当社のセキュリティ専門家がサイバーセキュリティの進化について議論し、2025 年以降のチャレンジを乗り越えるためのインサイトを提供します。
このブログでは、今後 1 年間にサイバーセキュリティを形作ると予想される変化、新たなトレンド、破壊的な力について検討します。
セキュリティの視点では、2025年もエキサイティングな年になることは間違いない。
公共部門も民間部門も、サイバーセキュリティは、1番ではないにせよ、間違いなく2番、3番を争う問題となっている。
世界経済フォーラムの世界リスク予測を見ても、サイバーセキュリティは課題の上位5%に入っ��いる。
2024年からの予想がどうなったのか
昨年の予想は的中したか?
Rapid7の2024年予測:
トするビジネスへの圧力を強めるだろう。
情報共有が急増することを期待する。
SOCは暴露管理と検証戦略に注力せざるを得なくなる。
予測は的中した。リスクと規制の増加について、特定の国のサイバー戦略を見直すだけでなく、見直す必要があるという考え方が複数の地域で加速したと思います。2024年にかけて、複数の国で、重要インフラ法から国のサイバー法、そして2024年に発表された指令や指針に至るまで、あらゆるものを対象とした見直しが行われました。中小企業から大企業まで、企業が事業を運営する上で必要とされる統制や増え続ける統制のいくつかを満たすような形で事業を運営するだけでなく、より多くのことが求められている。
リアルタイムの情報共有に関しては、私たちは脅威インテリジェンスについて、それが私たちの業界にとっての万能薬ではないかのように話しているが、脅威に関する情報収集、解析においては、その主軸はAIに急速に移行しつつある。IOCを共有したり、ツイッターで、これは重大なバグや脆弱性を収集したとしても、組織が本当に必要としているのは、より適切な意思決定を行うための、実用的で文脈に基づいたエンリッチメントであって、この脆弱性は悪用されているのか?それは極めて重要だ。私の所属する部門に悪用されているのか?というところまで加工しなければいけない。ただ、データをかき集めても意味は無いのです。本当に知りたいのは、何が悪用されるのか、何が応用されるのかということや、どのようにパッチを当てればいいのか?私のセクターを狙っているのか?私の環境に侵入してきたのか?と言う直接的なアクションです。
各加盟国の所轄官庁は規制当局と脅威情報を共有することになっています。その背景には、ゼロデイ攻撃の増加があります。犯罪組織が恐喝や身代金で大金を支払っているため、ゼロデイが存在するのです。
攻撃者等はこの分野に投資することができる。10年前の犯罪組織はゼロデイをする余裕がなかった。今はできる。そして、それは彼らにとって投資収益となる。しかも暗号通貨で支払われています。
2025年に何が起こりうるか。ここでは3つの予測をしています。
セキュリティー予測1
- 複雑化する攻撃対象領域で水面下を進むセキュリティ・チームにとって、可視性の向上は救命具の役割を果たす。
行動計画
○ クラウドとオンプレミスの資産、アイデンティティ、サードパーティのサプライチェーン、シャドウITの外部スキャンなど、攻撃対象領域全体を把握し、マッピングする。
○ 露出した資産をビジネスクリティカルなアプリケーションや機密データにマッピングすることで、リスクの優先順位を決定する。
○ さまざまな攻撃対象領域にわたる継続的なモニタリングとレポーティングを確立し、セキュ リティ対策の評価と検証を行う。
知らないものは守れないということです。例えば、シャドウITの範囲は広く、企業のネットワーク環境を守ることは非常に難しくなっています。そして、それは単に可視化するだけで解決しません。
なぜなら、自分のサイバーアセットを知ることは一つの要素だからであり、その情報を他の視点の情報や脅威インテリジェンスと関連付けることで、「ほら、これが私の持っている資産だ。これは私が持っているアプリケーションです。これには潜在的な脆弱性がある。これらの脆弱性が悪用される可能性があります。これらの特定の問題を特に悪用している脅威グループは誰なのでしょうか?」と言うコンテキストやエンリッチメントにより補完された明確な次のアクションを提示し、優先順位づけにつなげられる状態にすることが必要です。その意味では、サイバーアセットの透明性と可視性は全ての基礎となります。
自分が何を持っているのかを知らなければ、どうやってそれを守ることができるでしょうか?
環境が変わったことも状況を複雑にしている一因です。パンデミック(世界的大流行)やコビッドの時代以降、多くの企業やビジネスのやり方が根本的に変わり、オンライン上の資産の量や、誰もが扱う資産の量も変わりました。そして、彼らが使用している情報ITインフラやアーキテクチャの範囲全体にわたって、それらの資産すべてに関連する複雑なものとなっています。
つまり私たちは、本当の意味でのITの爆発を目の当たりにしたのだと思う。しかし、そのような世界に入った今、人々は追いつこうと必死になっている。
しかし、これを読んでいる方々は、まあ、そうだよね、と言っていると思います。現実は、4、5、6種類の製品やソリューションを使って攻撃対象領域を可視化しています。しかし、5つも6つもある製品のどれを選んでも、アセット数はそれぞれ異なります。エンドポイント・プロバイダーはこう言い、VPNプロバイダーはこう言う。そして突然、「さて、実際にはいくつのアセットがあるのだろう?」となった時、どのようにして何が正しいと判断できるのでしょうか?
多くの矛盾した情報がある中で、どうやって自分のアセットやアタックサーフェスに対する理解を正常化するかということが課題になります。そこで、シャドウITという難解な概念から、アタック・サーフェスを指揮する方向へと進んでいくのだと思います。
CAASM(Cyber Asset Attack Surface Management)テクノロジーの成長と台頭を目の当たりにし、私たちはその分野のひとつを担っています。その理由のひとつは、継続的なモニタリングを環境に組み込むことができるようになったことだと思います。月1回スキャンして、何が出てくるか見てみようというような時代はとっくに終わっています。
監査や法令順守も同じで、1年に1回や1カ月に1回では、多くのことを見逃してしまいます。ですから、強力なアタック・サーフェスのマッピングやガバナンス、優先順位付けが重要なのです。さらに最も重要なことは、インジェスト・パイプラインの幅を広げ、多数のソースからデータを収集できるようにすること、そしてそれを正規化し、なぜこれを資産として選択し、これは資産として選択しないのかを証明できるようにすることです。
来年は、ますます複雑化する攻撃対象領域において、セキュリティ・チームがより多くの取引を行うための救命具として、より大きな可視化が行われると予測されます。私たちは、クラウドやオンプレミス、資産、アイデンティティ、サードパーティのサプライチェーン、シャドーユースのための外部スキャンなど、攻撃対象領域全体を理解し、マッピングすることをアクションプランとして推奨しています。
さまざまな攻撃対象に対して継続的なモニタリング・レポートを作成し、セキュリティ・コントロール、評価、検証を行う必要があります。そして、この継続的な部分が非常に重要だと思います。
2025年の2つ目の予測です。
セキュリティー予測2
- 規制の変化が継続的に懸念される世界で成功するためには、SecOpsは予測可能なものと予測不可能なものの両方に備える必要がある。
行動計画
○ レジリエンスを維持するには、インシデントレスポンスと脆弱性プランの頻繁な更新、リアルタイムのモニタリングへの投資、DORA、CCPA、NIS2、SECのような進化する規制要件へのプロセスの調整が必要となる。
○ ゼロ・トラスト・ロードマップの作成 - リスクアセスメントを実施し、ギャップを特定し、脅威インテリジェンスとともに暴露データと攻撃対象領域のデータを活用し、脅威情報に基づいた防御を実現する。
○ 新たな脅威に対処するため、SecOpsの実践を定期的に評価・更新し、チームが規制や技術の急激な変化に対応できるようにする。
セキュリティ運用チームにとって必要なことは、より機敏に行動することです。セキュリティ運用チームは、危機対応の最前線に常にいます。言うなれば、炭鉱のカナリアのようなものです。
しかし、先の予測で示唆されたような、より広範なものから脱却するためには、継続的なインフラ・プロセスとそれを管理する能力がより必要になるということです。そして、この規制の部分で何が起こるかというと、どのようにチームを立ち上げるか、どのような方法で対応するか、インシデントの対応時間から実際の運用方法、さらには、どのような方法で配備し、どのように管理するかといったことまで、あらゆることを考慮する必要があります。
また、継続的でリアルタイムな広範な可視性がなければセキュリティ運用チームの活動方法の変化に対する反応として私たちが見ている多くのことを満たすことは本当に難しくなります、さらに重要なこととして、おそらく運用やプロセスの一環として、単なるチェックボックス演習ではなく、より機動的な運用が求められるでしょう。
つまり、脆弱性プランの更新をより頻繁に行い、リアルタイム・モニタリングに投資することが必要なのです。悪用の種類や、攻撃者等のインフラが大規模化し、より巧妙になっていることを考えると、その対応もまた、目の前のリスクに見合ったものでなければならない。ですから、それに対する対応も、私たちが目にしているリスクに見合ったものでなければならないでしょう。
最後の予測に入ります。
セキュリティー予測3
- サイバー犯罪者は、ゼロデイ脆弱性を悪用し、潜在的な侵入口を拡大し、従来のセキュリティ対策を回避して、より多くのランサムウェア攻撃を行うようになるだろう
。
行動計画
○ オンプレミスとクラウドの両方の資産の脆弱性と暴露を継続的に監視し、ゼロデイ脅威に対する修復の自動化を目指す。
○ 多要素認証(MFA)を実施し、最小権限アクセス・ポリシーを採用し、クレデンシャルの不正使用を監視して、横の動きを防ぐ。
○ 自動化を利用して脅威の検知と対応を改善し、定期的に卓上演習を実施し、24時間365日の監視のためにマネージド・ディテクション&レスポンス/MSSPと提携する。
2024年を振り返って、ランサムウェアのギャングがどのようにゼロデイ攻撃の背後にいるのかなどについて、もう少し洞察してみます。
ランサムウェアがこれほど増加し、需要が急増し、支払額が急激に増加したのは、コードを開発する個人と、それとは別に企業に侵入してそのコードを展開する個人がいるからです。こうしてサイバー犯罪のエコシステムは事実上、巨大に繁栄しているのです。しかし、権力闘争のようなものは、関連組織との間で繰り広げられていたのではないでしょうか。開発者たちは、優れたアフィリエイトを獲得し、高い報酬を得ることで、より多くの企業が感染することを知っていたのです。
そして、昨年、ランサムウェアグループが新たな侵入経路、つまりゼロデイ脆弱性にアクセスできるようになった。以前は四半期に一度だったのですが、ほぼ毎週ゼロデイ攻撃が発生するようになりました。また、より大きな懸念は、この特定の市場空間に参入するための技術的障壁が低くなっているのだろうか?と言うことでしたが、2025年が非常に不安定なものになる可能性があることが残念ながら明らかになってしましました。
2024年の最初の数カ月で21の新しいランサムウェアグループが誕生しました。これは非常に大きな成長である。
実際に、彼らは犯罪組織であり、これをビジネスのように運営している。攻撃者達は、コスト削減やリターン、投資について話しています。そして私たちは、彼らがさまざまな方法で利用しようとしている製品が市場にあることを知っています。
このような状況が継続することが明らかな現状を理解し、より効率的な検知と対応への改善と事前の準備を見直す必要があると考えます。