インテリジェントセキュリティ: 機械学習を使用して高度な

インテリジェント
セキュリティ:
機械学習を使用して
高度なサイバー攻撃を
検出する
検出時間を短縮してリスク
を下げる革新的なデータ駆
動モデルのサイバーセキュリティ
登場。
1 |
インテリジェントセキュリティ: 機械学習を使用して高度なサイバー攻撃を検出する
攻撃者はセキュリティソフトウェアの追い上げをただ
待っているわけではありません。業界の報告によると、
高度なサイバー攻撃は約 200 日間も検出されない
ことがあります。現在の脅威となる環境で組織が必
要とするのは、出現する最新の脅威に遅れずに付い
ていく、絶えず進化するインテリジェントなセキュリティ
ソリューションです。
お客様の組織では、データポイントのノイズの中からシグナルを読み取ることが
できていますか?革新的なセキュリティモデルでリスクを削減する方法をご紹
介します。
2 |
インテリジェントセキュリティ: 機械学習を使用して高度なサイバー攻撃を検出する
目次
04
05
07
09
11
12
3 |
検出されるまで 200 日?業界レポートが示す暗い展望
10 億ドルを突破: かつてなく厳しいリスクの影響
その手口: 高度な攻撃の作用
一歩先へ: プロアクティブなセキュリティモデルへの移行
検出機能の向上: 明瞭なシグナルの重要性
月単位から分単位へ: アナリティクスを適用して継続的に改善する
インテリジェントセキュリティ: 機械学習を使用して高度なサイバー攻撃を検出する
検出されるまで 200 日?
業界レポートが示す暗い展望
セキュリティ専門家が侵害を検出する時点まで、攻撃者が被害者の環境でしば
らく活発に活動していたことはほぼ確実です。しかし、どれほどの期間でしょうか。
業界では "200 日" という平均的な基準が受け入れられてきました。しかし、この "基準" にもさまざまな理由で問
題があります。
その 1 つに、それが長い期間であることを認めなければなりません。約 6 か月半の間、高度なサイバー攻撃者また
はシンジケートがシステムの内部で活動していることになります。暗く危険なこの期間中、機密データと知的財産
権が無防備にさらされて、漏えいという不可避の事態に近づいていた可能性があります。
この 200 日間に起こることへの不安から、CISO、CSO、さらに CEO もこの統計を指標としてきました。現在、
企業、セキュリティ担当者、技術産業一般は、この数値を下げるためのより高度な新しいセキュリティ手段を
渇望しています。
実際、"200 日" というのは単なるマイルストーン、つまり業界の進歩を測定し、議論するための数値に過ぎ
ません。CISO や CSO にはわかっているとおり、侵害の最も重要な要素は日数ではありません。わたしたちを
ずっと悩ませてきたのは、1 日は長すぎる、侵害を発見したときには既に遅すぎるという事実です。最終的
な目標はその数値をゼロまで縮小することです。
これを実現するために、組織には、脅威を早く検出し、巧妙なサイバー攻撃の形勢を不利にするよりイ
ンテリジェントなアプローチが必要です。このホワイトペーパーの目的は、高度な攻撃によってどのように機
密情報が漏えいするか、およびクラウドの高度な処理能力をデータサイエンスや専門家と連携させる
ことで、組織が攻撃を検出する時間をどのように減らすことができるかの一端を示すことです。
4 |
インテリジェントセキュリティ: 機械学習を使用して高度なサイバー攻撃を検出する
ところで、いくぶん独断的に映
るこの数字はどれほど正確で有
用でしょうか。セキュリティコミュ
ニティ内でもさまざまな推定があ
ります。さまざまな企業が問題を
どのようにとらえているか垣間見て
みましょう。
146 日:
M-Trends レポート (2016),
Mandiant, FireEye 社
229 日:
Lockheed Martin の最新の
Advanced Threat Monitoring ページ
200 日:
Microsoft の Advanced Threat Analytics
ページ
再び上昇傾向?
さらに、Verizon 社の最新の Data Breach
Investigation Report は具体的な数字を挙げ
ていないものの、2014 年に若干改善が見られた
後、実際には損失が増加傾向にあることを示して
います。
10 億ドルを突破:
かつてなく厳しいリスクの影響
200
+
攻撃者が発見されるまでにネット
ワーク内にとどまっている日数の
中央値。
中小企業か大企業かにかかわらず、重要なデータアセットを抱える企業の場合、高度
なエクスプロイトを展開する攻撃者は、侵害による初期コストにとどまらない持続的な
問題です。高度なスキルと潤沢な資金を持ち、絶えず進化するこれら犯罪者の狙い
は、窃盗から、産業スパイや、国家を対象とする本格的な攻撃まで、多岐にわたり
ます。
76
%
まず、経済的な問題があります。現在、高度な攻撃を計画して仕掛ける悪意あ
ネットワーク侵入の全体の
76% を占めているのは資格
情報の漏えいです。
る犯罪者たちは、依然として攻撃によって利益を得ることを目的としています。し
たがって、損害が上昇を続けているのも驚くには当たりません。
2015 年には、高度な攻撃者の一団により、30 か国で 100 以上の銀行がセ
キュリティ侵害を受け、推定 10 億ドル以上の損失を出すという、これまでには
なかった事件が発生しました。リスクが高まっているため、サイバー保険は多く
の企業にとって新たな経費になりつつあり、保険料は 2020 年までに現在の
3 倍の 75 億ドルに達すると推定されています。
5 |
インテリジェントセキュリティ: 機械学習を使用して高度なサイバー攻撃を検出する
サイバー犯罪によりグローバル
経済に及びかねない被害総額:
5000 億ドル
さらに、サイバー攻撃によって、ブランドへのダメージ、顧客の支出の引き締め、成長の停滞、
外交関係への悪影響など、算定がより難しく、より高く付きかねない傷が残る可能性もあり
ます。金銭に直接起因しないものの、これらは組織に長期にわたるネガティブな影響を与
え、顧客ロイヤルティを低下させ、世間からの懐疑心を増大させ、最終的には侵害に対し
て責任を負う必要があるセキュリティ運用要員に影響する可能性があります。
データ侵害による企業への
平均被害額:
350 万ドル
経済的なインセンティブではなく、機密情報の入手を動機とする攻撃もあります。た
とえば、STRONTIUM などです。STRONTIUM は、有名なアクティビティ集団であり、
政府関係者、外交機関、ジャーナリスト、および軍事機関をそのターゲットにしてい
ます。金銭を狙ったり、ターゲットの規模を気にかけたりはしません。彼らが欲しいの
は最も機密性が高いデータです。同様に、2013 年にその存在が突き止められた
Red October 攻撃グループは、少なくとも 5 年間にわたって政府機関や外交機関
中小企業の 5 つに 1 つが、サイバー犯罪によ
る攻撃のターゲットになっています。
に侵入していたと見られています。
スパイ小説のように思われるかもしれませんが、これは現実の問題です。セキュリ
ティ侵害による目に見えないコストは、20 年前であれば SF 小説のプロットのよう
に考えられたことでしょう。非常に多くの問題が関係しているため、企業が予算
を引き上げて、拡大する高度なサイバー攻撃の問題に対応できる新たな解決
策を探し求めているのも驚くことではありません。
サイバー攻撃の影響を受けて
失われる生産性や成長の
推定金額:
-Ponemon Institute
6 |
インテリジェントセキュリティ: 機械学習を使用して高度なサイバー攻撃を検出する
3 兆ドル
その手口: 高度な攻撃の作用
高度な攻撃を受けてネットワークに侵入されてから 200 日の間に何が行われるのでしょう
か。現在、攻撃者は従来の手法と新しい手法を組み合わせて、ユーザーとテクノロジの両
方を攻撃する方法を常に模索しています。システムで攻撃が検出されない時間が長くな
ればなるほど、より巧妙に情報が抜き取られる可能性があり、これは早期検出の重要性
を物語っています。
ほぼ 80% は従来型の詐欺の手口から始まり、スピアーフィッ
攻撃者は、できるだけ検出されない、または自分たちの存在を
シング攻撃によってユーザーに強制的に情報を漏えいさせると
完全に消し去る新しい種類のマルウェアにより、進化を続けて
いう策略です。しかし、セキュリティプロバイダー McAfee が最
います。攻撃ベクトルも変わりつつあります。攻撃者は、本社
近注目しているように、内部処理を変更して、ネットワークを介
の PC およびサーバーをターゲットとすることに満足せず、サテラ
して流れるデータを再ルーティングできる新たな整合性攻撃な
イトオフィス、作業者のホームコンピューター、携帯電話、ウェ
ど、より洗練された攻撃が増加しています。(これは、あの 10 億
ドルの銀行強盗で使用されたテクニックです。)
7 |
インテリジェントセキュリティ: 機械学習を使用して高度なサイバー攻撃を検出する
アラブルデバイス、自動車の内部ソフトウェアへの侵入を試み
ています。
Cyber Kill Chain®
についての理解
セキュリティ侵害には一般的に、セキュリティインテリジェンスコミュニティで Cyber Kill Chain®
(Lockheed Martin によって登録商標された用語) として知られる 6 つの明確な局面が関係しています。
これらの局面は、連続して、並列で、またはまったく異なる順序で発生する場合があり、それぞれの局面
をとおして攻撃者に打ち勝つためのインテリジェンスを得ることもできます。
偵察
攻撃
攻撃者は自分のターゲットについて調べます。これには、技
術的な手順または単に企業の Web サイトをブラウズするな
どのことが関係しています。これは多くの場合、検出されるこ
とはありませんが、一見すると問題のない振る舞いを関連付
けることで攻撃の事前警告が得られる可能性もあります。
コードがシステムに危害を加えます。配送されたコードが攻撃
者の指示に従ってすぐに動き出す場合があります。また、初
期パッケージが他のコードのダウンロードを開始するときに自ら
をネットワークアラートにさらすなど、複数の局面を介して攻
撃が行われる場合もあります。
武装化
遠隔操作 (C2)
攻撃者は悪意のあるペイロードを隠すためのシェルを作成し
ます。攻撃者が所有する特定の武装化された媒体を必
ずしも検出できるとは限りませんが、一度見つけてリバース
エンジニアリングすることによって、今後同様の攻撃があった
ときにその足跡をはっきりと見極めることができます。
攻撃者とコードの両方が共に働き、システムに悪影響を及ぼ
します。貴重な資格情報を入手するように設計された侵入
拡大などの形を取る場合や、直接ネットワークを調べてター
ゲットとするデータアセットを見つける場合もあります。
配送
攻撃者は悪意のあるコードを使用してシステムを感染させ
たり、ユーザーを欺いてそのコードをダウンロードさせたりしま
す。これは、攻撃者が侵入して自分の仕事を開始する重
要な局面です。
8 | |インテリジェント
インテリジェントセキュリティ:
セキュリティ:機械学習を使用して高度なサイバー攻撃を検出する
機械学習を使用して高度なサイバー攻撃を検出する
目的実行
機密データが奪われます。この時点で、攻撃は成功したこと
になります。顧客の財務情報、極秘文書、または次世代製
品のブループリントであれ、それは攻撃者の手に渡ってしまい
ました。
ソース: Lockheed Martin
一歩先へ:
プロアクティブなセキュリティ
モデルへの移行
高度な攻撃が備えるステルス特性ゆえに、企業は、
攻撃者の存在に気付き、その動きを止める能力を
向上させることにフォーカスした、より予防的な
セキュリティモデルにシフトする必要があります。
企業セキュリティの従来モデルではまずネットワーク境界を保護していたの
に対し、現在の専門家は堅固なセキュリティ分析によって検出を有効
にするより予防的な方法を提案しています。このモデルでは、他のあら
ゆるものがそこから流れていくことになります。これは、常に改善を続け
るサイクルです。侵入後の検出と対応から得られる新しいインテリジェ
ンスによって、侵入前の防御が常に改善されていくからです。
検出
分析ベースの検出に焦点を当てることによ
り、企業は高度な攻撃とその進化する戦術
に対してより優れた防御策を講じることができ
ます。
対応
対応の局面は、脆弱性に対して単に修正プログ
ラムを適用するだけでなく、新しいインテリジェンスの
貴重なソースとなります。
保護
検出および対応の局面で得られたデータが、侵入前
の防御テクノロジを継続的に改善するために適用され
ます。
9 |
インテリジェントセキュリティ: 機械学習を使用して高度なサイバー攻撃を検出する
過去数年間、CISO や CSO はこのシフトを実現するため、次の攻撃をすばやく検出して全体的な防御
を改善することを目標に、データと分析を使用するセキュリティインテリジェンス手段を実装することに努め
てきました。これには、以下の手順が含まれます。
• 高度なセキュリティソフトウェアおよびセキュアなハード
ウェアに投資する。
• セキュリティに関する規則やリスクについて従業員をト
レーニングする。
• (しばしば複数の) 脅威インテリジェンスフィードにサ
ブスクライブする。
• 脅威データを関連付けるプロセスを開発し、およびそ
れを分析するデータ科学者を採用する。
• セキュリティインテリジェンスイベント管理 (SIEM)
ソリューションを展開する。
これまで、これらのツールおよびプロセスは、高度な攻撃に対する業界全体の反応を反映してきました。さらに、技術産業の初期段階の多くの努力と同
じように、これらの効果はまちまちでした。
効果がまったくなかったというわけではありません。Mandiant の
2016 M-Trends レポートは、企業が独自のシステムを使用して検出に成
功した場合、高度な攻撃の内在時間が大幅に軽減することを示していま
す。しかし、費用、面倒な統合、さらに脅威データを関連付けて、それをシ
ステムにフィードするという非効率的な手動プロセスなどの問題もあります。
すべてを SIEM で処理するようになると、また別の大きな問題が発生しま
こうしたすべての努力が 200 日という期間を短縮して準リアルタイムにする
ことを目標にしている場合、ノイズを取り除くことは大きな障害となり、検出
を (コスト面で) 遅らせる要因の 1 つになります。
高度な攻撃に遅れないようにするため、組織はその SIEM と関連プロセス
に投資し続ける必要があります。現在必要とされるスケールで次世代型の
保護、検出、改善を提供し (プラットフォームセンサーをとおして統合され
す。つまり、ノイズです。簡単に言うと、アラートやデータが多すぎるということ
たアラートメカニズムを含む)、本物のセキュリティインテリジェンスによって
です。最先端の企業にとってもそれらすべてを把握するのは困難です。
保護を改善して絶えず進化できるのは、クラウドだけです。
10 |
インテリジェントセキュリティ: 機械学習を使用して高度なサイバー攻撃を検出する
検出機能の向上:
明瞭なシグナルの重要性
大企業はより短い時間で攻撃を検出するために、矛盾するジレンマに取り組んでいます。つまり、処理するセキュリ
ティ関連のデータが多すぎる一方で、ノイズからシグナルを選別して事象をすばやく理解するための情報は不十分、
ということです。
ここでの課題は、単にボリュームが膨大であるというだけでなく、それらを選別する必要があるということです。多くの攻
撃の兆候は、それ自体は無害に見えるか、業界、距離、時間フレームごとに分けられます。データセット全体に対す
る明確な洞察がないなら、早期に検出できるかどうかは運しだいになります。最も大きな企業であっても次のような
限界に直面しています。
• 本当の脅威インテリジェンスには、大半の組織が独自で入手できるデータよりもさらに多くの
データが必要です。
• 大量のデータプールの中からパターンを見つけて、よりスマートに処理するには、巨大な処理
能力に加えて機械学習のような高度な技術が必要です。
• 最終的に、新しいインテリジェンスを適用してセキュリティ対策およびテクノロジを継続的に改
善していくには、データが示す内容を理解し、アクションを実行できる専門家が必要です。
これこそ、Microsoft が流れを変えるために力を入れている分野です。プラットフォームおよびサービス企業として、
Microsoft の脅威データおよびアクティビティデータは、テクノロジチェーン、あらゆるバーティカル業界、世界中のすべ
てのポイントから寄せられたものです。
Microsoft のセキュリティ製品とクラウドテクノロジは、問題が発生したときに、連携して悪意のある脅威データを報
告するように設計されています。これは "フライトデータレコーダー" として機能し、攻撃の診断、高度な脅威技術
のリバースエンジニアリング、プラットフォーム全体でのインテリジェンスの適用を可能にします。
11 |
インテリジェントセキュリティ: 機械学習を使用して高度なサイバー攻撃を検出する
Microsoft の脅威インテリジェン
スの範囲は文字どおり数十億
のデータポイントに及びます。
35 億
毎月スキャンされるメッセージ
600,000
追跡される既知のスパム
メールアドレス
2.5 億
世界中の Windows Defender
ユーザー
6億
毎月のコンピューターレポート
85 億以上
月ごとの Bing Web ページ
スキャン
10 億
企業セグメントおよび消費者
セグメント全体の顧客
200+
クラウドサービス
ソース: Microsoft Security Intelligence Report
(SIR)
月単位から分単位へ:
アナリティクスを適用して継続
的に改善する
約 20 年にわたり、Microsoft は脅威を有用なインテリジェンスに変えて、
自社のプラットフォームを強化したり、お客様を保護したりするために活用
インテリジェントセキュリティ
このインテリジェントセキュリティグラフを介して、Microsoft は、脅威イン
テリジェンスを共有し、分析を適用し、その製品およびサービスポート
フォリオ間での検出を向上させるために、業界で最も包括的かつ俊敏なメ
カニズムを作成しています。200 日かけるのではなく、今すぐ実行できます。
Azure
Active Directory
Microsoft
アカウント
してきました。Blaster、Code Red、Slammer などの初期のワーム攻撃
Advanced Threat
Analytics (ATA)
Windows
Defender
マルウェア対策
Microsoft Cloud
Application Security
(MCAS)
から生まれたセキュリティ開発ライフサイクルから、プラットフォームやサービ
スに取り入れられている現代のセキュリティサービスにいたるまで、弊社
は、進化し続ける脅威を検出してそれから保護し、対応するためのプ
ロセス、テクノロジ、専門家を継続的に構築してきました。
現在、弊社は、クラウドによってもたらされる膨大なコンピューティング
Operations
Management
Suite (CMS)
Azure Security
Center (ASC)
Windows Defender
Advanced Threat
Protection (ATP)
Office 365
Advanced Security
Management (ASM)
Exchange Online
Protection (EOP)
の利点を活用し、脅威インテリジェンスを原動力とした優れた分析
エンジンを使用して顧客を保護する新たな方法を探しています。
自動プロセス、手動プロセス、機械学習、専門家を組み合わせ
れば、自分自身で学習してリアルタイムで進化するインテリジェン
トセキュリティグラフを作成し、新しいインシデントを検出して、
インターフロー API & 脅威属性サービス
(Interface info Threat Intel ビッグデータプラットフォームおよび属性レポート)
各製品で対応するための合計時間を削減できます。
分析
(機械学習、デトネーションサービス、行動トラッキング、ヒューリスティック)
データ収集 & 正規化
(製品からのデータフィード)
プライバシー / コンプライアンス境界
Microsoft
System Center
Microsoft
Security
Essentials
12 |
インテリジェントセキュリティ: 機械学習を使用して高度なサイバー攻撃を検出する
Microsoft Azure
悪意のあるソフ
トウェア
の削除ツール
人間
Microsoft でセキュリティインテリジェンスの詳細をご覧ください
脅威の状況そのものが進化しているのと同様に、Microsoft のセキュリティインテリジェンスに
対するアプローチは引き続き進化しています。顧客は、いくつかのリソースを使用してさらに学
習し、新しい進展について知ることができます。
Microsoft Secure ブログ
Microsoft のエキスパートたちが、進化して
いく脅威の状況の中で、Microsoft と業界
全体がどのようにして常に優勢を保てるかに
ついて考えを述べています。
Azure Active Directory
Identity Protection
Microsoft Security
Intelligence Report
最新のセキュリティインテリジェンスに合わ
1 年に 2 回、Microsoft はセキュリティトレ
せて継続的に更新される製品の 1 つに
Azure AD Identity Protection があります。
ポートを発行しています。セキュリティ活動
パブリックプレビューにアクセスし、データを
の優先順位を定めて、それに重点的に取り
活用してセキュリティプロトコルを最新の状
組むための助けとして、SIR を使用すること
態に保つ方法についてご覧になるようお勧
をお勧めします。
めします。
13 |
ンドおよび基礎データに関する詳細なレ
インテリジェントセキュリティ: 機械学習を使用して高度なサイバー攻撃を検出する
©2016 Microsoft Corporation.All rights reserved.このドキュメントは現状有姿で提供され、このドキュメント
に記載されている情報および見解 (URL およびインターネット Web サイトの参照を含む) は、将来予告なしに
変更されることがあります。その使用責任はお客様自身にあります。このドキュメントは、あらゆるマイクロソフト
製品に対するなんらかの知的財産権をお客様に付与するものではありません。このドキュメントは、内部的な参
照目的にのみコピーおよび使用することができます。
14 |
インテリジェントセキュリティ: 機械学習を使用して高度なサイバー攻撃を検出する

Download Report