先週、Vectra AIではセキュリティに関するパネルディスカッションを開催し、Microsoft社のSarah Armstrong-Smith氏とRed Goat Cyber Security社のLisa Forte氏とともに、パンデミックがデジタルトランスフォーメーションにどのような影響を与えているかを議論し、組織がどのように適応できるかお互いに情報を共有しました。
今回のディスカッションは、世界のITセキュリティ責任者1,112人を対象にした最近の調査結果(英語)の発表を受けて行われました。この調査では、自社のMicrosoft Office 365環境が直面している最大の脅威と、それに対する防御能力についての見解をヒアリングしました。 クラウドへの移行やリモートワークの導入により、サイバー攻撃の脅威は高まっており、セキュリティ担当者の5人に4人が、過去12ヵ月間でサイバーセキュリティのリスクが高まったと回答しています。
パネルディスカッションの中で、Armstrong-Smith氏は次のように述べています。「昨年は、多くの企業がリモートワークに関して大きな課題を抱えていました。それは、大規模なリモートワークができるような環境が整っていなかったからです。」パンデミックから1年が経過した現在、組織の取り組みは危機管理対応からより戦略的な対応へとシフトしています。
さらにForte氏と私は、職場へ出勤するという従来の働き方へ戻る方法、コンプライアンス基準の遵守、新たな脅威への対応などの議題について話をしました。 このディスカッションの全容をご覧になりたい方は、オンデマンド録画(英語)をご覧ください。
今回は、このディスカッションで取り上げられなかった、情報を掘り下げたいと思います。
クラウドの導入と、それによってもたらされる効率性と俊敏性は、数年前から企業の経営会議の議題に上がっていました。クラウド機能は、戦略として優位に立つためのツールからビジネス上必須な存在へと変化しています。
Vectra AIの調査によると、決定権を持つITセキュリティ責任者の97%が、パンデミックの影響としてMicrosoft Office 365の使用を拡大していると返答しました。ビジネスコラボレーションのためのSaaS(Software-as-a-Service)プラットフォームの1つであるMicrosoft Office 365の利用が拡大したことは、当然のことかもしれません。Microsoft社は、2020年3月の時点で、2億5,800万人のアクティブユーザーを有し、その数は前年比で7,000万人以上の増加となっています。
Microsoft Office 365は、ほぼすべてのデータの保存と共有を可能にし、他のさまざまなSaaSアプリケーションへのアクセスを仲介するIDプロバイダーとして、企業のビジネスオペレーションの基盤を形成しています。 このような集中管理は、従業員にとって大きなメリットがありますが、実はサイバー犯罪者にとってもメリットとなってしまいます。それはなぜでしょうか?Microsoft Office 365をはじめとするクラウド環境は、境界線で守られた従来のアプリケーションよりもはるかにアクセスしやすいのです。
Microsoft Office 365やAzure ADの導入が急速に進んだことで、多くの企業は、攻撃対象領域の拡大や、リモートワークで孤立した従業員を効果的に監視、保護する体制が整っていないことを認識する結果となっています。調査の回答者の48%が、Microsoft Office 365のセキュリティ確保を最優先事項としています。また、次の懸念事項がそれぞれ45%で同率となっています。1)権限のないユーザによるアカウントの乗っ取りにつながる認証情報の不正使用のリスク、2)Power Automateやe-Discoveryなどの正規のMicrosoftツールを使ってハッカーが足がかりを隠す能力。全体では、Microsoft Office 365 ユーザーの 71%が、過去 1 年以内に平均 7 件のアカウント乗っ取りに遭っている結果となっています。
Microsoft Office 365 のアカウントを悪用すると、短期間で大規模な被害を与えることができてしまいます。400万以上のアカウントを調査した「2020年Office 365スポットライトレポート」では、96%の組織で何らかのラテラルムーブメントの兆候が見られました。ラテラルムーブメントが多いということは、攻撃者が情報に素早くアクセスし、境界線のセキュリティを回避して偵察を開始していることを意味します。ラテラルムーブメントのほとんどは、通常のユーザーによる活動である可能性があります。そこで、本当に必要なのは、悪意のあるラテラルムーブメントをピンポイントで特定することです。セキュリティ・オペレーション・センター(SOC)が攻撃者の振る舞いを見極めるためにノイズを探し出すことはリソースが必要で、特にAIの助けがない場合はより多くのリソースが必要となります。
こうした状況にもかかわらず、回答者の76%は、ラテラルムーブメントを検知する能力に自信を持っており、79%は、予防的なセキュリティ防御を回避する攻撃に対して十分な可視性を確保できていると考えています。侵入された場合、少数の回答者は、侵害されたアカウントの修復に数週間を要すると報告しています。一方で、64%が数時間または数日以内にアカウントの乗っ取りを阻止できると回答し、約30%がアカウントの乗っ取りを直ちに特定して阻止できると回答しています。脅威への対応において、数時間、数日、数週間の違いは非常に大きいものです。だからこそ、侵害が発見されたら、直ちにそれを食い止めるための迅速な対応が不可欠なのです。
攻撃の平均滞留時間が43日と推定されていることを考えると、脅威に対処するためには数週間もの時間を確保できない可能性があります。滞留時間が長い攻撃は、組織にとって大きな脅威であり、中でも Microsoft Office 365 のアカウントが侵害された場合には注意が必要です。このことは、攻撃者と防御者の能力の差が拡大していると考える回答者が、特に経営幹部の間で58%に上っていることが物語っているのかもしれません。
本レポートのその他の主な調査結果は以下の通りです。
最終的には、対応能力へのセキュリティ投資が行われない限り、能力の格差は拡大していきます。4社のうち3社が悪意のあるアカウント乗っ取り攻撃を経験しているという事実は、オンプレミスからクラウドに移行した後のIDの追跡と保護の必要性を浮き彫りにしています。
Microsoft Office 365は、今後もビジネスを維持する上で重要な役割を果たすため、企業はクラウド環境のセキュリティを確保する必要があります。これは、昨年、業務を迅速にクラウドに適応させなければならなかった組織にとっては、特に差し迫った課題です。今までの境界ベースの防御を、クラウドの実体のない境界に適応させることに苦労するかもしれません。アカウントの乗っ取りを含む、攻撃者の足場作りがなされないように計画を立てることが最優先事項です。
Vectra AIでは、AI駆動のネットワーク検知と対応(NDR)ソリューションであるCognito Detect for Office 365を用いて、Microsoft Office 365およびAzure ADのワークロードを保護できます。Cognitoは、Microsoft Office 365環境だけでなく、Azure ADを使用して連携したSaaSアプリケーションで動作する攻撃者を特定し、阻止することができます。Vectra AIは、攻撃者がサイロで活動しないことを理解しており、エンタープライズ、ハイブリッド、データセンター、IaaS、SaaSにわたる攻撃者の振る舞いの兆候を、単一のコントロールポイントからすべて追跡することを可能にします。
Microsoft Office 365におけるIDの攻撃に対する防御方法の詳細については、調査結果のEブック(英語)で「10のステップ」を紹介しています。
また、今後紹介予定のブログでは、IDベースの攻撃を防ぐ方法や修正する方法について詳しくご紹介しています。Office 365向けのソリューションを体験されたい方は、今すぐ無料トライアルをお試しください。
Attack Signal Intelligence を活用して、既知および未知の脅威をリアルタイムで検知、追跡、調査することで、セキュリティチームは可能な限り早い段階で攻撃を特定し、侵害となる前に阻止できるようになります。
© 2023 Vectra AI, Inc. All rights reserved.
