あらゆる組織は、自社のコンピュータネットワークとシステムを保護し、安全を確保するための対策が必要です。そこでサイバーオペレーションが関わってきます。サイバーオペレーションは脅威を検知し、環境内で高額な問題が発生するのを防ぐのに役立ちます。サイバー脅威が進化し支配的になるにつれ、組織は自社のビジネスニーズに対するサイバーオペレーションの範囲と重要性を理解する必要があります。
本記事では、現代のデジタルエコシステムにおけるサイバーオペレーションの包括的な理解を提供します。その長所と短所、主要構成要素、サイバーオペレーションを保護するために必要なツールなど、様々なトピックを網羅し、サイバーオペレーションとサイバーセキュリティの違いを検証します。
サイバーオペレーションとは?
サイバーオペレーションは、ランサムウェア、フィッシング、マルウェアなど、様々なサイバーセキュリティ上の問題を検知し対応します。SEIM、UBA、XDR、SOARなどの高度なツールを連携させることで、サイバーオペレーションの運用効率が向上し、優れた人材、プロセス、テクノロジーと組み合わせることで、サイバーオペレーションの強固な基盤を構築します。
組織にとってサイバーオペレーションが重要な理由とは?
組織は、ウイルス検知、アラート監視、脅威のリアルタイム無力化において不可欠な要素であるサイバーオペレーションの強化に注力すべきです。サイバーオペレーションが単にサイバー脅威の防止だけに関わるという認識は誤解です。これは脅威を効果的に管理するために様々な戦略を融合した、より広範な概念です。この包括的な視点により、進化するサイバーリスクに対する広範な保護が確保されます。
サイバーオペレーションの長所と短所
組織は機密保持、資産保護、市場地位の維持、サイバー脅威からの防御のためにサイバーオペレーションに大きく依存しています。サイバーオペレーションは組織の目標達成に寄与する一方で、潜在的なリスクや課題も伴います。&
組織におけるサイバーオペレーション導入のメリットとデメリットを検討しましょう。
サイバーオペレーションのメリット:
- クレジットカード情報、住所、社会保障番号、健康情報などの個人データへのアクセスを防止します。
- 攻撃時のバックアップを提供し、セキュリティ侵害を抑制する強力な対策を講じ、脅威を即座に監視・特定します。&
- 組織の重要資産の適切な機能を確保します。
サイバーオペレーションのデメリット:
- サイバーオペレーションセキュリティプラットフォームの導入には高額な費用がかかる場合があります。
- サイバー空間における脅威の絶え間ない変化により、組織はセキュリティ対策を継続的に強化する必要があり、投資のサイクルに陥る可能性があります。
- セキュリティシステム自体が安全でない場合、技術への依存はかえって高コストになる可能性があります。
- サイバーオペレーションの実施にあたっては、セキュリティ強化と個人プライバシー侵害の境界線が曖昧になる場合があるため、組織は細心の注意を払う必要があります。
サイバーオペレーションの3つの主要構成要素
サイバーオペレーションは、組織のセキュリティを監視・分析し、サイバーインシデントを検知・対応するために用いられます。戦略やアーキテクチャではなく、運用レベルで機能します。サイバーオペレーションは、リアルタイム監視と脅威の特定を通じて組織のサイバー脅威に対する備えを強化し、組織のセキュリティ態勢に大きな差をもたらす可能性があります。
サイバーオペレーションの専門家は、熟練したアナリストやエンジニアと連携し、様々なサイバーインシデントによるさらなる被害やダウンタイムを防ぐため、タイムリーな対応を提供できます。
サイバーオペレーションには主に3つの構成要素があります:
1. サイバー脅威インテリジェンス
サイバー脅威インテリジェンス(またはCTI)は、検出や防御が困難なステルス性の高い高度なサイバー攻撃を理解し防止するために重要であり、組織のリソースを保護し潜在的なリスクを最小限に抑える役割を果たします。
CTIは、サイバー空間におけるステルス脅威に対する早期検知メカニズムとして活用されます。したがって、技術的CTIは攻撃の兆候を特定し対策を講じる際に有用であり、包括的CTIは予防的なセキュリティ対策とより優れたリスク管理を可能にします。
CTIは4つのカテゴリーに分類される:
- 戦略的
- 戦術的
- 技術的
- 運用的
これらのカテゴリーは、組織が脅威を評価し、特定のリスク管理ニーズに適した防御策を構築するためのモデルを提供します。したがって、組織にとって最も重要な資産を理解し順位付けすることは、効果的なCTI(サイバー脅威情報)実装のための重要な前提条件です。この優先順位付けは、組織が最も脆弱な領域に努力とリソースを集中させ、潜在的な影響を最小限に抑えることを支援します。
2. サイバーインフラストラクチャ
サイバーインフラストラクチャは、様々な分野の科学者ネットワークを促進し、問題解決能力を高めます。多様なソースから収集されたビッグデータを分析する能力は、重要なブレークスルーにつながり、現代の研究におけるサイバーインフラストラクチャの重要性を示しています。これには、高性能コンピューティングシステムからサーバーまで幅広い技術が含まれ、研究環境に必要な複雑性と専門性を浮き彫りにします。
さらに、管理システムとは区別される独自の管理・構成要件が、研究活動における最適なパフォーマンスを実現します。教育や管理のためのインフラとは異なり、サイバーインフラは主に研究能力の強化に特化しており、学術環境におけるその重要性を裏付けています。
研究環境が進化するにつれ、サイバーインフラストラクチャの役割はますます重要性を増し、戦略的な機関間協議で繰り返し議論されるテーマとなっている。
3. サイバー人材
サイバー人材は、ITセキュリティとパフォーマンスを確保するため、サイバー運用職を7つの主要カテゴリーに分類し、それぞれに専門領域を設けている。
- 運用・保守: ITシステムのサポート、管理、保守に焦点を当てる。
- 保護・防御:& ITシステムに対する脅威の特定と軽減を伴います。
- 調査: ITリソースに関連するサイバー事件や犯罪の調査をカバーします。
- 収集・運用: 妨害・欺瞞作戦および情報収集を専門とする。
- 分析: 情報目的のための情報の検証と評価を行います。
- リーダーシップ管理: 効果的なサイバーセキュリティ業務のための方向性を提供します。
- セキュアな提供: 安全なITシステムの設計と構築に焦点を当てる。
サイバー作戦におけるサイバー脅威の種類
サイバー脅威とは、サイバー犯罪者や脅威アクター(意図的にデバイスに損害を与える個人またはグループ)が、サイバー攻撃のために不正なネットワークへのアクセスを試みていることを示します。
サイバー脅威は、銀行情報を要求する送信者不明のメールのような小さなものから、データ侵害やランサムウェアのような操作的な攻撃まで多岐にわたります。組織がこれらの攻撃を迅速かつ効果的に防止するためには、サイバーオペレーションに存在する様々な種類のサイバー脅威を理解することが重要です。
1. 高度持続的脅威(APT)
高度持続的脅威(APTs)とは、侵入者が重要企業や政府機関のネットワークに違法かつ長期にわたり潜伏し、機密性の高いデータを窃取する攻撃キャンペーンを指します。
こうした侵入は、組織インフラの破壊、データの侵害、さらには知的財産や営業秘密の流出につながる可能性があります。教育、政府、医療、ハイテク、コンサルティング、エネルギー、化学、通信、航空宇宙などの業界は、APTの標的となりやすい傾向があります。&
2. ランサムウェアとマルウェア攻撃
マルウェアとは、データを盗み出したり、サービスを妨害したり、ネットワークに損害を与えたりする目的で、様々なITシステムに不正アクセスするソフトウェアです。デバイスをロックし、完全な制御権を奪って他の組織を攻撃します。
サイバー犯罪者はランサムウェアを使用します。データをロックする悪意のあるソフトウェアであり、攻撃者は解放の対価として支払いを要求します。主な攻撃タイプはデータ損失とデータ侵害の2つです。これらの攻撃は、悪意のあるウェブサイト、ページ、ダウンロードへのリンクを含むフィッシングメールを通じて拡散されます。
感染はネットワークドライブ間を移動する可能性があります。脆弱なウェブサーバーは、サイバー犯罪者によって容易に悪用され、組織内の多数のユーザーにランサムウェアやその他のマルウェアを配信されます。
さらに、サイバー犯罪者は狡猾であり、復号鍵の提供を拒否することがよくあります。サイバー犯罪者に身代金を支払った多くのユーザーは、データだけでなく、時間とお金も失う結果となっています。
3.分散型サービス妨害(DDoS)攻撃
分散型サービス妨害(DDoS)攻撃とは、特定のサーバーやネットワークに対するサイバー攻撃であり、そのネットワークの正常な運用を妨害することを目的としています。DDoS攻撃は、特定のサーバーやネットワークを標的とし、そのネットワークの正常な運用を妨害するために使用されます。gt;分散型サービス拒否攻撃(DDoS)とは、特定のサーバーやネットワークに対して行われるサイバー攻撃であり、そのネットワークの正常な運用を妨害することを目的としています。DDoS攻撃は、システムを圧倒する不正なリクエストなどのトラフィックで標的のネットワークを氾濫させるために使用されます。単一のソースからの攻撃であるDoSとは異なり、DDoSは複数のソースから同時に行われる攻撃です。
4. ソーシャルエンジニアリングとフィッシング
サイバー犯罪者は、ソーシャルエンジニアリングを用いて個人を操作し、「おめでとうございます!iPhoneが当たりました!」といった特定のリンクをクリックさせます。&
これらの犯罪者は人間の行動や自然な傾向を研究し、偽りながらも信じがたいオファーや様々なシナリオを提示された際に各ユーザーがどう反応するかを深く分析します。彼らは人間の心理を悪用し、フィッシングなどの欺瞞的な手法を用いて、詐欺や身代金要求に利用可能な貴重な情報を入手します。
フィッシングでは、サイバー犯罪者は銀行や同僚などの信頼できる組織を装い、緊急性を演出することで、ユーザーにセキュリティ上のミスを犯させたり、確認なしに迅速な行動を取らせたりします。代表的な手口としては、突然「アカウントがハッキングされた」「パスワードの再設定が必要」といった内容のメールが届くケースが挙げられます。
特にフィッシングとランサムウェアは巨大な市場であり、数十億ドル規模の産業です。詐欺師は自らの利益のために、ユーザーを騙し感情に訴える手口を絶えず洗練させています。
サイバーオペレーションの安全確保に必要なツールの種類
サイバーオペレーションの専門家は、サイバーオペレーションを安全に保つために複数のツールと戦略を活用します。
- ネットワークセキュリティ監視:ネットワークが最適に稼働しているかを分析・検知し、不備や脅威を積極的に特定します。
- ファイアウォール:送受信されるデータの流れを監視します。
- パケットスニッファ:プロトコルアナライザーとも呼ばれ、ネットワークトラフィックやデータを傍受、記録、分析するために設計されています。
- 暗号化ツール: 可読テキストを暗号文と呼ばれる不可読形式に変換し、権限のないユーザーから保護します。
- Web脆弱性スキャンツール:Webアプリケーションをスキャンし、パストラバーサル、SQLインジェクション、クロスサイトスクリプティングなどのセキュリティ上の弱点や侵入可能性を発見します。
- アンチウイルスソフトウェア: ウイルスやトロイの木馬、アドウェア、スパイウェア、ワーム、ランサムウェアなどの悪意のあるマルウェアを検出します。&
- ペネトレーションテスト: コンピュータシステムへの攻撃を模倣し、そのシステムのセキュリティを評価します。
サイバーオペレーションスペシャリストになるには?
サイバーオペレーションスペシャリストになるのは難しいかもしれませんが、不可能ではありません。時間と努力を費やすことで、必要な知識と経験を身につけ、サイバーオペレーションスペシャリストになることができます。
組織でサイバーオペレーションスペシャリストの職に応募する前に満たすべき基本的な要件がいくつかあります:
- 高校卒業
- サイバーセキュリティブートキャンプへの参加
- コースとトレーニングの受講
- 公認資格の取得
サイバーオペレーションスペシャリストとして、以下のような様々な責任を担うことになります:
- サーバーのホスティングとデータベースの管理
- サーバーベースのシステム、アプリケーション、その他のソフトウェアの使用と完全性の維持
- サイバーオペレーション部門の予算策定と管理
- 単一または複数のネットワークの設置と管理
- サービス中断、侵害、ネットワーク障害に迅速に対応する。
サイバーオペレーションの専門家として、新しいツールや技術を継続的に学び、迅速に適応しなければなりません。成長著しい情熱的な分野であり、多くの組織がサイバー脅威からの保護を求めているため、機会は無限大です。
サイバーオペレーションにおける課題とは?
社会における現在のサイバーセキュリティ課題のため、組織はサイバーオペレーションプラットフォームへの投資に非常に前向きです。
- ランサムウェア: ファイルを暗号化しデバイスをロックすることでデータへのアクセスを妨げる悪意のあるソフトウェアです。
- クラウド攻撃: ウイルスやランサムウェアなどの悪意のあるソフトウェアを注入するなど、クラウドコンピューティングリソースを標的とした攻撃。
- 内部者攻撃: 攻撃者は悪意のある手段を用いて、組織の業務運営を妨害し、貴重な情報を入手し、または組織の財務状態を損なう攻撃。
- フィッシング攻撃:信頼できる人物を装った悪意のある人物が機密データを盗む攻撃。
- IoT(モノのインターネット)攻撃:セキュリティ対策の不足、互換性の問題、電力・メモリなどの制約により、IoTデバイスはサイバー攻撃に対して脆弱です。
サイバーオペレーションとサイバーセキュリティの違いとは?
サイバーオペレーションはサイバーセキュリティの一分野です。サイバーオペレーションは、あらゆる機能レベルやシステムレベルに適用可能な技術や手法を重視します。
サイバーオペレーションは攻撃的であり、標的システムへのアクセスを得るために標的システムを悪用し、その結果としてアクセス性、完全性、機密性の面で損害を与えることを伴います。
一方、サイバーセキュリティは防御的な戦略です。侵入や侵害などの様々なセキュリティ脅威からシステム、ネットワーク、データを保護することに焦点を当てています。
サイバー作戦の例
サイバー作戦には、IPアドレスハイジャック、情報作戦、サイバー心理戦など様々な活動が含まれます。機密データの保護やネットワーク活動の監視といった特定の目的を達成するために、コンピュータシステム、ネットワーク、デジタルツールを活用し、諜報機関や軍事組織によって実施されます。
サイバー作戦は主に二つに分類されます:防御的サイバー作戦(DCO)と攻撃的サイバー作戦(OCO)。
- 防御的サイバー作戦: DCOは組織のネットワーク、情報システム、データをサイバー脅威から保護・防御することを目的とする。これには侵入検知システムや暗号化が含まれる。
- 攻撃的サイバー作戦:OCOは、敵対者の資産を無力化または破壊し、機密データを窃取し、虚偽情報を植え付けることを目的としてサイバー空間で実施される措置です。
サイバー作戦の様々な事例を見ていきましょう。
サイバーセキュリティ
サイバーセキュリティとは、マルウェア、フィッシング、ゼロデイ攻撃など、様々な種類のサイバー攻撃からコンピュータシステムやデジタル保存データを保護するための対策です。
例えば2018年、マリオットホテルグループは5億人分の顧客機密情報が流出する大規模なデータ侵害被害を受けたと報じられました。興味深いことに、この問題は数年前から存在していたものの、2018年に初めて明るみに出ました。2022年には再びデータ侵害攻撃の被害に遭い、ハッカーが20GBのデータを盗み出し、支払い情報や機密ビジネス文書などの顧客データが流出しました。この問題を解決するため、マリオットは脅威に対応する複数のサイバーセキュリティ対策を実施しました。具体的には、侵害範囲を評価するためのフォレンジック分析の実施、機密情報を保護するためのネットワークセグメンテーションとIPホワイトリストの導入などです。p>
サイバー戦争
サイバー戦争とは、特定の国を標的とした一連のサイバー攻撃を指す。政府機関と民間インフラの両方に混乱をもたらし、重要システムを機能不全に陥らせ、結果として国家に損害を与える。
例えば、スタックスネット・ウイルス作戦(史上最も高度なサイバー攻撃として知られる)は、(ネットワーク内の複数コンピュータに自己拡散する悪意のあるソフトウェア)であり、イランの核開発計画を標的とした。このマルウェアは感染したUSBデバイスを介して拡散し、データ収集システムと監視制御システムの両方を攻撃対象とした。
ウイルスがスタックスネットのインフラ全体に浸透するのを防げた可能性のある最も重要な対策は二つある。ネットワーク経由で拡散する前にエンドポイントセキュリティソフトウェアでマルウェアを遮断すること、およびUSBメモリを含むすべてのポータブルメディアのスキャンまたは使用禁止である。
サイバー犯罪
サイバー犯罪とは、デジタル領域においてコンピュータを利用して犯罪を犯す、犯罪的または違法な行為を指します。
代表的な攻撃例として、世界中の組織に影響を与えた有名なWannaCryランサムウェア攻撃が挙げられる。WannaCryランサムウェアワームは20万台以上のコンピュータに拡散したと報告されており、日産、フェデックス、ホンダなどが被害を受けた。
WannaCryのセキュリティ研究者マーカス・ハッチンズは、マルウェアにハードコードされていたキルスイッチドメインを発見することでこの攻撃に対応した。単純ながら効果的な対策として、身代金要求型マルウェアが接続不能なファイルを暗号化しない特性を突くため、DNSシンクホール用のドメイン名を登録した。既に感染したシステムは犠牲となったが、この措置によりウイルスの拡散が鈍化し、攻撃を受けていない国々に対して防御策を実装・展開する時間的余裕が組織にもたらされた。
各分野におけるサイバー作戦
あらゆる業界がサイバー犯罪のリスクに晒されている。各分野が膨大な顧客情報と事業情報を保有しているためだ。サイバー犯罪者は組織のインフラを攻撃する十分なリソースと手口を有し、脆弱な標的を常に狙っている。
金融・保険、エネルギー・公益事業、医療・製薬、公共行政、教育・研究などの業界は、他の分野に比べてはるかにこれらのサイバー攻撃を受けやすい。
軍事・政府機関におけるサイバー作戦
軍事・政府分野におけるサイバー作戦は、一般産業と同様に極めて重要である。サイバースパイ活動などのサイバー犯罪が敵対国家を不安定化させ損害を与える一般的な攻撃手段となったことで、その規模は前例のない速度で拡大している。
また、衛星・航法・航空システムを含む重要かつ複雑な兵器システムを国内外のサイバー脅威から防御するためにも、サイバー作戦が実施されている。
民間部門におけるサイバー作戦
軍事システムをサイバー脅威から保護する必要性がある一方で、民間部門の保護も同様に重要です。主に以下の二つの理由による:
- 民間企業(主に中小企業)は、機密データ、銀行口座、社会保障番号などの貴重な情報を保有している。サイバー作戦リソースが不十分なため、これらの企業はサイバー犯罪者にとって格好の標的となる。
- 米国は国家安全保障の確保において、他国以上に民間企業への依存度が高い。企業は国家の武器製造や政府向けソフトウェア・ハードウェアの生産を担い、契約下にある多くの企業が重要なセキュリティ機能を遂行している。
しかしながら、民間セクターには攻撃発生後の対応だけでなく、サイバーリスクを積極的に軽減する責任がある。規制当局への準拠、将来の脅威や侵害を防止するためのサイバー運用対策の実施、安全なネットワーク維持のためのセキュリティプラットフォームの活用が求められる。
サイバーオペレーションセキュリティプラットフォームの選定基準とは?
組織は常にセキュリティ態勢の強化と改善を模索している。サイバーオペレーションセキュリティプラットフォームは、組織がサイバー攻撃や脅威から身を守るための支援を目的として設計されています。しかし、数百ものサイバーオペレーションセキュリティプラットフォームが存在するため、適切なものを選ぶのは困難です。
セキュリティプラットフォームで重視すべき主要機能。
- 脅威インテリジェンス活動: 脅威と脆弱性を監視
- エンドポイント検出および対応(EDR): EDR はセキュリティインシデントを迅速に検知、調査、対応します。
- アクセス制御ポリシー: これらのポリシーは、顧客が本人であることを確認し、企業データへの適切なアクセス権を付与します。
- ネットワークセキュリティ: 組織のデータとシステムを不正アクセスから保護します。&
- クラウドセキュリティ: 組織のセキュリティに対する外部および内部の脅威の両方に対処する、クラウドベースのネットワークの保護。
- 人工知能: AIを活用したサイバーオペレーションセキュリティプラットフォームは、不審な活動の検知と総合的なセキュリティ対策において一貫性と信頼性を提供します。
- ファイアウォール: ネットワークトラフィック内のデータをフィルタリングすることで攻撃を阻止・遅延させます。
- 自動化されたセキュリティポリシー: サイバーオペレーションセキュリティプラットフォームは、スクリプト、プレイブック、APIに基づいてセキュリティを自動化できる必要があります。
その他留意すべき要素は以下の通りです:
- スケーラビリティ
- 相互運用性
- 機能性
- コスト
結論
サイバー作戦は、現代社会において組織の目標を防衛し推進するために不可欠な、広範かつ絶えず進化する分野である。セキュリティ、情報収集、戦略的優位性において一定の成果をもたらす一方で、コスト、倫理的問題、継続的な更新・開発の必要性といった課題も抱えている。
サイバー脅威は増加傾向にあり、したがってサイバー作戦で用いられる手法やツールも向上させねばならない。組織は、深刻なセキュリティ問題を防止するための基礎知識と支援を獲得すると同時に、法的・倫理的課題やリソース制約を考慮すべきである。結局のところ、最良のサイバー作戦とは、課題を理解し、ダイナミックなサイバースペースで成果を上げられる人材とプロセスを伴うものである。
FAQs
サイバーオペレーションチームは、組織のセキュリティ態勢の管理と改善を担当します。脅威やインシデントなどのサイバーセキュリティ事象を24時間365日体制で検知・分析・対応し、セキュリティソリューションや製品を展開することがその役割です。
組織は、自社の目標に最も合致し、有意義な洞察を提供するKPIを選択する必要があります。追跡すべき一般的なKPIには以下のようなものがあります:
- セキュリティインシデントの発生件数
- 内部ネットワーク上の未識別デバイス
- デバイスおよびソフトウェアの更新回数
- 攻撃者がネットワークへの侵入を試みた回数
- 脆弱性評価の結果
- 対応時間
- 誤検知と検知漏れ
組織は脅威がどこから発生するかを予測し、既知・未知の攻撃が発生した場合の対応策を確立し、将来の脅威に適応する準備を整えなければなりません。サイバーレジリエントであるということは、侵害が発生した、あるいは発生するであろうことを前提とし、そのような攻撃に対処する準備を直ちに行うことも意味します。
サイバー防御は外部からの脅威や攻撃に対する防御に焦点を当てるのに対し、サイバーオペレーションはデジタル領域におけるコンピュータシステム、ネットワーク、情報の保護、確保、または標的化を目的とした行動を指します。
