サイバー攻撃の約40%はフィッシングから

『現在、新しいレポート・ツールをテストしています。以下のリンクをクリックし、サンプル・レポートを実行してください。なお、このテストはSSOで実行する必要があるため、パスワードを要求された場合はネットワーク・パスワードをご使用ください』

これは安全なビジネス・メールでしょうか、それとも標的型のフィッシング・メールでしょうか。多くの企業とその従業員が、毎日このような脅威に遭遇しています。しかも、こうした攻撃は巧妙さを増しており、本物と偽物の違いを見分けることがさらに困難になりつつあります。

実際、IBMの2021年の調査では、フィッシング攻撃が最も一般的な脅威ベクトルであり、あらゆるサイバー攻撃の約40%がフィッシング攻撃から始まっています。また、犯罪者や詐欺師が電話(ビッシングまたはボイス・フィッシング)を手段として追加した場合、その攻撃が成功する可能性は3倍も高くなるということです。同様に、ランサムウェア攻撃も主要なサイバー脅威となり、攻撃全体の21%を占めています。

特に昨今はデジタル・トランスフォーメーションによって競争上の優位性を確立する方法を模索する動きが各企業において顕著ですが、これにより今後デジタル・ビジネスに参加する従来型企業にもサイバー攻撃を受ける危険性が増加することになります。IBMの調査によると、2021年に製造業に対して行われた攻撃数は金融サービス業に対する攻撃数を上回り、最も攻撃された業界となりました。これはIBM X-Forceが同年に修復した攻撃全体の23.2%を占めています。

システム管理データセンターでは、技術者がニューラル・ネットワークとデータ・マイニング・アクティビティーを使用して複数の画面を操作します。

製造業: 2021年に最も攻撃された業界

AIとハイブリッドクラウドが生産現場に普及し、分析主導の意思決定によるリアルタイム・ワークフローが一般化するにつれて、ハッカーや不正行為者にとっては攻撃対象が新たに増えていくことになります。

「ハッキング攻撃が1回でも成功すれば、あなたの会社は危険な状態になります」と、Doosan Group企業デジタル戦略責任者兼Doosan Digital Innovation社最高執行責任者の執行バイス・プレジデントのRobert Oh氏は述べています。Doosan Digital Innovation社(DDI)は、主にDoosan GroupにITやDT関連の製品を提供している企業です。「他にも、クリックしてはいけないリンクを従業員がクリックしてしまった、などの不注意によるアクションが1回でもあれば、やはり会社を危険に晒してしまいます。また、一度侵入経路が開かれて攻撃者の侵入を許してしまうと、ほとんどの企業は侵入されたことに1か月以上も気づきません。これだけの期間があれば、相当の被害を受けてしまいます」

IBMとの協業で、24時間リアルタイムで正確に世界全体を把握できるようになりました。

Robert Oh氏
執行バイス・プレジデント -Doosan Group企業デジタル戦略責任者兼Doosan Digital Innovation社最高執行責任者

プロジェクト開始から

1年未満

で統合型のグローバルなセキュリティー・インフラストラクチャを構想して展開

SOARを使用して脅威への対応を迅速化して

~ 85%

対応時間を短縮

文化を変える

2021年初頭、Doosan Groupの企業デジタル戦略責任者の執行バイス・プレジデントのOh氏は、DDI社のCOOにも任命されました。この任命を受けて、Oh氏は効果的で包括的なサイバーセキュリティー・プログラムこそがあらゆるデジタル・トランスフォーメーションの取り組みの基盤であるべきであると考え、セキュリティー環境の変革とその導入方法の検討に入りました。幸いなことに、新しい役職に就いたOh氏は、DDI社だけでなくDoosan Group全体のデジタル・トランスフォーメーションのジャーニーを指揮する責任者でもあります。

「私がトップ・エグゼクティブ・チームに最初にお伝えしたのは、デジタル・トランスフォーメーションへの投資を保護することの重要性でした」とOh氏は回想します。「そして、ご想像のとおり、私たちが考えているセキュリティー体制の強化をチームに同意してもらうには、ある程度の説得が必要でした。やはり、セキュリティーはいつも万全だと考えられがちです。何も悪いことは起きなかった、だからこれからも悪いことは起こらないだろうと。しかし、だからこそセキュリティーはDoosan Group全体の今後の成功を左右する重要な要素であると、チームに熱く語りました。セキュリティーは私たちの変革の一部ではない、基盤なのだと説得したのです」

特にOh氏が考えていたのは、Doosan Groupをよりプロアクティブでグローバルな視点のセキュリティー体制に移行させることでした。それまでの同社のセキュリティー対策は事業単位や地域レベルで管理されていたため、セキュリティー・チーム間のコラボレーションがやや非効率的でした。

「Doosan Groupは、世界40カ国で事業を展開しています」と、Oh氏は補足します。「これほど大規模な環境では、全従業員に十分なセキュリティー教育を施している時間はありません。そのため各種のポリシー、プロセス、プロアクティブなテクノロジー・イネーブラーなどを採用することで、全従業員のセキュリティー環境を事前に整えておく必要があります」

さらに同氏は、「当社のグローバル・セキュリティー・チームの全員が、当社の管理しているすべてのエンドポイントを、同一の統合ビューで視認できる環境を求めていました。つまり、グローバルで実用的なリアルタイムの可視性を実現する環境を構築したかったのです」と続けます。

中国、日本、韓国、台湾などの各国での人間の活動を示す街の灯りを映す宇宙から見た夜のアジア。地球の3Dレンダリング、NASAによる画像から

グローバルに考えて、ローカルで保護する

Oh氏が認識しているように、40か国全体でセキュリティー・ポリシーを標準化して一元化することは簡単な作業ではありません。「まずチームには、『これから皆さんは、一生に一度の冒険を体験しようとしています』と伝えました」とOh氏は回想します。「世界規模で働き方に影響を与えるほどの変革の機会は滅多にありませんが、適切なサポートさえあればこのような冒険も予測しやすいものにできると考えたのです。そして私たちは、IBMにサポートを依頼することに決めました」

最初のステップとして、IBM Security® X-Force®チームはDDI社で確立された様々なプロセスをリモートで分析して、可視性を改善できる領域を特定しました。その後、DDI社のセキュリティー担当者はオンサイトのIBM Security X-Forceコンサルティング・チームと連携して、同グループのグローバル・ネットワークの成熟度をより詳細に分析しました。その結果得られた情報をもとに、合同チームは各種の推奨事項をまとめ、セキュリティー・システムをさらに強化するとともに、業界で受け入れられているベスト・プラクティスに沿ったグローバル・ガバナンスの促進に取り組みました。

この取り組みの一環として、DDI社とIBMのチームは、セキュリティー・インフラストラクチャー内で働くDoosan社のスタッフの適切な役割と責任を特定しました。また合同チームは、この新しいセキュリティー体制のキャパシティー計画立案に取り組むと同時に、セキュリティー保護の取り組み強化に役立つユースケースとインシデント対応ランブック・オプションを併せて特定しました。

さらにチームは、各地のセキュリティー・オペレーション・センター(SOC)を統一されたグローバルなSOCに統合すれば、Doosan Groupがより良いサービスを受けることができると判断しました。これを受けて同グループの監視戦略が緊密に統合されて標準化されたことにより、同グループはグループ共通のパフォーマンス指標を確立できるようになっただけでなく、事業所や地域間でより簡単に指標を調整できるようにもなりました。

この結果に自信を持って、DDI社は推奨されるセキュリティーの改善を進めました。IBM Security X-Forceチームが監督する新しいグローバルSOCは、「フォロー・ザ・サン」モデルの下で24時間体制の監視と保護を実行しています。Doosan社のグローバル・インフラストラクチャーのセキュリティー担当者は、世界3カ所のIBMサイトに常駐して24時間体制のローテーションを組み、一日のうちで最もアクティブな地域に合わせてMDRサポートを調整しています。

さらにグローバルSOCソリューションにより、DDI社はIBMの業界エキスパートやセキュリティー・コンサルティング・サポート、さらには最新のグローバル脅威インテリジェンスにいつでもアクセスできます。このナレッジ・プールは定期的に更新されているため、DDI社とDoosan Groupはこのナレッジ・プールを活用することで最新の脅威ベクトルに対する保護を強化でき、特に製造部門を標的とした攻撃について有益な情報を得られます。

DDI社とIBMのチームによるグローバルな変革により、私たちは潜在的な脅威を検出して対応する能力、文化、さらにデジタル・トランスフォーメーションへの心構えが変わりました。

Robert Oh氏
執行バイス・プレジデント -Doosan Group企業デジタル戦略責任者兼Doosan Digital Innovation社最高執行責任者

グローバルSOCの運用を管理するために、DDI社はIBMと協力してコア・セキュリティー・インフラストラクチャーを更新しました。同チームは、Cybereason EDRを展開してEDRを統括することで、同社のプロアクティブなSIEMの取り組みを強化しました。EDRソフトウェアは、潜在的な脅威の迅速な特定、対応、修復を可能にします。またIBMは、IBM Cloud Pak® for Securityで提供されるIBM Security QRadar® SOARテクノロジーも統合しました。これにより、Cybereason EDRソリューションでオープン・プラットフォームの利点を活用して、脅威への対応をAIベースで自動化することにより合理化を進めました。

「SOARを導入することで、従業員の貴重な時間を割くことなく、脅威の誤検知を解決できるようになりました」と Oh氏は説明します。「これは当社のグローバルSOCと一体で運用しているため、従業員は本来の業務に集中できるようになりました。そして、システムが実際に問題を発見した場合、私たちは機敏かつ確信を持って対処できるのです」

Doosan社は企業としての継続的な成長や成熟を遂げるだけでなく、刻々と変化する環境にも確実に対応するために、IBM X-Forceのアドバイス・エンゲージメントを活用して、セキュリティー戦略、ガバナンス、メトリック、運用モデルを継続的に最適化しています。「当社のセキュリティー体制は変化しました」とOh氏は付け加えます。「DDIとIBMのチームによるグローバルな変革により、私たちは潜在的な脅威を検出して対応する能力、文化、さらにデジタル・トランスフォーメーションへの心構えが変わりました。」

X-Force Threat Intelligenceのコントロール室

脅威には即座に対応

グローバルSOCが稼働するようになったことで、Oh氏もDoosan社も、将来と現在に向けてより良い準備ができていると感じています。

40か国にまたがるDoosan社の従業員の1人が、誤って悪意のあるリンクをクリックしたと想像してみてください。ランサムウェアは、たちまちその従業員のハード・ドライブの暗号化を開始します。でもご安心を、Doosan社の新しいEDRソリューションは3層のインシデント検出を実行するため、プラットフォームはすぐに疑わしい暗号化処理を検出し、関連するハード・ドライブ・セクターを即座に隔離します。

同時に、自動化されたセキュリティー・プロトコルがIBM Security Managed Detection and Responseチームに通知します。通知を受けたIBMチームはこれが実際にランサムウェアによる攻撃であったことを確認すると、オンサイト・スタッフと連携して影響を受けたハード・ドライブを再フォーマットし、迅速にオンラインに戻すことでビジネスの中断を最小限に抑えます。

より迅速なアクションで被害を最小限に

IBMのテクノロジーとチームによるグローバルなリアルタイム監視により、DDI社は潜在的なセキュリティー・インシデントが発生したときにもすぐに対応できるようになりました。「おかげさまで順調に対応できています」とOh氏は言います。「統合型のEDR/MDRにより、毎月大量の潜在的な脅威に対処しています。また多くの潜在的な攻撃にもすべて対処していますが、ビジネスを中断することは一切ありません」

さらに同氏は、「もちろん、 SOARも重要な役割を果たしています。AIベースのパターン・マッチングが事前に自動的に処理されるため、インシデントの検出、解読、対処が大幅に高速化され、応答時間が約85%短縮されています」と述べています。

グローバルSOCは同社のセキュリティーの自動化を実現するだけでなく、セキュリティーの正常性と運用状況を一元的に可視化しています。「当社は40か国で事業を行っているため、グローバルな視点を持つことが重要です」とOh氏は付言します。「IBMとの協業で、24時間リアルタイムで正確に世界全体を把握できるようになりました。つまりすべてのエンドポイントと、すべてのシステムを見ることができるのです。そのおかげで、チーム間のコラボレーションがはるかに効率的になりました」

暗いサーバー・ルーム内の赤い光のパネル

Doosan社のコア・ビジネス・コンピテンシーは、サイバーセキュリティーではありません。そのため、グローバル企業と協力してDoosan社のサイバーセキュリティーの文化と姿勢を変革することは理に叶っています。

Robert Oh氏
執行バイス・プレジデント -Doosan Group企業デジタル戦略責任者兼Doosan Digital Innovation社最高執行責任者

このように標準化された取り組みにより、一貫性のある組織化された脅威調査が可能になり、保護と監視が強化されるとともに、報告、追跡、監査の各プロセスが簡素化されます。

DDI社がIBMと協力する理由は、セキュリティー・アーキテクチャーやグローバルSOCを更新することでセキュリティー機能を強化するためだけではありません。「このプロジェクト全体に費やされた時間は、実に短いものでした」とOh氏は説明します。「プロジェクトの開始前に、『1年以内にこれを成し遂げたい』と言いました。グローバル・チームの揺るぎないコミットメントとIBMの専門知識のおかげで、私たちは本当にやり遂げることができたのです」

Oh氏はIBMチームが提供するソート・リーダーシップも認めており、「Doosan社のコア・ビジネス・コンピテンシーは、サイバーセキュリティーではありません。そのため、グローバル企業と協力してDoosan社のサイバーセキュリティーの文化と姿勢を変革することは理に叶っています。だからこそ私たちは、セキュリティーに詳しく、日常的な脅威に対処する技術と知識の習得に集中できるグローバル・リーダーと契約したのです」

さらに、DDI社がこのプロジェクトの完了後にデジタル・トランスフォーメーションの取り組みを進めるにつれて、同社の従業員の間でこれまでより広範囲にセキュリティー文化が変化していることが確認されました。「私たちはこれまで以上にセキュリティーに注意を払っています」とOh氏は述べています。「今では社内でフィッシング・メール・キャンペーン・トレーニングを何度も行っています。定期的に偽のフィッシング・メールを送信して、世界中の従業員をテストしているのです。この1年間、セキュリティー変革を展開していく中で、このテストで偽のリンクをクリックする率は著しくかつ継続的に低下しています。また、不注意でパスワードを漏らしてしまうユーザーの数も劇的に減少しました」

ノートPCにログインし、画面上のセキュリティー・キー・ロックのアイコンが映ったスマートフォンを手元に持っている、ベンチに座っている若いビジネス女性

冒険は続く

「IBMと協力することで、私たちのジャーニー、というより冒険は、これまでより予測しやすくなりました」と、Oh氏は付言します。「IBMの取り組みは、あいまいさを減らし、アライアンスを構築し、アジャイル手法を採用するという当社の3A戦略と実によく適合しています。そして、何を強化するかではなく、次にどこへ行くかを一緒に考えることができるようになったと思います」

DDI社は次のステップとして、セキュリティー構成をさらに強化することに焦点を当てています。一例として、同社ではゼロトラスト・セキュリティーの原則を幅広く適用することを検討中です。さらにグローバル・ネットワーク境界の保護を完了した同社では新しい認証レイヤーを作成しており、ユーザーはこのアーキテクチャー内を移動することになります。

「そのため、より重要なインフラストラクチャーやサーバーにアクセスするときは、追加の認証が必要になります」とOh氏は説明します。「これにより、はるかに安全で、より管理されたゼロトラスト環境が作成されます」

また、DDI社は中核となるセキュリティー・アーキテクチャーの強化を続ける一方で、より広範なデジタル・トランスフォーメーションを前進させるために数々の準備を整えています。Oh氏は次のように説明します。「現状に対処するための策はすべて取りましたので、今は未知の可能性について考えています。テクノロジーを活用して製造現場を効率化するにはどうすればよいか?新しいセキュリティー機能を、当社の製品にどのように組み込むか?この変革をどのように利用すれば、これまで不可能と思われていた新しいビジネスを生み出すことができるか?そのようなことを考えています」

Doosan社のロゴ

Doosan Digital Innovation(DDI)について

DDI(外部リンク)は、主に製造業の複合企業であるDoosan Group(外部リンク)へのITおよびDT製品の提供を担っています。創業1896年、歴史あるDoosan Groupは世界40か国で事業を展開しており、現在では同グループとDDI社は両者共に韓国のソウルに本社を置いています。

製品・サービス
IBM Cloud Pak® for Security
IBM Security® QRadar® SOAR
IBM Security Managed Detection and Response
IBM Security X-Force®

次へ: ➔

お客様事例のPDFを見る(1 MB)

夜のオフィスで仕事をする女性

X-Force Threat Intelligence Index 2023

絶え間ない変化の時代における新たな脅威との闘い

レポートを読む

ノートPCを見つめる男性

ランサムウェア2022決定版ガイド

ランサムウェアの仕組み、近年急増している理由、組織がランサムウェアを防御する方法について学びます。

PDFを見る(966 KB)

セキュリティーの運用ルームで話す女性

エンタープライズ向けセキュリティー・ソリューション

IBM Securityはエンタープライズのサイバーセキュリティー・ソリューションにより、不確実性に直面するお客様の成功を支援します

詳細はこちら

© Copyright IBM Corporation 2022. 日本アイ・ビー・エム株式会社 〒103-8510 東京都中央区日本橋箱崎町19-21

2022年10月

IBM、IBM ロゴ、ibm.com、IBM Cloud Pak、IBM Security、QRadar、およびX-Forceは、世界の多くの国で登録されたInternational Business Machines Corporationの商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点でのIBMの商標リストについては、「著作権および商標情報」に関するWebサイト(www.ibm.com/legal/copytrade.shtml)をご覧ください。

本資料は最初の発行日の時点で得られるものであり、随時、IBMによって変更される場合があります。すべての製品が、IBMが営業を行っているすべての国において利用可能ということではありません。

記載されている性能データとお客様事例は、例として示す目的でのみ提供されています。実際の結果は特定の構成や稼働条件によって異なります。本書に掲載されている情報は現状のまま提供され、第三者の権利の不侵害の保証、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべての明示もしくは黙示の保証責任なしで提供されています。IBM製品は、IBM所定の契約書の条項に基づき保証されます。

適切なセキュリティーの実施について: ITシステム・セキュリティーでは、エンタープライズ内外からの不正アクセスに対して防止、検知、対応を行い、システムや情報を保護することが求められます。深刻なネットワーク障害を経験した後、トルコのIsbank社は、ビジネスのレジリエンシーを確保するために自社のサーバー、アプリケーション、データを新しいデータセンターに移行する必要があり、移行中のネットワーク運用は継続する必要がありました。完全に安全と見なすことができるITシステムまたはIT製品は存在せず、また単一の製品またはセキュリティー対策が、不正アクセスを防止する上で、完全に有効となることもありません。IBMのシステムおよび製品は、包括的なセキュリティーの取り組みの一部となるように設計されており、これらには必ず追加の運用手順が伴います。また、最高の効果を得るために、他のシステム、製品、またはサービスを必要とする場合があります。IBMは、何者かの悪意のある行為または違法行為によって、システム、製品、またはサービスのいずれも影響を受けないこと、またはお客様のエンタープライズがそれらの行為によって影響を受けないことを保証するものではありません。