本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。
2023年11月末現在、この年の前半から続いた生成AIに対する爆発的な市場の関心はやや静まりを見せる一方で、内部不正やサイバー攻撃による情報漏えいといったセキュリティインシデントは後を絶たない。サイバー犯罪の兆候は気づかれにくいという特性があると同時に、対策側で気づくためのすべへの投資が進んでいないという現実もある。今回は、この気づきにくいサイバー犯罪を早期に検知した上で対応するためのセキュリティ運用が、生成AIをはじめとしたAIや自動化によってどう変わっていくのかについて検討してみたい。
サイバー犯罪の実行速度とギャップのある「MTTD」と「MTTR」
IBMの「2023年版データ侵害のコストに関する調査」によると、個人情報が侵害されたサイバー犯罪において、犯罪が行われ始めてから被害組織がその事実に気づくまでには平均204日、被害に気づいてから対応を完了するまでには同73日もの時間がかかっていることが分かっている。毎年行われているこの調査の中でこれらの数値に大きな変動はない。
攻撃開始から検知までの期間を「Mean Time To Detect」(MTTD、平均検出時間)、検知から対応が完了するまでの期間を「Mean Time To Respond」(MTTR、平均対応時間)と呼ぶ。それぞれ、インシデントの検出、そしてインシデントへの対応をどれだけ素早くできたかを示すもので、セキュリティ運用の領域において、また、組織として被害を未遂にするためにも極めて重要な指標となる。
平均値の是非の判断は、数値だけでは分かりにくいかもしれない。そこで、サイバー犯罪自体がどれだけのスピードで行われるのかを比較対象としてみる。筆者が所属するパロアルトネットワークスがインシデント対応を支援したケースを見てみると、ビジネスメール詐欺(BEC)の場合には平均38日、ランサムウェアの場合には平均28日で完了している。攻撃者側は数日で攻撃を完了させることもあり、これらの数値は年々小さくなっている。先のMTTDとMTTRの数値と比較すると、ギャップがあることが分かる。
データを暗号化したり脅迫を行ったりするランサムウェアの場合には、データが使い物にならなくなったり脅迫文が画面に表示されたりするなど、被害が目に見えることによって気づくことができる。一方で、情報漏えいの場合、目に見えるものはなく、外部からの問い合わせで発覚する傾向が高いといえる。その時には、既にデータが漏えいし、悪用され始めている兆候を示している。いずれにしても、発覚理由が外部通報の場合には、自組織の既存のセキュリティ運用では脅威を見つけられなかったことになる。