue 攻撃の勢いが衰えていないこと、インターネットからアクセスできる SMB サーバーがわずかにしか減っていないこと、VNC、NetBIOS、RDP などインターネットからアクセス可能なサーバーが依然存在していることです。�

⼀般的な脅威で最もよく使⽤されているテクニックは、公開アプリケーション、有効なアカウント、ブルートフォースの悪⽤です。効果的な緩和と検知の⼿法には、パッチの適⽤、ネットワークのセグメンテーション、ユーザー⾏動分析があります。�

検知テレメトリ�

Rapid7 の MDR チームは、1 時間未満で 75%を超える侵害を検知しています。皆様にもそれが可能です。Rapid7 の秘訣は、複数の脅威検知⼿法を使⽤し、検知とテクノロジーを優秀な⼈材で補い、それらの⼈材が必要なツールを⽀給し、エンドポイントとログを詳細に可視化することです。�

Rapid7 の MDR サービスが検知する侵害の 80%近くは、マルウェア、フィッシング、不正ドキュメント関連の侵害です。防御テクノロジーで⼀部の脅威は防⽌できますが、それ以外の脅威には、可視化とツールを利⽤できる、勤勉な脅威検知チームが必要です。�

Rapid7 の MDR のお客様に対して攻撃者が使⽤するテクニックの上位 3 点は、有効なアカウントを使った初期アクセス、サードパーティ製ソフトウェアを使った実⾏、PowerShell を使った実⾏です。ユーザー⾏動分析とエンドポイントの可視化に投資することで、こうした脅威を検知できます。�

攻撃のライフサイクルの初期アクセスや実⾏の段階で早期に脅威を検知することに注⼒すれば、侵害のコストや影響を抑制できます。�

脅威の兆候の収集と再利⽤に投資すれば、セキュリティプログラムの効率を⾼めることができます。セキュリティプログラムで侵害の検知とインシデント対応の活動から侵害の兆候を収集し、脅威防御テクノロジーを導⼊すれば、攻撃の試⾏を境界で⾷い⽌めることができます。�

マルウェアは⾄るところに存在します。その種類と機能はさまざまです。マルウェアの猛威に対処する唯⼀の⽅法は、攻撃ベクトルに応じた複数のテクノロジーを展開し、それを熟練の防御担当者、エンドユーザー向けセキュリティトレーニングの強化、⾃動化による迅速な封じ込めと根絶で補うことです。�

� �


�

⼤規模な修正�

MDRのお客様が実施する修正作業の75%が、必要な作業量が少なく、影響が⼤きいものでした。こうした作業は⾃動化に適しています。⾃動化により、封じ込めまでの時間を短縮できるだけでなく、担当者の効率を⾼めることができます。�

脅威の傾向に応じて緩和策をプロアクティブに展開することで、侵害のリスクを下げることができます。Rapid7 の MDR の調査結果レポートには、事後対応（修正）と事前対応（緩和）の推奨事項が含まれます。分析結果では、2019 年に特定された脅威に基づいて、最も推奨される対応を取り上げています。�

脆弱性管理プログラムと検知と対応プログラムに求められる成果は、互いに補完し合う関係にあります。脆弱性管理と検知と対応の上位 3 点の成果の内で、⼀⽅の少なくとも 1 点は他⽅の成果を反映したものでした。これらのプログラムがサイロ化していると、定められた成果に対するパフォーマンスが低くなります。�

Rapid7 について�

Rapid7 は、Insight�Cloud によって、Visibility�-�可視化、Analytics�-�分析、Automation�-�⾃動化をもたらし、企業のサイバーセキュリティのさらなる向上を実現します。Rapid7 のソリューションなら、複雑なタスクがシンプルになり、セキュリティ部⾨がより効率的に IT 部⾨や開発部⾨と共に、脆弱性を減らし、悪意ある⾏動を監視し、攻撃を調査し遮断し、ルーチン業務を⾃動化することが可能になります。全世界で、7,900 社のお客様が Rapid7 のテクノロジー、サービス、リサーチを活⽤することで、セキュリティを向上させています。詳しい情報は、ホームページをご覧ください。�

�

本ホワイトペーパーは、以下の著者により作成され2020年 3⽉ 3⽇にホームページに掲載された内容の⽇本語訳です。�

Bob�Rudis、Senior�Director、Chief�Security�Data�Scientist�、Rapid7�

Wade�Woolwine、�Principal�Threat�Intelligence�Researcher�、Rapid7�

Kwan�Lin、Principal�Data�Scientist��、Rapid7�

�

�

�

�

�

�

�

� �

rapid7では、既存のお客様や今後ご導⼊を検討中の組織だけ...

Documents