IT の完全な可視化にはビジネスリスクの文脈が必要

セキュリティチームにとっての究極の目標の 1 つは、すべての IT 資産について包括的な最新の詳細情報を常に得られるようにすることです。 そのためには、まず「可視化」が真にもたらすものを理解する必要があります。可視化は、単に環境内の資産を特定して、対処する必要がある課題を判別するだけのものではないのです。

情報セキュリティフレームワークの原点や、過去 20 年以上にわたるベストプラクティスを振り返ってみると、最初のステップは「検出」、「特定」、「理解」などであることがわかります。 これらは総じて、何を保有しているかわからなければ保護できないことを示しています。 よりはっきり言うと、何を保有しているかわからなければ、自社環境内のどこをどのように保護すればよいのか適切な判断ができないということです。 成功を収めているセキュリティプログラムでは、企業のインフラ全体がどのような資産で構成されているかを幅広く可視化することが、重要な基本要素となっています。

この問題は広く認知されているにもかかわらず、現在も、ほとんどのセキュリティ担当者は完全な可視化を実現することは非常に難しいと感じています。 セキュリティチームは、さまざまなツールを実装し、資産管理システムやその他の信頼できる情報源からのデータセットを統合するために多くの時間を費やしています。それでも、自社環境を本当に理解していると自信を持って言えるチームはごく少数です。 その理由は何でしょうか。 ほとんどは、自社環境を理解しようとする際に、以下の 2 つの重要な質問に答えていないことが原因です。

• 保有する資産すべてを探して特定しようとしていますか? わかっている資産だけを対象としていませんか?
• 検出されたセキュリティ上の問題、リスク、企業への影響に関連して、資産の文脈を把握していますか?

何よりもまず、完全な可視化の実現とは、自社環境のすべての技術的な資産を特定して評価することを意味します。これは、ほとんどの IT チームやセキュリティチームが熟知している「把握が容易な」資産だけでなく、すべての資産が対象です。 サーバーや、ワークステーション、ネットワークインフラを支える機器、その他の従来型の IT デバイスをまず網羅するのは正しい方法です。しかし、その他の資産が見逃されたり完全に無視されたりすることも珍しくありません。 他にどんな資産があるのでしょうか。 担当チームによって、以下の資産が特定されているかどうかを確認してみてください。

• データベース
• ウェブアプリケーション
• OT / 産業用制御システム / SCADA / 産業用 IoT デバイス
• クラウドインフラ
• 仮想化プラットフォーム
• コンテナ
• クラウドオーケストレーションサービス
• インフラのコード化 (IaC) 設定
• Active Directory / 認証情報 / グループ
• 公開されているホスト / ホスト名 / レコード

このリストに挙げられる資産は他にもまだあります。 これらの資産を特定することは、難しすぎると思われるかもしれません。しかし、上記の資産はほとんどのビジネスにとって非常に重要なものであり、サイバー攻撃の標的となるリスクがあります。侵害されれば、企業の財務や評判が影響されます。セキュリティチームが、可視性を向上して自社環境をより詳細に理解できるようにするための有意義な第一歩を踏み出すためには、熟知している従来型の資産に加えて、これらのすべての資産についても把握する必要があります。 

Tenable では、このような資産を安全かつ適切に特定し、そのデータを一元的に集約できるようにするために、Tenable のプラットフォームで使用できるツールを継続的に拡充しています。 脆弱性やその他のセキュリティリスクを見つけるためには、まずその対象を特定して把握する必要があるからです。 くまなく可視化することで、自社環境で最もリスクが高い場所を把握できるようになり、最も重要なリスクを軽減するために必要な措置を講じることが可能になります。

企業によっては、すでに周到に資産インベントリデータを収集し、自社環境の様相をしっかりと把握できるようになっているかもしれません。 しかし、まだ別の落とし穴が潜んでいます。 IT 環境には異種データが大量に存在し、しかも通常は複数の異なるリポジトリに拡散しています。それらのデータをより有効に分析するには、情報を一元的に集約し、さらに収集した情報を標準化する方法も見つけなければならないため、非常に多くの変換作業を行う必要があります。 すべての資産に IP アドレスやホスト名が付いているわけでもなく、コードリポジトリの識別子とコンテナインスタンスの識別子は同じではありません。ウェブアプリケーションはドメイン名や URL で特定できるかもしれませんが、産業用プログラマブルロジックコントローラー (PLC) は既知のネットワークに接続されていない場合もあります。 

多種多様で複雑なのは、基本的な資産の識別子だけではありません。 資産に応じて、検出されるセキュリティ上の問題や脆弱性もすべて多種多様です。サーバーでは CVE 番号が割り当てられた脆弱性を容易に特定できるかもしれません。しかし、IaC の設定ミスには標準的な識別子はありません。 SQL インジェクションやクロスサイトスクリプティングのようなウェブアプリケーションの脆弱性は、一貫して個別に特定できる OS の脆弱性というよりも、テクニックです。 また、Active Directory のセキュリティ問題の根源には、AD の企業全体での機能とアクセス検証方法の問題があり、これは未適用パッチを当てることで修正できるような問題ではありません。 

セキュリティチームが自社環境内のリスクを把握して、どの場所にあるどのリスクを最初に軽減するかを決定しなければならないときに、同種のもの同士 (リンゴ 対 リンゴ) で比較できなければ、足掛かりすらつかめません。 実際には、このような異種のデータの違いは膨大で、「リンゴ 対 ミカン」どころではなく、「リンゴ 対 宇宙船 対 ペンギン 対 形容詞」のようなものです。 このような状況では、検出されたセキュリティ上の問題とともに資産の背後にある文脈を理解することが鍵となります。 検出されたそれぞれの問題がビジネスにもたらすリスクを把握するためには、すべての情報を収集し、一貫した測定可能な方法で標準化する必要があります。 これにより、さまざまなリスクファクターを相互に関連付けられるようになり、最もリスクにさらされている場所とリスクの程度、軽減のための必要な処置について、適切な判断が可能になります。 しかし、現状ではデータの収集は困難です。しかも、何とか収集できたとしても、真に重要な部分に焦点を絞れなければ先には進めません。 大量のスプレッドシートやデータベースを前に、またも、何を最初の足掛かりにすればよいのかと自問することになります。

セキュリティ戦略のアドバイスをお求めですか? Tenable の 2021 Threat Landscape Retrospective をご覧ください。これは、セキュリティ プロフェッショナルが今すぐセキュリティを改善するために使用できる昨年の脅威の状況の包括的な分析を提供します。また、ウェビナー「最新のアタックサーフェス管理: 環境内で最もリスクが高く、優先的に修正する必要があるものを特定して伝える (Exposure Management for the Modern Attack Surface: Identify & Communicate What's Most at Risk in Your Environment and Vital to Fix First)」を視聴してください。