2023 年 9 月 5 日 Iratxe Vazquez 著

セキュリティオペレーションチームは、どのような組織においても、サイバー犯罪との戦いにおいて最後の砦となります。そのため、可能な限り最先端のテクノロジが必要です。しかし、サイバー犯罪者との戦いは、単にテクノロジの問題にとどまりません。サイバー攻撃の可能性に対し、プロアクティブな姿勢を持つということも重要な要素です。そこで、すべてのセキュリティオペレーションチームにとって不可欠な 2 つのコンセプトが以下です。それは、 IoC（セキュリティ侵害の痕跡）と、IoA（攻撃の兆候）です。

両者の違いは何か。両者は、排他的な関係なのか、補完的な関係なのか。どのようなタイミングで利用できるのか。どちらの方がより決定に影響を与えるのか。そのような疑問に答えます。

IoC（セキュリティ侵害の痕跡）

IoC は、侵害がすでに発生した後に、脅威要因がコンピュータ上に存在するか否かを特定するための指標です。つまり、組織内で発生したばかりのセキュリティ問題を診断するために使用されます。これは、セキュリティ侵害が発生した、あるいは、発生しようとしていたことを示す証拠となります。

この点で、IoC は、フィッシングメール、マルウェアファイル、サイバー犯罪に関連する IP アドレス、レジストリ内の危険なエントリなど、以前に悪意のあるものとして分類されたことのあるファイルやアーティファクトを識別するために使用されます。したがって IoC は、企業が侵害後、または侵害中の被害を分析し、その影響を緩和して脅威を排除する際に有用です。

IoC は、何が起こったのかを正確に診断し、問題がどこにあるのか正確に知る必要がある企業にとっても有用です。悪用された脆弱性をインシデント後に修正することで、今後、同様の攻撃を防ぐことができます。

IoA（攻撃の兆候）

IoA の調査の場合は、考え方が異なります。IoA は、最大限のプロアクティブなエフォートを意味します。IoC の調査が侵害の存在する証拠を探すという受動的なリアクションであるのに対し、IoA は、不審なアクティビティを調査することによって侵害を予期することが目標です。言い換えれば、IoA は攻撃が起こってから介入するのではなく、攻撃が起こっている最中、あるいは実際のインシデントに発展する前に介入します。

IoA は、IoC が残したギャップをカバーします。IoA は、攻撃者がセキュリティシステムを回避するために使用する手法を問わず、あらゆる攻撃の試みに対し、アラートを発します。つまり IoA は、「環境寄生型」手法のような、マルウェアを必要としない攻撃ステップも検出します。

これらの指標は、AI/ML（人工知能/機械学習）でサポートされた最先端のサイバーセキュリティソリューションを活用する脅威ハンティングチームによる作業により生成されています。脅威ハンティングチームは、システムプロセスのアクティビティを詳細に調査・分析し、異常な挙動や、組織のセキュリティにとってリスクとなり得る挙動を探しだします。IoA が検出された場合、組織は脆弱性が悪用され、被害が決定的なものになる前に対処することができます。

プロアクティブな対処の重要性

では、IoC と IoA のどちらが組織を守るのに効果的でしょうか。結論としては、どちらの手法も必要であり、お互いを補い合うものです。しかし 1 つはっきりしていることは、セキュリティインシデントを回避する際には、IoA のプロアクティブなアプローチを利用することで、常に一歩有利な状況が手に入るということです。対して IoC の調査は、侵害後または侵害中の被害を分析し、その影響を緩和して脅威を排除することによって対応するための優れたツールです。

IoC は被害が実際に起きてから調査で使用されるのに対し、IoA は事前調査の一部であり、サイバーレジリエンスの立場から引き出されるものです。問題は、ほとんどのサイバーセキュリティソリューションが、サイバー攻撃を分析、検出、緩和する際に IoC にのみ注目しているという事実です。その結果、サイバー犯罪に対する対策は、被害が発生した後でなければ効果を発揮しないという状況が発生しています。さらに、ファイルレスマルウェアのような一部のサイバー攻撃は、IoC だけでは検出できません。そのため、企業のサイバーセキュリティを強固に守るためには、IoA がもたらすプロファイリングと定義プロセスが不可欠となります。

MDR（管理化された検知と対応）プロバイダが提供するサービスは、高度な脅威から企業を保護するために、効果的なテクノロジ、サイバーセキュリティの専門家、十分に規定され訓練されたプロセスに基づいて提供されているため、非常にプロアクティブです。MDR のサイバーセキュリティアナリストは、すべての行動をリアルタイムで分析してプロファイリングする高度なセキュリティソリューションを利用して IoA を調査し、サイバー脅威アクティビティの手掛かりとなる異常な挙動の原因を探ります。また、IoC 調査によって、使用されているアーティファクト、活用されている脆弱性、影響を受けるアセットを特定することで、調査およびレスポンスのフェーズを支援しています。

結論

結論は明確です。IoC は、侵害（インシデントの背後にある脅威とその影響）を発見し、危険を排除し、インシデントを阻止し、その影響を緩和するために有用、かつ不可欠なものです。しかし、プロアクティブな保護に関心のある組織であれば、IoA 検知に基づいた調査戦略の策定に重点を置き、異常なアクティビティを検知し、そのアクティビティを迅速に調査し、脅威が実際のインシデントになる前にできるだけ早く対応する必要があります。

自動化と IoA および IoC 検索エンジンによって、セキュリティチームが高度な脅威をプロアクティブに防止、検出、対応できる、ウォッチガードのエンドポイントセキュリティ製品をぜひご覧ください。