エクスポージャー管理はプロアクティブなセキュリティ対策の未来

毎週月曜日、Tenable のサイバーエクスポージャー管理アカデミーでは、脆弱性管理からサイバーエクスポージャー管理への移行に必要な、実用的で現実的なガイダンスを提供しています。 この投稿では、Verizon のレディネス & プロアクティブセキュリティ担当シニアディレクターである Jorge Orchilles 氏が、自身によるエクスポージャー管理への移行を推進させた考え方を詳しくご紹介します。 サイバーエクスポージャー管理アカデミーの全シリーズはこちらからお読みいただけます。  

Verizon では、セキュリティの焦点をプロアクティブなエクスポージャー管理へと移行するにあたり、実際に悪用される可能性のあるリスクに重点を置けるよう、ツールとチームを統合しています。 一元的な戦略の下で攻めのセキュリティ機能を連携させ、悪用される可能性のある脅威に優先順位を付け、コラボレーションを促進することで、コンプライアンスに基づく修正から、リスクに基づく修正へと焦点を移しています。

ご存知の通り、 サイバーセキュリティに携わる私たちは、ほぼ毎日モグラたたき (Whac-a-mole®) のようないちかばちかのゲームを繰り広げています。 脆弱性を追い求め、「30 日以内にパッチを当てろ」、「緊急事態だ、今すぐパッチを当てろ」といった命令を出す（あるいはそれに対応する）ことに人生を費やしています。

しかし、アタックサーフェスが拡大し、攻撃者がより巧妙になるにつれ、このような事後対応型のアプローチでは不十分になってきました。 

Verizon では、企業、小売、モバイル現場の技術者などの多様なニーズへの対応が必要とされるような異種混合の環境において、異なる技術をさらに集めることは最適なソリューションではないということを認識していました。 当社は、自社の隅々までカバーできる単一の統合エクスポージャー管理プラットフォームを必要としていました。 そこへたどり着く過程で、サイロを打破し、コンプライアンス主導のフォーカスからリスクベースのフォーカスへと考え方を変えました。 

重要なのは、新しいテクノロジーを検討する前でさえ、それぞれ独自のツールや優先順位を持つ複数のチームを、共有された戦略のもとに連携させる必要があったことです。

別々のツールを一つにまとめる

セキュリティチームは常に、 アタックサーフェス管理、資産の可視化、脆弱性診断、アイデンティティエクスポージャー、クラウドセキュリティといった個別のツールの寄せ集めを、次から次へとさばいてきました。 ほとんどの企業では、さまざまなチームがツールを運用しており、そのそれぞれに独自の専門知識が必要となります。 このように分断させる目的は、適切なスキルを持った人材が適切な問題を修正できるようにすることです。 

しかし、サイロ化されたアプローチでは対応に時間がかかり、盲点が生じるため、重要な脆弱性がチームの専門外であるという理由だけで対処されずに放置される可能性があります。 サイロの中では、攻撃経路分析は行えないのです。

ただ箱をチェックするだけの仕事には携わりたくありません。 

当社は、すべての脆弱性を優先するのではなく、現実のリスクを優先したセキュリティプログラムを構築する必要がありました。 そうした取組みの中で、統合されたアプローチの価値がニッチな機能の利点を上回ることは明らかです。

そこで、こうした課題に対処するため、単一のプラットフォームである Tenable One の下での統合を選択しました。

変化に対応するための鍵: デール・カーネギーを少々

適切なプラットフォームがすべての違いを生むとはいえ、エクスポージャー管理の実装は単に技術的なものではなく、 組織的なものです。 サイバーリスク管理システムを立ち上げることは、サイロ化された主要なセキュリティ機能の所有権を移行することを意味します。そのためには、各チームがこれまでにない方法で協力し合うことが必要となる可能性があります。

たとえば Verizon では、アタックサーフェス管理は、以前は別のチームが担当していました。 今、その人たちは私のグループの一員です。 一方、Bloodhound のようなアイデンティティエクスポージャー管理ツールを運用する Active Directory チームは独立したままですが、私たちは密接に協力し合っているので、同チームはセキュリティインサイトを、懲罰的なものではなく価値あるものとみなしています。 

これまで別々のツールセットを使っていたモノのインターネット (IoT) とオペレーショナルテクノロジー (OT) のセキュリティ専門家は、今では同じフレームワークの中ですべての業務を行っています。

サイロでの作業に慣れていたセキュリティチームは、データや意思決定を共有しなければならなくなり、その適応が難しい場合もあります。 これを克服する鍵は、透明性とパートナーシップにあることがわかりました。 

要するに、デール・カーネギーを定期的に少し読むことは、ブライアン・クレブスを日課として読むことと同じくらい重要なのです。 

そのため、この移行を容易にするために、トップダウンの命令を押し付けることではなく、目標の共有、明確なコミュニケーション、およびプロセスの初期段階での価値の実証を通じて、各チームの足並みを揃えることに重点を置いてきました。 アイデンティティセキュリティ、IT 運用、クラウドセキュリティなどの分野でステークホルダーを最初から参画させることによって、変化というものが、彼らのために行われるものではなく、彼らが積極的に形成して支援するものになるようにしています。

強調しておきたいのは、これは一夜では成しえないものだということです。 

これには、上層部の賛同と入念な計画が必要でした。 これらのチームは、単に新しいツールの使用を求められただけでなく、仕事のやり方を変えるよう求められました。 その移行を成功させる唯一の方法は、このアプローチによって業務がいかに困難になるかではなく、いかに楽になるかをチームメンバーに示すことなのです。

すべてを解決しようとしない

エクスポージャー管理における最も大きな考え方の転換のひとつは、すべての脆弱性に直ちにパッチを当てる必要はないと認識することです。 確かに、このことを理解するのは難しいかもしれません。 しかし、すべてが重大だというのなら、何一つ重大ではないのです。 そうしたアプローチは、燃え尽き症候群、非効率化、そしてさらなるエクスポージャーの発生につながるだけです。 

Verizon ではそうではなく、実際に悪用される可能性があり、現実的な攻撃経路の一部をなしている脆弱性に焦点を当てます。

では、アプリケーションに致命的な脆弱性があるものの、攻撃者がその脆弱性に到達できる現実的な方法がない場合、それは本当に最優先事項なのでしょうか。 一方で、ある脆弱性が重要資産への直接的な経路を提供するのであれば、直ちに対処する必要があります。 

鍵となるのは、任意の深刻度スコアではなく、実際の攻撃シナリオに基づいた優先順位付けなのです。

経営幹部との連携

エクスポージャー管理のもう一つの重要な利点は、いかに経営幹部レベルでのセキュリティに関する会話に変化をもたらすかということです。 技術者ではないリーダーにはほとんど意味のない、脆弱性の長いリストを提供する代わりに、以下のいくつかの重要な点において明確なイメージを提示することができます。

• 何がリスクにさらされているか?
• 攻撃者はどうやって侵入するのか?
• 最も緊急で修正すべき優先事項は何か?

また、重大な脆弱性が発生した場合にも、影響を受けたかどうかを把握するために奔走する必要はありません。 それを示すデータは手元にあります。 それがエクスポージャー管理の本当の価値、 つまり、スピード、明瞭さ、そして攻撃者より先に行動する能力です。

サイバーセキュリティの未来はプロアクティブなエクスポージャー管理

エクスポージャー管理の核心は、事後対応型のセキュリティから事前対策型のセキュリティに移行することです。 それは、もはや脆弱性の修正にとどまらず、 ビジネスの文脈でリスクを理解することなのです。 

今後より多くの組織がこの方向に進む中で、エクスポージャー管理は進化し続けるでしょう。 

ベンダーの統合が進み、チームは再編され、セキュリティリーダーは、あらゆる箇所ですべてにパッチを一度に当てることは不可能な作業であることに気付いています。 

そのため、Verizon のように、産業界は本当に重要なことに集中しなければなりません。 それは、実際に侵害につながる可能性のある攻撃を防ぐことです。

そして、この移行の最先端にいる当社にとって、事後対応をやめ、戦略的リスクであるかのようにエクスポージャーを管理し始める時が来たのです。

Jorge が次に重点を置くべきことを説明します

もっと詳しく

• セキュリティ責任者のためのエクスポージャー管理戦略ガイドをご覧ください。サイバーリスク管理システムを立ち上げるための、実績のある現実的なアプローチをご紹介します。あわせて、対象範囲の設定、ステークホルダーの参画、合意形成に関するアドバイスも掲載しています。

Whac-a-Mole は Mattel Inc. の登録商標です。