デジタルリスク保護(DRP)とは、デジタル資産をさまざまなリスクから保護するための一連の慣行およびテクノロジーを指します。しかし、セキュリティ対策の大半は、デジタル資産をリスクから保護する取り組みに含まれるのではないでしょうか。 その通りではありますが、DRPは新たな種類の脅威や攻撃を対象とし、サイバー脅威インテリジェンス(CTI)や関連プロセスなしでは発見が困難な外部脅威の監視および特定に重点を置いています。
また、企業の境界を越えて、脅威が内部ネットワークに到達する前に予測します。その点で、DRPは、脅威ハンティング、脅威監視、データ脅威分析、データ監視、ユーザーインテリジェンスといったデータセキュリティ態勢の技術とは対照的です。これらの技術はいずれも、データの脅迫や流出から保護するために設計された、プロアクティブな内部プログラムを支援します。
この記事では、DRPの概要、重要性、仕組みについて解説します。ダークウェブで流通する盗難認証情報や、スピアフィッシング攻撃に起因するデータ侵害などの外部リスクに注目します。DRPには、高度な検出アルゴリズムなしでは発見が困難な外部侵害の痕跡(IOC)を特定し、追跡することも含まれます。
DRPソリューションの重要性
DRPソリューションは、デジタル資産全体および多数の外部データソースを監視することで、リスクの発見という課題に対処します。攻撃対象領域全体にわたるデジタル資産のマップを作成します。監視対象は、公開されている「クリアウェブ」、通常はアクセスが困難な「ディープウェブ」、そして不可視かつ暗号化された「ダークウェブ」に及びます。DRPソリューションはリスクを発見すると、リスク軽減のためのプロセスを実行します。これは、セキュリティオーケストレーション・オートメーション・レスポンス(SOAR)をはじめとする既存のセキュリティシステムと連携して行われる場合があります。
なぜ、デジタルリスク保護サービスやデジタルリスク保護ソフトウェアが必要なのでしょうか。その答えは、近年、脅威環境が著しく深刻化・巧妙化しているためです。これと並行して、デジタルトランスフォーメーションの進展により、新たな脆弱性も生み出されています。たとえば、コアシステムのクラウド移行を進めるとともに、ハイブリッドワークやアウトソーシングを推進している企業は、これまでにないリスクにさらされる可能性があります。例えば、攻撃者がマルウェアを用いて新たなベンダーを侵害し、その従業員になりすましてクラウド資産を攻撃するといったケースが考えられます。
あるいは、攻撃者がダークウェブで盗まれたログイン認証情報を購入し、それを用いて標的企業の電子メールアカウントにアクセスする可能性があります。アクセスを通じて、スピアフィッシング攻撃を仕掛けます。標的企業の従業員に関する情報を悪用し、攻撃者は最高財務責任者(CFO)になりすますことが可能です。在宅勤務中のCFOを装い、部下に対して緊急の電信送金を要求することも可能です。これは香港の金融会社で実際に起こったことで、ディープフェイク技術と組み合わせてこの手口が使われ、2024年初頭に2,500万ドルがだまし取られました。DRPの成功の鍵となるCTIにより、脅威をプロアクティブに特定し、対処することが可能になります。例に挙げている事例の場合、CTIでは、ダークウェブ上で盗まれた認証情報がないか確認する、また、攻撃者がCFOになりすます前にフィッシングを検知し、不審なアクティビティにフラグを付けるといった対応が可能です。
デジタルリスク保護のコアコンポーネント
DRPのコアコンポーネントは、ダークウェブの監視から攻撃対象領域の把握に至るまで、多岐にわたります。各コンポーネントはいくつかの基本原則に基づいていますが、その中でも自動化が最も重要であると言えるでしょう。自動化プロセスはDRPの本質です。DRPのすべての要素は、自動化された監視、データ取り込み、分析、および対応を継続的に実行するサイクルによって支えられています。もちろん人の関与も必要ですが、広範な自動化があって初めて、DRPは効果的に機能します。
デジタルリスクの軽減に向けた取り組み
デジタルトランスフォーメーションの進展に伴い攻撃対象領域が拡大する中で、組織は従来の防御範囲の外で活動する脅威アクターによる新たなリスクに直面しています。デジタルリスク保護(DRP)は、フィッシングキャンペーンやブランドのなりすまし、データ漏洩といった外部脅威を、内部システムに到達する前に検出・軽減するうえで、セキュリティチームを支援します。
企業がデジタルリスクを効果的に軽減するためには、以下の取り組みが必要です。
SaaS、モバイル、およびサードパーティの資産にわたる攻撃対象領域全体のマッピングおよび監視
ウェブ監視を活用した、なりすましドメインおよびブランドのなりすましの検出
ディープウェブとダークウェブのスキャンを通じた、漏洩した認証情報、盗まれた顧客データ、脅威に関する情報交換の検出
脅威インテリジェンスを統合した、脅威アクティビティの早期警告
企業向けDRPソリューション
企業向けのDRPソリューションは機能の点で違いはありますが、全体的な目的は同じです。独立して機能する場合でも、データ保護、SaaSデータセキュリティ、AWSセキュリティ、Azure保護などのソリューションと統合された全体の一部として機能する場合でも、その目的は、侵入検知システム(IDS)やエンドポイント検知および対応(EDR)などの標準的なセキュリティツールの範囲や可視性を超えて存在する脅威を発見することです。
たとえば、Rubrik Cloud Vaultへの保存で、Azure Stack HCIやAzure VMのデータリスクを低減するのに役立ちます。このソリューションは、機密データを検出して保護のためにフラグを立てる、機密データ監視および管理を提供します。また、削除、変更、不審なデータ暗号化を特定する異常検出機能を通じて、サイバー攻撃の範囲を特定するのに役立ちます。
企業向けのDRPソリューションには一般的に、クラウドデータを保護するという目的もあります。この目標を実現するためには、詐欺対策、悪意のあるアプリの特定、漏洩した認証情報の監視などを実施する必要があります。これらはすべて、クラウドデータを悪意のある攻撃者にさらすリスクに対応するための取り組みです。DRPソリューションは、コードスキャンソリューションなどの他のアプリケーションセキュリティ(AppSec)ツールと連携することで、サプライチェーンリスクの軽減に寄与します。
DRPにおけるセキュリティチームの役割
DRPはチームスポーツに例えられるものであり、通常、セキュリティ組織やIT部門の複数のグループが関与します。アプリケーションセキュリティ(AppSec)、データセキュリティ、ネットワークセキュリティも含まれます。法務やコンプライアンスなどの部門も、DRPの目標達成に向けて関与することが求められます。 各グループにはそれぞれ果たすべき役割があるため、チーム間の連携が重要となります。
サプライチェーンリスクへの対応
DRPソリューションは、オープンソースコミュニティのコードリポジトリなど、いわゆる「In the Wild」で発見されるマルウェアを含むオープンソースコードを監視し、サプライチェーンリスクの兆候の特定に役立ちます。DRPソリューションは、発見した情報をコードスキャンやその他のAppSecツールに提供することで、サプライチェーン攻撃に発展する前に、DevOpsチームが侵害されたコードを特定・修正できるよう支援します。これを機能させるには、セキュリティとDevOpsを扱うチームが協力する必要があります。
データ侵害からの保護
データ侵害に対処する上での最大の課題の1つは、侵害が長期間にわたって気付かれないことが多いという事実です。攻撃者が機密データを盗み出したことを誰も知らないまま、数か月が経過することもあります。DRPソリューションを活用することで、ダークウェブ上で漏洩したデータを検出し、こうしたリスクに対応することが可能です。
DRPによるデジタルリスクの管理
DRPを担当するチームは多岐にわたりますが、DRPソフトウェアの活用を含む包括的なリスク管理戦略を策定するためには、相互に連携する必要があります。このプロセスを正しく実行すれば、セキュリティ態勢を改善し、脅威の影響を軽減できます。
デジタルリスクの軽減に向けた取り組み
今日のサイバー脅威の状況は、高度化・潜在化・外部化が進んでおり、組織にとって何らかの形のデジタルリスク保護の導入は不可欠となっています。特に、ビジネスのデジタル化の進展を踏まえると、こうした対策は急務です。DRPソリューションは、スピアフィッシングや悪意のあるアプリといった脅威の軽減手段を提供します。デジタル戦略の重要性が高まる中で、DRPは不可欠な機能として位置付けられています。
DRPの実現には、多段階のプロセスが必要です。まずは、既存のセキュリティ管理および対策が、デジタルリスク全体に対してどの程度有効に機能しているかを再評価することから始まります。そこから、最優先分野とする防御すべき攻撃対象領域を決定します。この段階に至って初めて、DRPソリューションの選定および実装に関する意思決定に必要な情報が十分にそろいます。ソリューション導入後は、デジタルリスク保護の適用範囲を拡大することが可能です。