NSA reveals how it beats 0-days(SophosNaked Securityより)
世界最大級のセキュリティイベントRSAカンファレンス。1991年の初回開催以来、多くのセキュリティベンダやIT企業が参加し、セキュリティの課題解決のためのセッションや最新の技術動向が紹介されてきた。現地時間4月16日から20日かけて米国で開催されたRSA Conferrence 2018(USA2018)のコンテンツの一部は公式サイトでも閲覧できるが、米国National Security Agency (NSA/アメリカ国家安全保障局)のテクニカルディレクターであるDave Hogue氏のセッションも開かれている。
機密保持が最重要視される国家機関というレベルでのセキュリティ運営に携わる同氏のセッションの様子を参加者のMaria Varmazis氏が英セキュリティベンダーSophosのオウンドメディア「Naked Security」に寄稿している。Dave Hogue氏はNSAでは攻撃の大半がフィッシングや脆弱性を狙った攻撃であることを明かしており、これに対応するためにエクスプロイトや脆弱性へのパッチ対応のスピードをどんどん高め、この2年間ではゼロデイエクスプロイトによる侵入はゼロになったことを紹介している。従来24時間以内としてきたものが、現在では、エクスプロイトや脆弱性が公開されると同時にその対応を図れる体制構築ができている。その一方で攻撃者も、脆弱性情報が公開されてからしかけるまでの時間が短縮しているという。また、大半の攻撃者が古い脆弱性やトリックに依存していることも紹介しており、その割合は93%でAPTや洗練されたゼロデイ攻撃の割合は少ない。
NSA NCTOCのオペレーションプリンシプル(NSA公式サイト内)
NSAのセキュリティオペレーションセンター(SOC)のベストプラクティスは、公式サイトに5箇条で掲載されているが、ディフェンス領域の統合(Establish a defendable perimeter)、全ネットワーク領域の可視化(Ensure visibility across the network)、包括的な脅威インテリジェンスや機械学習の活用(Use comprehensive threat intelligence and machine learning)と並び、"Harden to best practices"が掲げられている。脆弱性へのパッチの適用のスピードアップは、この既に受け入れられている基本的な対策の強化(Harden to best practices)に該当する。
基本が大切なことは森羅万象のコンセプトだが、この基本的な対策を強化するということがセキュリティ対策で大きな防御効果をもたらしたという例だ。一般組織においては、脆弱性情報が公開されたとしても、アップデートの影響の考慮など慎重な対応を図りながら更新を行う。非常にデリケートな判断を伴いながら、パッチ適用をしなければならない大変な業務だ。しかし、企業を狙う標的型攻撃の比率も増加するなか、いかに迅速にアップデートを行える体制を構築していくかが課題になりそうだ。また休日や連休は対応が後手に回ることも多い。組織内でのプロセスなど運営方針を改めて確認しておくことが求められる。
