アークティックウルフジャパンは7月2日、記者説明会を開催し、同社がセキュリティ動向について分析した「サイバーセキュリティの現状:2025年トレンドレポート」を解説した。この中で日本企業には、適切に機能するセキュリティインシデント対応体制の整備と維持が重要になると提言した。
同社は、セキュリティ監視センター(SOC)サービス大手の米Arctic Wolf Networksの日本法人。2月にBlackBerryからエンドポイントセキュリティ「Cylance」の事業を獲得し、日本での同事業を母体としてアークティックウルフジャパンを設立している。
アークティックウルフジャパン 日本担当副社長の吉本努氏
説明会の冒頭で日本担当副社長の吉本努氏は、会社概要を紹介するとともに、同社の役割が「セキュリティを機能させ、(セキュリティ投資の)効果を発揮できるようにすること」と強調した。日本では事業開始から日が浅いものの、Cylance時代からの顧客ベースもあり、今後はArctic WolfとしてのSOCサービスやインシデント対応支援サービスを日本でも提供していく予定だと話した。
レポートの内容とインシデント対応支援の現状をArctic Wolf Networks セキュリティサービス担当シニア・バイス・プレジデントのLisa Tetrault氏、デジタルフォレンジックおよびインシデント対応担当バイス・プレジデントのKerri Shafer-Page氏が解説した。
レポートの基となる調査では、Sapio Researchの協力で日本を含む15カ国のITおよびサイバーセキュリティの責任者1200人以上(うち日本は100人)にアンケートしている。Tetrault氏は、全体傾向として「AIの台頭によるサイバーセキュリティへの影響が世界共通の最大の懸念事項であり日本の回答者も37%いた。また多くの組織がデータ侵害を経験しながらも把握できない実情もある。ただ、セキュリティへの投資や改善は進んでおり、日本では61%(世界52%)が透明性の向上を挙げた。インシデント対応の取り組みも進みつつある」と総括している。
Arctic Wolf Networks セキュリティサービス担当シニア・バイス・プレジデントのLisa Tetrault氏
さらにTetrault氏は、日本の傾向を紹介した。2024年に自組織がサイバー攻撃を受けたのは74%、担当者がセキュリティツールを使用する時間は1週間当たり平均20時間で、このうち10.6時間を誤検知への対応やツールのチューニングなどに充てていた。インシデント対応計画を策定しているのは28%だったが、「約7割の組織がインシデント対応計画を整備していないといえる」(Tetrault氏)
また、サイバーセキュリティの計画に多大な投資をしている回答者が83%に上ったが、49%はそれに見合う成果がないと答えた。インシデント対応支援サービスやそのための費用を用意している組織は87%に上るが、上述のようにインシデント対応計画がある組織は28%にとどまる。Tetrault氏が指摘するようにレポートからは、日本企業がインシデント対応に必要な外部リソースなどをある程度準備しつつも、適切に対応行動をとるために必要な計画などの面に課題がある実態が明らかになった。
インシデント対応の支援についてShafer-Page氏は、同社ではリソースの提供や調査・分析、レポートといったことだけではなく、被害組織に代わり同社がサイバー攻撃者と直接交渉を行うケースが多いことも特徴だと紹介した。
Shafer-Page氏は、2件の事例を紹介してくれた。1件は法律事務所でのランサムウェア事案で、とある週末にVPN接続ができない事象が発生し、事務所の担当者はまずネットワークサービスの提供事業者に対応を要請したという。しかし、事業者側の対応は週明けになり、要請から対応着手までの約15時間にサイバー攻撃者が侵害を拡大した。
Arctic Wolf Networks デジタルフォレンジックおよびインシデント対応担当バイス・プレジデントのKerri Shafer-Page氏
「この事務所にはインシデント対応計画があり、サイバー保険も契約していたので、本来ならすぐ保険会社に連絡して対応行動を開始すべきだった。結果として対応が遅れ、週明けに攻撃者が脅迫を行い、現在もわれわれが攻撃者と交渉を続けている状況にある」(Shafer-Page氏)
もう1つは、小児科のある病院への攻撃だった。突如サーバーへのアクセスができなくなり、担当者が緊急で現場調査をしたところネットワークへの不正侵入、イベントログの不正な削除、見慣れない拡張子を持つ仮想サーバーの存在を発見したという。病院は保険会社に連絡し、保険会社経由でArctic Wolfが対応を支援。攻撃者との交渉で予期せぬ反応があったそうだ。
「それは、サイバー攻撃者の中には一種の『行動規範』を持つ者たちがいるということ。攻撃者側は標的が小児科のある病院だったことを知らず、われわれがそれを話すと、攻撃を中止し、すぐに(不正に暗号化したデータを回復するための)復号鍵を提供してくれた。このケースでは攻撃者との交渉が重要なポイントだった」(Shafer-Page氏)
後者はまれな事案だったそうだが、Shafer-Page氏も適切に機能するインシデント対応の契約や体制を日頃から整備し、継続的に見直すことが必要だと説く。
「少なくとも四半期に一度は点検し、少なくともITベンダーの変更などがあれば必ず実施していただきたい。現在のサイバー攻撃者はさまざまな役割を持つリソースが連携して攻撃を仕掛けるため、インシデント対応体制が機能するよう常に更新することが大事になる。また、ポイントソリューションを導入するだけでは不十分であり、全体的なインシデント対応計画や体制との整合性を確保し、有効性を評価することもしていただきたい」(Shafer-Page氏)
