本文の内容は、2024年11月21日に MIKE WATSON が投稿したブログ(https://sysdig.com/blog/why-you-need-to-augment-prevention-only-with-cloud-detection-and-response/)を元に日本語に翻訳・再構成した内容となっております。
クラウドセキュリティの初期の頃は、エンドポイントの初期の頃と同様に、予防に重点が置かれていました。これは理にかなっています。予防策はリスクを軽減するための重要な方法です。既知の脅威と攻撃パスをブロックすることは、組織のクラウド資産を強化する方法として理にかなっています。
多くの組織にとって、クラウドでの予防のみの戦略は、リスクを軽減するのに十分であるように思われるかもしれません。そして、ある程度はそうなのです。しかし、予防のみでは限界があります。急速に進化するクラウドの脅威に対抗するために、クラウドセキュリティの成熟における次のステップは、堅牢で効果的な検知および対応ソリューションの実装が必要となります。
予防のみの戦略における効果の逓減
予防的制御は不可欠ですが、現実的にはすべての潜在的な脆弱性に対処することはできません。動的なクラウド環境では、資産とワークロードは急速に増加および減少し、多くの場合、数分間しか存在しません。マルチクラウドおよびハイブリッド環境では複雑さがさらに増し、異なるプラットフォーム間で固有のセキュリティ要件が発生します。
クラウドの脅威アクターにとって、常に変化し、多くの場合、抜け穴だらけの攻撃対象領域は、チャンスに満ちています。脅威アクターは、自動化を活用して、構成ミス、過剰な権限、侵害された認証情報を、多くの場合、ほんの数秒で悪用します。歴史が示すように、強力な予防策を講じても、高度な攻撃者は防御を回避する方法を見つけ出すことができます。多くのセキュリティリーダーが、侵害を前提に行動し始めているのはこのためです。予防はセキュリティの重要な部分ですが、高度なクラウドの脅威から保護するには、それだけでは十分ではありません。リスクを真に軽減するには、セキュリティ チームが脅威の発生時にそれを認識、理解、無効化できる検知および対応機能が必要です。
セキュリティ侵害の前提を理解する
クラウドセキュリティに関しては、攻撃が「起こるかどうか」から「いつ起こるか」への考え方が変わってきています。このポスチャーの変化の一環として、セキュリティリーダーはますます「シールドライト」アプローチを採用しています。つまり、脅威が最善の予防策さえも回避する、あるいは回避したと予測するのです。
Sysdig 脅威リサーチ責任者の Michael Clark は次のように説明しています。
CISO とセキュリティアナリストは、常にセキュリティ侵害を前提として行動する必要があります。攻撃の頻度と巧妙さが加速しているため、防御のみのアプローチでは、高度な防御回避技術を持つ成熟した脅威アクターに対しては特に不十分です。
より高速で、より高度で、ますますコストがかかるクラウド攻撃に対抗するため、回復力のある組織は、包括的な検知および対応機能を実装して、ビジネスの継続性を確保しています。
正しい方向に進まないことのコスト: 予防のみの戦略におけるリスク
検知および対応機能を実装しないと、運用、財務、規制上のリスクが高まります。予防のみのアプローチによる次の潜在的な影響を考慮してください。
- データの損失と流出:攻撃者は貴重な IP、顧客データ、機密情報を盗み、規制上の罰則、顧客離れ、評判の低下を引き起こす可能性があります。
- 運用の中断:攻撃者がクリプトマイナーを展開するとパフォーマンスが低下し、ランサムウェアは運用を完全に停止させる可能性があります。ダウンタイムが長引くと、特に顧客向けアプリケーションでは、大きな収益損失につながる可能性があります。
- 回復コストの増加: 脅威が検知されずに放置される時間が長くなるほど、対処にかかるコストは増大します。Sysdigの「Unlocking Business Value with Enhanced Investigations(強化された調査によるビジネス価値の解放)」レポートによれば、「555ベンチマーク」を達成することで、侵害リスクを41%削減でき、対応および修復コストを最大180万ドル節約できる可能性があります。
- 規制上の罰則:違反を迅速に検知、対応、報告しないと、特に違反の迅速な開示を義務付ける GDPR または CCPA 規制の下では、多額の罰金が科せられる可能性があります。
リアルタイム検知が重要な理由
検知と対応は、脅威を見つけるだけではありません。脅威を適時に見つけて阻止することも重要です。すべてのクラウドワークロードとアプリケーションをリアルタイムで可視化することで、セキュリティチームは権限の昇格、横方向の移動、異常なデータ転送などの異常な動作に関する重要な洞察を得ることができます。このレベルの可視性により、プロアクティブな脅威ハンティングと迅速な介入が可能になり、チームは攻撃者より一歩先を行くことができます。
Sysdig のリアルタイム検知により、組織は脅威をより迅速に特定でき、強化された調査により、チームは重要なクラウド コンテキストを取得して、わずか 5 分で攻撃者、攻撃内容、攻撃場所、攻撃方法を把握できます。この俊敏性は、攻撃者を阻止できるか、次の見出しになるかの違いを生む可能性があります。
クラウド検知と対応のための効果的なフレームワークの構築: 555 ベンチマーク
Sysdig脅威リサーチチームは、クラウドの脅威が前例のないスピードで拡大し、10 分以内にエクスプロイトから流出に至る可能性があることを明らかにしました。この調査により、Sysdig はクラウド検知と対応のための最初で唯一のフレームワークである 555 ベンチマークを作成しました。このベンチマークを満たすには、セキュリティチームは次のことを行う必要があります。
- 5 秒以内に脅威を検知し、環境全体の異常を迅速に特定します。
- 5 分以内に脅威を相関させて分析し、その範囲と影響を把握します。
- 脅威が広がる前に5 分以内に対応を開始し、脅威を封じ込めて無力化します。
このベンチマークを満たすよう努めることで、組織はクラウド侵害の可能性と影響を大幅に低減し、攻撃者の滞在時間を制限し、運用の中断を最小限に抑えることができます。
まとめ: 予防を超えて包括的なクラウドセキュリティ戦略へ
予防ツールは、あらゆるセキュリティ チームの戦略に不可欠な要素です。しかし、今日のクラウド主導の世界では、予防だけではリスクの全範囲に対応できません。クラウド環境の複雑さとペースには、動的なワークロードを保護し、機密データを保護するための包括的な検出および対応機能を含む階層化されたセキュリティアプローチが必要です。攻撃者がますます巧妙になるにつれて、組織は足並みを揃えて進化する必要があります。
リアルタイム検知と高度な調査および対応機能を導入することで、セキュリティリーダーはクラウド環境をより適切に保護し、脅威の影響を軽減し、クラウドベースの攻撃の次の波に対する回復力を維持できます。CISO とセキュリティ リーダーは、予防を超えて、今日の現実に対応し、将来の脅威を予測するプロアクティブな階層型セキュリティ戦略を採用する時が来ています。