次の方法で共有

Microsoft サイバーセキュリティ防御オペレーション センター

サイバーセキュリティの脅威を保護、検出、対応するための Microsoft のベスト プラクティスを共有する

サイバーセキュリティは共通の責任であり、私たち全員に影響を与えます。 今日、物理的または仮想的な単一の侵害は、組織に数百万ドルの損害を与え、世界経済に何十億もの財政的損失を引き起こす可能性があります。 毎日、企業や個人をターゲットにしたサイバー犯罪の報告が、財務上の利益や社会的動機付けの目的で見られます。 これらの脅威に加えて、国家のアクターが、運用を中断したり、スパイ活動を行ったり、一般的に信頼を損なったりしようとする脅威を追加します。

この簡単な説明では、オンライン セキュリティの状態、脅威アクター、および目標を進めるために使用する高度な戦術、および Microsoft のサイバー防御オペレーション センターがこれらの脅威に対処し、お客様が機密性の高いアプリケーションとデータを保護する方法について説明します。



Microsoft Cyber Defense Operations Center

The Microsoft Cyber Defense Operations Center

Microsoft は、すべてのユーザーにとってオンラインの世界をより安全にすることに深く取り組んでいます。 当社のサイバーセキュリティ戦略は、私たちが持っているユニークな可視性から急速に進化するサイバー脅威の風景に進化しました。

敵対者が決意と洗練の両方で進化し続けているため、人々、場所、プロセスにおける攻撃の分野でのイノベーションは、私たち全員が行う必要がある恒常的な投資です。 多くの組織による防御戦略への投資の増加に対応して、攻撃者はブレークネックスピードで戦術を適応させ、改善しています。 幸いなことに、Microsoft のグローバルな情報セキュリティ チームのようなサイバーベンダーも、継続的で高度なトレーニングと最新のセキュリティ テクノロジ、ツール、プロセスを使用して、信頼性の高い長い攻撃方法を革新し、中断しています。

Microsoft Cyber Defense Operations Center (CDOC) は、セキュリティ、データ保護、リスク管理に毎年 10 億ドルを超える投資を行っている例の 1 つです。 CDOC は、24 時間 365 日の施設でサイバーセキュリティの専門家とデータ サイエンティストを集め、脅威にリアルタイムで対処します。 Microsoft は、クラウド インフラストラクチャとサービス、製品とデバイス、および内部リソースを保護するために、製品開発チーム、情報セキュリティ グループ、法務チーム全体で 3,500 人を超えるセキュリティプロフェッショナルとグローバルに結びついています。

Microsoft はクラウド インフラストラクチャに 150 億ドル以上を投資しており、Fortune 500 企業の 90% 以上が Microsoft クラウドを使用しています。 現在、100 を超える地理的分散データセンター、200 のクラウド サービス、数百万のデバイス、世界中の 100 億人の顧客を持つ、世界最大のクラウド フットプリントの 1 つを所有し、運用しています。

サイバーセキュリティの脅威アクターと動機

人、デバイス、データ、および重要なインフラストラクチャを保護するための最初のステップは、さまざまな種類の脅威アクターとその動機を理解することです。
  • サイバー犯罪者は複数の サブカテゴリにまたがるが、多くの場合、金融、インテリジェンス、社会的または政治的な利益という共通の動機を共有している。 通常、彼らのアプローチは直接的です。金融データシステムに侵入し、検出されないほど小さな金額を不正に引き出してから、発覚する前に退出します。 目立たずに密かに存在し続けることは、その目的を達成するために不可欠です。

    彼らのアプローチは、不正に侵入して大きな金銭報酬をアカウントの迷路経由で転用し、追跡と介入を回避するかもしれません。 時には、サイバー犯罪者が特定のエンティティに価値を持つ製品設計、ソフトウェアソースコード、またはその他の専有情報を提供するための仲介役として機能するように、ターゲットが所有する知的財産を盗むことを目標としています。 これらの活動の半分以上は、組織された犯罪グループによって実行されます。

  • 国家のアクターは 、政府が対象の政府、組織、または個人を混乱させたり侵害したりして、貴重なデータやインテリジェンスにアクセスできるように取り組みます。 彼らは、国や地域に利益をもたらす可能性のある結果に影響を与え、推進するために国際的な問題に従事しています。 国家アクターの目的は、業務の中断、企業に対するスパイ活動の実施、他の政府からの秘密の盗み、その他の方法で機関への信頼を損なうことです。 彼らは、単純なものから非常に複雑なものまでにわたるツールキットを使用して、法的報復を恐れずに、大規模なリソースを自由に扱います。

    国家の主体は、最も洗練されたサイバー攻撃の才能を引き付けることができ、そのツールを武器化の域にまで進化させる可能性があります。 侵入アプローチには、多くの場合、スーパーコンピュータの能力を駆使して、何百万もの試行を行いながら正しいパスワードを見つけようとするブルートフォース攻撃としての高度な持続的脅威が含まれます。 また、ハイパーターゲットフィッシング攻撃を使用して、内部関係者を引き付けて資格情報を明らかにすることもできます。

  • インサイダー の脅威は、人間の行動の予測不能性のために特に困難です。 インサイダーの動機は、おそらく日和見的であり、財政的利益のための動機です。 ただし、内部関係者の潜在的な脅威には、単純な不注意から高度なスキームまで、複数の原因があります。 内部関係者の脅威に起因する多くのデータ侵害は、偶発的または過失的なアクティビティにより、組織が脆弱性を認識することなくリスクにさらされるため、完全に意図しません。

  • ハクティビストは 、政治的攻撃や社会的動機による攻撃に焦点を当てています。 彼らは自分自身とその原因に注意を引くために、ニュースで目に見え、認識されるように努めています。 その戦術には、分散型サービス拒否 (DDoS) 攻撃、脆弱性の悪用、オンライン プレゼンスの改ざんなどがあります。 社会的または政治的な問題への接続は、任意の会社や組織をターゲットにすることができます。 ソーシャル メディアを使用すると、ハクティビストは自分の原因を迅速に福音化し、他のユーザーに参加を募集できます。


2017 年のデータ侵害の平均コストは 400 万ドルです

脅威アクターの手法

敵対者は、さまざまな高度な手法を使用して保護されているにもかかわらず、組織のネットワークに侵入する方法を見つけるのに熟練しています。 インターネットの初期からいくつかの戦術が取り上げられていますが、他の戦術は今日の敵対者の創造性と洗練度を反映しています。

  • ソーシャル エンジニアリング は、ユーザーが本来行わないような行動や情報漏えいを行う攻撃の広範な用語です。 ソーシャルエンジニアリングは、ほとんどの人の善意を利用し、問題を避けたり、身近な情報源を信頼したり、報酬を得る可能性を考えたりする助けになろうとする意欲に乗じます。 その他の攻撃ベクトルはソーシャル エンジニアリングの傘下にある可能性がありますが、ソーシャル エンジニアリング戦術を認識して防御しやすくする属性の一部を次に示します。
    • フィッシング メール は、セキュリティ チェーンの中で最も弱いリンク (ネットワーク セキュリティを第一心で考えない日常的なユーザー) と対戦するため、効果的なツールです。 フィッシング 詐欺キャンペーンでは、正当なサイトと思われるリンクをクリックしたり、悪意のあるコードを含むファイルをダウンロードしたりして、誤って資格情報を共有するようユーザーを招待したり、恐れたりする可能性があります。 フィッシングメールは、以前は書き込みが不十分で、認識しやすいものでした。 今日、敵対者は、不正と識別するのが難しい正当な電子メールやランディング サイトを模倣することに熟達しています。
    • ID スプーフィング には、アプリケーションまたはネットワーク リソースに提示された情報を改ざんすることによって、別の正当なユーザーを偽装する敵対者が含まれます。 たとえば、アクションを要求している同僚のアドレスを含む一見受信したメールですが、アドレスはメール送信者の実際のソースを非表示にしています。 同様に、URL は正当なサイトとして表示されるようになりすましを受けることができますが、実際の IP アドレスは実際にはサイバー犯罪者のサイトを指しています。

  • マルウェアは、コンピューティングの夜明け以来、私たちと一緒にされています。 現在、ランサムウェアと、特にデバイスとデータの暗号化を目的とした悪意のあるコードが増えています。 サイバー犯罪者は、キーのロックを解除し、被害者に制御を返すために暗号通貨で支払いを要求します。 これは、コンピューターとデータ ファイルに対して個々のレベルで、または企業全体に対してより頻繁に発生する可能性があります。 ランサムウェアの使用は医療分野で特に顕著であり、これらの組織が直面する生死の結果によって、ネットワークのダウンタイムに対して非常に敏感になります。

  • サプライ チェーンの挿入 は、マルウェアをネットワークに挿入する創造的なアプローチの例です。 たとえば、アプリケーションの更新プロセスをハイジャックすることで、敵対者はマルウェア対策ツールと保護を回避します。 この手法がより一般的になり、アプリケーション開発者によってより包括的なセキュリティ保護がソフトウェアに組み込まれるまで、この脅威は拡大し続けます。

  • 中間者攻撃では、敵対者がユーザーとアクセスしているリソースの間に自分自身を挿入し、ユーザーのログイン資格情報などの重要な情報をインターセプトします。 たとえば、コーヒー ショップのサイバー犯罪者は、ユーザーが WiFi ネットワークに参加する際に、キーログ ソフトウェアを使用してユーザーのドメイン資格情報をキャプチャできます。 その後、脅威アクターは、ユーザーがダーク Web で使用または販売できる銀行や個人情報などのユーザーの機密情報にアクセスできます。

  • 分散型サービス拒否 (DDoS) 攻撃は約 10 年以上が経過しており、モノのインターネット (IoT) の急速な成長に伴う大規模な攻撃がより一般的になっています。 この手法を使用する場合、敵対者は、正当なクエリを置き換える悪意のあるトラフィックでサイトを攻撃することでサイトを圧倒します。 以前に植えられたマルウェアは、Web カメラやスマート サーモスタットなどの IoT デバイスをハイジャックするためによく使用されます。 DDoS 攻撃では、さまざまなソースからの着信トラフィックが多数の要求でネットワークにあふれてしまいます。 これにより、サーバーが過剰になり、正当な要求からのアクセスが拒否されます。 多くの攻撃には、IP 送信者アドレス (IP アドレススプーフィング) の偽造も含まれるため、攻撃対象のマシンの場所を簡単に特定して倒すことができません。

    多くの場合、サービス拒否攻撃は、組織に侵入するためのより詐欺的な取り組みをカバーしたり、気を散らしたりするために使用されます。 ほとんどの場合、敵対者の目的は、侵害された資格情報を使用してネットワークにアクセスし、ネットワークを横方向に移動して、組織内で最も機密性の高い貴重な情報のキーであるより強力な資格情報にアクセスすることです。


すべてのサイバー攻撃の 90% はフィッシングメールから始まります

サイバースペースの軍事化

サイバー戦争の可能性の高まりは、今日の政府や市民の間で主要な懸念事項の一つです。 戦争でコンピューターやネットワークを使用してターゲットを設定する国家が含まれます。

攻撃と防御の両方の操作は、サイバー攻撃、スパイ、破壊活動を行うために使用されます。 国家は長年にわたり、攻撃者、被告、またはその両方として能力を開発し、サイバー戦争に従事してきました。

高度な軍事投資によって開発された新しい脅威ツールと戦術も侵害される可能性があり、サイバー脅威はオンラインで共有され、サイバー犯罪者によって武器化され、さらなる使用が可能になります。

Microsoft のサイバーセキュリティ体制

Microsoft にとってセキュリティは常に優先事項ですが、デジタルの世界では、サイバーセキュリティの脅威を保護、検出、対応する方法に関するコミットメントを継続的に進める必要があることを認識しています。 これら 3 つのコミットメントは、サイバー防御へのアプローチを定義し、Microsoft のサイバー防御戦略と機能に関する議論に役立つフレームワークとして機能します。

守る

フィッシングキャンペーンを狙うことは、スパイ活動関連の侵害の最前線であり続けます

守る

Microsoft の最初のコミットメントは、お客様と従業員が使用するコンピューティング環境を保護し、クラウド インフラストラクチャとサービス、製品、デバイス、および会社の社内リソースの回復性を、決定された敵対者から保護することです。

CDOC チームの保護対策は、センサーやデータセンターから ID、サービスとしてのソフトウェア (SaaS) アプリケーションまで、すべてのエンドポイントにまたがっています。 多層防御は、複数のレイヤーで重なる保護策とリスク軽減戦略を適用することで、業界全体のベストプラクティスとされており、貴重な顧客と企業の資産を保護するために私たちが採用するアプローチです。

Microsoft の保護戦術は次のとおりです。

  • カメラ、人員スクリーニング、フェンスと障壁、物理的アクセスのための複数の識別方法など、当社のグローバルデータセンターの物理的環境に対する広範な監視と制御。

  • 侵入や DDoS 攻撃からクラウド インフラストラクチャを保護するソフトウェア定義ネットワーク。

  • 多要素認証は、ID とアクセス管理を制御するために、インフラストラクチャ全体で使用されます。 これにより、重要なリソースとデータが、次のうち少なくとも 2 つによって保護されます。
    • 知っているもの (パスワードまたは PIN)
    • あなた自身であるもの (バイオメトリクス)
    • 持っているもの (スマートフォン)
  • 非永続的な管理では、インフラストラクチャとサービスを管理するエンジニアリング スタッフに対して、Just-In-Time (JIT) と Just-Enough Administrator (JEA) 特権が採用されます。 これにより、事前に指定された期間が経過すると自動的に期限切れになる、昇格されたアクセスの一意の資格情報セットが提供されます。

  • 適切な衛生は、up-toアップデート、マルウェア対策ソフトウェア、厳格な修正プログラムの適用と構成管理への準拠を通じて厳格に維持されます。

  • Microsoft Malware Protection Center の研究者チームは、マルウェアシグネチャを特定、リバース エンジニアリング、開発し、高度な検出と防御のためにインフラストラクチャ全体に展開します。 これらの署名は、デバイスを保護するために Windows 更新プログラムと通知を通じて、レスポンダー、顧客、業界に配布されます。

  • Microsoft セキュリティ開発ライフサイクル (SDL) は、開発者がより安全なソフトウェアを構築し、開発コストを削減しながらセキュリティ コンプライアンス要件に対処するのに役立つソフトウェア開発プロセスです。 SDL は、すべてのアプリケーション、オンライン サービス、製品を強化し、侵入テストと脆弱性スキャンを通じてその有効性を定期的に検証するために使用されます。

  • 脅威のモデル化と攻撃対象領域の分析により、潜在的な脅威が評価され、サービスの公開された側面が評価され、サービスを制限したり、不要な機能を排除したりして攻撃対象領域が最小限に抑えられます。

  • データを秘密度に従って分類し、転送中の暗号化や保存中の暗号化など、適切な対策を講じ、最小特権アクセスの原則を適用すると、追加の保護が提供されます。 • ユーザーとセキュリティ チームの間の信頼関係を促進し、ユーザーが影響を恐れずにインシデントや異常を報告する環境を開発する意識トレーニング。

豊富な一連のコントロールと多層防御戦略を使用すると、1 つの領域で障害が発生した場合に、顧客、クラウド サービス、および独自のインフラストラクチャのセキュリティとプライバシーを維持するために、他の領域に補正コントロールがあることを確認できます。 しかし、人々がエラーを発生させ、敵対者が引き続き脆弱性を探し、悪用するため、本当に不可解な環境はありません。 これらの保護層とベースライン分析に引き続き多額の投資を行うことで、異常なアクティビティが存在するタイミングを迅速に検出できます。

検出する

57 日以上は、侵入と検出の間の業界の中央値の日数です

見付ける

CDOC チームは、自動化されたソフトウェア、機械学習、行動分析、フォレンジック手法を使用して、環境のインテリジェントなセキュリティ グラフを作成します。 このシグナルは、Active Directory、資産および構成管理システム、イベント ログなどのソースから生成されたコンテキスト メタデータと動作モデルで強化されます。

セキュリティ分析への広範な投資により、豊富な行動プロファイルと予測モデルが構築されます。これにより、"ドットを接続" し、検出されなかった可能性のある高度な脅威を特定し、強力な封じ込めと調整された修復アクティビティに対抗できます。

また、Microsoft では、カスタム開発のセキュリティ ソフトウェアと、業界向けツールと機械学習も採用しています。 Microsoft の脅威インテリジェンスは継続的に進化しており、自動化されたデータ エンリッチメントにより、悪意のあるアクティビティをより迅速に検出し、忠実度の高いレポートを生成します。 脆弱性スキャンは、保護対策の有効性をテストおよび調整するために定期的に実行されます。 Microsoft のセキュリティ エコシステムへの投資の幅と、CDOC チームによって監視されるさまざまなシグナルは、ほとんどのサービス プロバイダーが達成できるよりも包括的な脅威ビューを提供します。

Microsoft の検出戦術は次のとおりです。

  • 潜在的なサイバーセキュリティ イベントのネットワーク環境と物理環境を 24 時間 365 日監視します。 動作プロファイリングは、使用パターンと、サービスに対する固有の脅威の理解に基づいています。

  • 異常なアクティビティを強調するために、ID と行動分析が開発されています。

  • 機械学習ソフトウェアのツールと手法は、不規則性の検出とフラグ付けに日常的に使用されます。

  • 高度な分析ツールとプロセスがデプロイされ、異常なアクティビティと革新的な相関関係の機能をさらに特定します。 これにより、膨大な量のデータから、ほぼリアルタイムで高度にコンテキスト化された検出を作成できます。

  • 自動化されたソフトウェア ベースのプロセス。継続的に監査され、有効性を高める目的で進化しています。

  • データ サイエンティストとセキュリティの専門家は、通常とは異なる特性を示すエスカレートされたイベントに対処するために並行して作業し、ターゲットをさらに分析する必要があります。 その後、潜在的な対応と修復作業を決定できます。

返答

すべての情報セキュリティ インシデントの 90% は、サービス拒否、Web アプリケーション攻撃、および Crimeware です

対応

Microsoft がシステムの異常なアクティビティを検出すると、応答チームが関与し、正確な力で迅速に対応できるようになります。 ソフトウェアベースの検出システムからの通知は、リスクベースのアルゴリズムを使用して自動応答システムを通過し、対応チームの介入を必要とするイベントにフラグを設定します。 Mean-Time-to-Mitigation は最も重要であり、Microsoft の自動化システムは、トリアージ、軽減、回復を促進する、関連する実用的な情報をレスポンダーに提供します。

このような大規模なセキュリティ インシデントを管理するために、適切なリソースに応答タスクを効率的に割り当て、合理的なエスカレーション パスを容易にする階層化されたシステムをデプロイします。

Microsoft の対応戦術は次のとおりです。

  • 自動応答システムでは、リスクベースのアルゴリズムを使用して、人間の介入を必要とするイベントにフラグを設定します。

  • 自動応答システムでは、リスクベースのアルゴリズムを使用して、人間の介入を必要とするイベントにフラグを設定します。

  • 継続的な改善モデル内で明確に定義され、文書化され、スケーラブルなインシデント対応プロセスは、すべてのレスポンダーがこれらを利用できるようにすることで、敵対者に先んじるのに役立ちます。

  • 複数のセキュリティ領域におけるチーム全体の主題の専門知識により、インシデントに対処するための多様なスキル セットが提供されます。 インシデント対応、フォレンジック、侵入分析におけるセキュリティの専門知識。クラウド データセンターで動作するプラットフォーム、サービス、アプリケーションについて深く理解しています。

  • クラウド、ハイブリッド、オンプレミスのデータとシステム全体を対象とした広範な企業検索により、インシデントの範囲を特定します。

  • 主要な脅威に対する深いフォレンジック分析は、インシデントを理解し、封じ込めと根絶を支援するために専門家によって実行されます。 • Microsoft のセキュリティ ソフトウェア ツール、自動化、ハイパースケール クラウド インフラストラクチャにより、セキュリティ専門家はサイバー攻撃の検出、調査、分析、対応、復旧にかかる時間を短縮できます。

  • 侵入テストは、実際の敵対者が攻撃のためにこれらの弱点を活用する前に脆弱性を発見するために、進行中の Red Team/Blue Team 演習を通じて、すべての Microsoft 製品とサービスで採用されています。

お客様のサイバーデファンス

多くの場合、お客様が独自の環境に採用できるツールとプロセス、および Microsoft が実装にどのように役立つかを尋ねられます。 Microsoft は、CDOC で使用するサイバー防御製品とサービスの多くを、さまざまな製品とサービスに統合しています。 Microsoft Enterprise サイバーセキュリティ グループと Microsoft コンサルティング サービス チームは、お客様と連携して、特定のニーズと要件に最も適したソリューションを提供します。

Microsoft が強く推奨する最初の手順の 1 つは、セキュリティ基盤を確立することです。 当社の基盤サービスは、重要な攻撃防御と、資産の保護に役立つコア ID 有効化サービスを提供します。 この基盤は、デジタル変革の取り組みを加速し、より安全な最新の企業に移行するのに役立ちます。

この基盤に基づいて、お客様は、他の Microsoft のお客様と成功し、Microsoft 独自の IT およびクラウド サービス環境にデプロイされた実証済みのソリューションを活用できます。 エンタープライズサイバーセキュリティツール、機能、サービスの詳細については、Microsoft.com/security にアクセスし、 cyberservices@microsoft.comのチームにお問い合わせください。

環境を保護するためのベスト プラクティス

プラットフォームに投資する インストルメンテーションに投資する ユーザーに投資する
機敏性とスケーラビリティには、プラットフォームの有効化の計画と構築が必要です プラットフォーム内の要素を徹底的に測定していることを確認する 熟練したアナリストとデータ サイエンティストは防御の基盤であり、ユーザーは新しいセキュリティ境界です
資産の適切な文書化されたインベントリを維持する ネットワーク、ホスト、ログを完全に監視するために必要なツールを取得または構築する インシデント対応チームと他のグループ間の関係とコミュニケーションを確立する。
組織の明確な標準とガイダンスを備えた明確に定義されたセキュリティ ポリシーを用意する コントロールと対策を積極的に維持し、その精度と有効性を定期的にテストする 最小限の特権管理者の原則を採用する。永続的な管理者権限を排除する
適切な衛生管理を維持する—ほとんどの攻撃は、迅速なパッチ適用とウイルス対策で防ぐことができます 変更管理ポリシーを厳密に制御する レッスンで学習したプロセスを使用して、すべての主要インシデントから価値を得る
多要素認証を採用してアカウントとデバイスの保護を強化する 異常なアカウントと資格情報のアクティビティを監視して不正使用を検出する ユーザーがビジネス データを保護する上で脅威の可能性と自身の役割を認識できるように参加、教育、支援する