マイクロソフトが重大なサイバーセキュリティ インシデントから得た知識の共有
2017 年 2 月 15 日 - Microsoft Secure Blog スタッフ - マイクロソフト
執筆者: Mark Simos (ビジネス開発および戦略担当ディレクター、エンタープライズ サイバーセキュリティ グループ)
このポストは「Sharing Microsoft learnings from major cybersecurity incidents」の翻訳です。
マイクロソフトは、お客様のサイバーセキュリティ攻撃の調査や復旧を 10 年以上にわたって支援してきました。この取り組みは、マイクロソフトの IT 部門と製品グループが企業の環境に攻撃を受けたお客様を支援するという形で非公式に開始されました。当初から、インシデントの量や複雑さにより、マイクロソフトは、取り組みの規模を拡大させ、フルタイム勤務の専門家から成る調査および復旧チームを取り組みに参加させる必要がありました。通常、これらのチームは、年間を通して毎週 1 件以上の本格的な調査を実施しています。標的型攻撃を受けているお客様は、Microsoft Premier サポートを通じて、すぐにマイクロソフトのグローバル インシデント対応および復旧チームにご相談ください。
Incident Response Reference Guide ( インシデント対応リファレンス ガイド)
マイクロソフトのお客様がインシデント対応および復旧時に直面する課題は技術的なものとそうでないものがあるため、マイクロソフトはパートナー組織とともに、包括的なインシデント対応に関するガイダンスをお客様に提供する取り組みを先日開始しました。
この取り組みの成果については、「Incident Response Reference Guide (インシデント対応リファレンス ガイド)」にまとめられています。このガイドはダウンロードで入手可能です。また、今週サンフランシスコで開催されている RSA Conference のマイクロソフトのブースで印刷版を配布しています。
このガイダンスには、マイクロソフトの組織が技術、運用、法務、コミュニケーションの各側面で得た知識や推奨事項が示されています。本ガイドは、重大なサイバーセキュリティ インシデントにおける重要なニーズに対応する準備を整え、それらのニーズを満たし、一般的なエラーを回避できるよう支援することを目的としています。
本ガイドの推奨事項は、管理者のアクセス権限が侵害される重大なインシデントに主に焦点が置かれていますが、さまざまな重大度のセキュリティ インシデントに対応する準備を整え、それらのインシデントに対応するうえでも役立ちます。
このガイダンスは、以下のことを行えるようにすることを目的としています。
1.組織に対するリスクを軽減させることで危機に備える
2.事前準備を行っているかどうかに関係なく、より効果的に危機に対応する
本書のヒントとガイダンスは、インシデントを初めて経験する組織に加えて、敵対者による持続的攻撃に頻繁に対応する経験豊富な専門家にも洞察を提供することを目的としています。本書は、Fortune 1000® にランクされている幅広い企業や行政機関に対応したマイクロソフトの経験の集大成に基づいています。本書がお客様にどう役立ったか、および本書をどう改善すべきかについてフィードバックをいただけると幸いです。CyberDocFeedback@microsoft.com 宛てに電子メールでフィードバックをお寄せください。
ガイドの枠を超えて
マイクロソフトのチームは、世界各地でお客様を支援し、サイバー犯罪と戦っています。これらの取り組みを通じて得られた知識は、マイクロソフトの製品、公開されるガイダンス、および将来のお客様を支援する方法に継続的に影響を及ぼしています。マイクロソフトが公開しているいくつかの重要なガイダンスには、これらの経験から得られた情報が盛り込まれています。例として、Mitigating Pass-the-Hash and Other Credential Theft (Pass-the-Hash および他の資格情報盗難の緩和方法) バージョン 1 および 2、Active Directory のセキュリティを確保するためのベスト プラクティス、およびこれらの攻撃に対する優先的なセキュリティ戦略の概要を示した新しい種類のガイダンスである特権アクセスのセキュリティ保護 (SPA: Securing Privileged Access) のロードマップが挙げられます (SPA に関するオンライン トレーニングはこちらで受講できます)。マイクロソフトは、得られた教訓を共有するために、NIST 800-184 Guide for Cybersecurity Event Recovery (NIST 800-184 サイバーセキュリティ イベントの回復に関するガイド) のような取り組みにも貢献しています。
また、マイクロソフトの対応および復旧における経験は、マイクロソフトの製品や機能の多くに直接影響を及ぼしています。例として、Windows Defender Advanced Threat Protection (ATP)、Advanced Threat Analytics (ATA)、Windows Server 2016 のシールドされた VM、Windows 10 の仮想化ベースのセキュリティ (VBS) などが挙げられます。Windows 10 には、Credential Guard、Microsoft Identity Manager の特権アクセス管理機能 (MIM-PAM) など多くの機能が盛り込まれています。
組織に重大な影響を及ぼすインシデントを発生させている要因の評価基準は、ビジネスやミッションによって異なります。しかしながら、重大なインシデントの大半は、企業の IT システムの大半またはすべてにアクセスできる管理者権限の侵害が関わっています (メディアで頻繁に報じられている標的型攻撃で行われます)。マイクロソフトは、管理者権限の侵害につながる資格情報を盗み取る手法の普及に応じて、マイクロソフトのサイバーセキュリティ専門サービス担当者が提供するワークステーションの特権のアクセス (PAW) の構築に関する指示書をオープンソース化しました。このアーキテクチャは、マイクロソフトのお客様に対する攻撃から得られた知識や、マイクロソフト独自の IT システムの管理者向けにセキュア アクセス ワークステーションを社内展開した経験に基づいています。
「Incident Response Reference Guide (インシデント対応リファレンス ガイド)」を今すぐダウンロードして、10 年以上にわたってお客様の重大なインシデントからの復旧を支援してきたマイクロソフトの経験を参考にしてください。