Tenable ブログ
ブログ通知を受信するCISO が対策を計画する必要のあるサイバーセキュリティに関する 4 つの課題
サイバーセキュリティ戦略の改善をテーマにお届けする全 6 回にわたるブログシリーズの第 1 回目では、業界の極度にサイロ化されたアプローチへの依存がいかに安全性を低下させているかを取り上げ、CISO が対策を計画する必要のある 4 つの課題について説明します。
IT インフラストラクチャは多くの場合、企業の成長とともに拡大します。新しいツール、アプリケーション、システム、およびユーザープロファイルは、通常、戦略的検討が十分になされないまま、ニーズがある度に全体システムに追加されてしまいます。新規ツールを導入、維持するために新しいスキルが必要となる場合、組織のサイロ化が生じてしまいます。やがて、このような組織運営は全て、新しい住人が住むたびに増築を続けた住居のようにガタガタになってしまうかもしれません。
脅威は見えない隅に潜んでいます。予期しない脆弱性、年代物の技術、分散したデータセンター、不規則に広がるネットワーク、貪欲な会社関係者、そして無防備なユーザーが増え続けています。 コンパートメント化されて散在した企業の IT インフラストラクチャでは、個人はもちろんのこと、チームであってもネットワーク全体の総合的な可視化を実現することは困難です。
Cyber Exposureブログシリーズを読む(一部の記事は英語です。ご了承ください。)
CISO が対策を計画する必要のあるサイバーセキュリティに関する 4 つの課題
組織のサイバーエクスポージャーギャップを特定するための 3 つのヒント
リスクに基づいて脆弱性に優先順位を付けるための 5 つのヒント
メトリクスと成熟度:Cyber Exposureの経時的ベンチマーク
可視性をないがしろにすると、これらのサイロ化された脅威のベクトルの検出が困難になり、発見された脅威ベクトルへの対処が厳しくなります。これは利用できるツールや方策の大部分が、統合されていない特定の懸案事項に対処するためにのみ設計されているからです。組織全体でセキュリティツールがでたらめに導入している事案をよく見かけます。運営、アプリケーションセキュリティ、DevOps、ネットワークセキュリティ、機械学習、ハイパフォーマンスコンピューティング、セキュリティオペレーションセンター (SOC)、監査とコンプライアンスのチームがそれぞれ独自のツールを追求し導入している事案もよく見かけます。そして市場は十分過ぎるほどのセキュリティツールで溢れています。RSA Conference 2018 への出展企業は実に 600 社以上にも上りました。
こうした問題は目新しいものではなく、アタックサーフェスが拡大し続けている今、これまでになく喫緊の課題となっています。私たちは、企業全体で使用されているあらゆる隔離されたアプリ、分散したコンピューティングやストレージプラットフォームの保護における課題についてITおよびサイバーセキュリティの専門家からよく耳にします。オペレーショナルテクノロジー(OT)およびモノのインターネット(IoT)デバイスなどのインターネットに接続されたソリューションは、多くの場合、IT組織の支援の外にあるため、独自の問題をもたらします。
このような組織では、API を介してアプリケーションを統合し、たくさんのクラウドを 1 つの管理プラットフォームの下に置くことで、それらを一元管理しようとするケースがほとんどです。ですが、このアプローチも一時しのぎに過ぎません。ネットワーク全体の可視性を重視し、その中に潜んでいる可能性のある脅威に細かいインサイトを適用することで組織が優先順位の高いものから順に効果的に対処できるようにする総合的なサイバーセキュリティ戦略に代わるものではないのです。当社ではこのようなアプローチを Cyber Exposure と呼んでいます。
Cyber Exposure は、デジタル時代におけるサイバーセキュリティリスクを管理し測定する新たな分野です。Cyber Exposure は、セキュリティを静的でサイロ化した可視性から最新のアタックサーフェイスにおける動的で総合的な可視性に変換します。これは、最新のアタックサーフェス全域に対応するサイバーセキュリティ戦略を構築するための基盤となります。
CISO が対策を計画する必要のある 4 つの課題
Cyber Exposure の規律を使用して総合的なサイバーセキュリティ戦略を構築すれば、いつの時点でも、貴社が抱える以下の 4 つの課題にどのような対策を講じるべきか、その答えが分かります。
- セキュリティ体制はどうなっているか? この質問に答えるには、クラウドリソース、コンテナ、産業用制御システム、モバイルデバイスなど、IT部門が確認していない組織の攻撃対象領域のあらゆる側面を把握する必要があります。そのためには、自社に対する特定の脅威が存在する場所のインベントリを作成する必要があります。たとえば、組織がパッチの適応に特に熱心であれば、7年以内にシステムにパッチを適用していない企業と比べて、最新のWindowsの脆弱性は大きな懸念事項ではないでしょう。サイバーエクスポージャーがどこにあるのか、または、どこにある可能性が高いのかを把握することにより、リスクの全体像が明らかになります。
- どの分野を優先させるべきか?この質問への答えは、問題が悪用される可能性を理解するための脅威に対するインテリジェンスと、ビジネスにおける資産の位置付けを理解するための資産の重要性とを組み合わせて導き出す必要があります。営業努力、リソース、および予算を最適化するためには、ビジネス状況を考慮に入れて脆弱性を効果的に優先順位付けることが必要です。これにより、労働、罰則、時間、回復、評判の観点から最も貴社に被害をもたらすと考えられる脆弱な分野の保護に焦点を当てることができます。また、チームは影響を受ける資産がビジネスにとってどの程度重要か、そして特定の脆弱性が悪用される可能性はどの程度あるのかに基づき、脆弱性に優先順位を付けて対応することが可能になるので、アラート疲れの軽減にもつながります。
- 脅威への露出を低減させていくためにはどうすればよいか?この質問に答えられるかによって、お客様の理解度を測ることが出来ます。営業努力を測定するための指標と KPI を特定する必要があります。このような指標は、ビジネスユニット、地域、資産の種類ごとに目に見える形にすることが必要です。これによって、お客様のエクスポージャープロファイルが 1 ヶ月ごと、四半期ごと、1 年ごとにどのように変化するかを理解し、貴社のサイバーセキュリティへの投資に見合う結果が出ているかを、実務部隊の同僚や経営幹部に理解してもらうことを目標とします。
- 同業他社とどのように比較すればよいか?この質問は、社内の状況だけに目を向けるのではなく、お客様のサイバーセキュリティのプラクティスが同業他社や他の業界企業と比較してどうであるかを理解するのに役立ちます。貴社が同業他社や最高クラスのセキュリティに対してどこにランク付けされているかは、各取締役会で今まで以上に戦略的に議論しなければならない重要なトピックであり、取締役会が適切なリスク監視を行う受託者責任を確実に全うすることにつながります。サイバーリスクは他のビジネスリスクと何ら変わらず、同じ方法で管理され、測定される必要があります。
これら 4 つの課題に対して的確に対応する能力は、トータルでリスクにさらされるレベルとサイバーセキュリティ対策の有効性を把握する上で不可欠です。しかし、IT インフラストラクチャが重度にコンパートメント化されている場合は、より総合的な戦略に移行するためにどこから始めれば良いかを見極めることすら気が萎えると感じるでしょう。
今日から導入できる 3 つのサイバーセキュリティのプラクティス
今日から始められる、包括的なサイバーセキュリティ戦略への移行を開始する際に役立つ 3 つのヒントをご紹介します。
- フィッシング詐欺から魚に至るまで、より深く広い範囲で脆弱性を見つけ出す必要性があります。次の攻撃は、認知していない予期せぬ方向から来る可能性があります。インターネットに接続したセンサー経由でカジノにハッキングして 10GB のデータを盗みとった悪名高いカジノの水槽ハッキングは、その完璧な例です。実に様々な IoT デバイスが急速な広がりを見せる中、それに従い悪人が侵入する機会も増大するので、セキュリティチームは脆弱性情報を常に最新の状態に更新する必要があります。しかしながら、IoT デバイスの他にも光を当ててその脅威から保護すべき死角が存在します。クラウドサービスやクラウド環境、コンテナ、ビデオ監視システム、産業用制御機器、POS 端末、HVAC システム、そしてその他のインターネットに接続されたシステムで、通常 IT/SecOps チームでは扱わないものにも注意をしてください。例えば、Tenable の研究者は 9 月に、インターネットに接続された何十万台ものビデオ監視システム用カメラに影響を与える可能性を持つ脆弱性Peekaboo を発見したことを明らかにしました。お客様のセキュリティチームがあらゆる場所をしっかりと監視し、新しい場所に現れる脆弱性をいち早く検出するために設計されたツールを備えていることを確認する必要があります。
- すべての資産が同じように作られている訳ではありません。脅威に対し強硬な姿勢で適切に対応するためには、どの資産が事業にとって不可欠であるかを知る必要があります。お客様の会社の CFO がお使いの iPad は、受付で訪問者がサインインする際に使用する iPad よりも価値の高いターゲットになり得ます。まずは、お客様の最重要資産に重点が置かれていることを確認してください。この機会に、各資産の重要度を判定し、それを応答時間別にランク付けしましょう。そしてこの情報を定期的に更新してください。重要度に基づいた資産のインベントリを作成するには資産のタグ付けから始めることをお勧めします。資産の重要度評価の一環として、GDPR、HIPAA、PCI などのコンプライアンス要件を含めることを覚えておきましょう。
- 修復に優先順位を付ける。毎年何千もの脆弱性が公開されていますが、実際に悪用されるのはそのうちのわずか数パーセントです。ですので、現在悪用されている脆弱性がどれであるかというインサイト、そして近い将来にどの脆弱性が攻撃対象になり得るかを早い段階で警告することが必要になります。このような情報を利用できれば、セキュリティチームは、資産の重要度、脅威に対するインテリジェンスおよび確率分析に基づいて、脅威に優先順位を付けて対処することが可能となります。
もっと詳しく
Cyber Exposureブログシリーズを読む(一部の記事は英語です。ご了承ください。)