The Hacker Newsは1月30日(現地時間)、「Top Security Posture Vulnerabilities Revealed」において、継続的かつ定期的にセキュリティ体制を評価することの重要性を訴えた。回復力のあるセキュリティ体制を構築するには、既存の脆弱性を特定することから始まる。しかし、組織の脆弱性の可視性について尋ねたところ、可視性を持っていると回答したセキュリティ専門家は半数にも満たず、組織のおおよそ半数(51%)は脆弱性をそれなりにしか把握できていないことが明らかになっている。
組織が抱えている脆弱性トップ6とは
The Hacker Newsは定期的なセキュリティ体制の評価中によく見つける上位6つの組織の脆弱性と、その潜在的な影響を次のように挙げている。
検出と監視の欠陥
検出および監視システムが不適切な場合、組織は長期間にわたり攻撃に気づかず侵害され続ける危険性がある。高度な侵入検知システム(IDS: Intrusion Detection System)やセキュリティ情報およびイベント管理(SIEM: Security information and event management)ソリューションなどの適切な検知システムがない場合、脅威が長時間存在することになり、データ漏洩のリスクが増大する。
ポリシーと手順の欠如
セキュリティリスクを効果的に管理するため、組織にはセキュリティポリシーと手順が必要。これらを整備しない場合、部門間で一貫性のないセキュリティ対応、インシデント対応能力の低下、規制遵守能力の不足、評判への影響増大など、多くの問題が生じることになる。組織はセキュリティポリシーを文書化し、すべての従業員に確実に教育する必要がある。
不適切なテストの仕組み
セキュリティ体制とインシデント対応計画を定期的にテストすることは必要不可欠。テストにより脆弱性の特定だけではなく、既存のセキュリティ機能の有効性も評価できる。評価のためにサードパーティーの専門家と協力できるとなおよい。
トレーニングによるサイバー意識の向上
従業員のトレーニングが不十分な場合、誤って脆弱性が生じる可能性がある。組織は従業員に継続的なサイバーセキュリティトレーニングを提供し、専門能力開発と認定を奨励、セキュリティ意識を組織の文化として醸成することが重要。
フレームワークの採用と実装
サイバーセキュリティフレームワークを採用して遵守することは、セキュリティに対する構造化されたアプローチを目指す組織にとって重要。フレームワーク選択のプロセスには、組織固有の要件とリスク許容度の評価などが含まれる。
リスクの理解
効果的なリスク管理には、組織のリスクを理解してサイバーセキュリティ戦略に統合することが不可欠。組織が受け入れられるリスクの程度は組織ごとに異なる。リスク評価に基づいたセキュリティ対策の優先順位付けでは、組織のリスク許容度に合わせて調整することが重要。
脆弱性を軽減する方法
The Hacker Newsは、上記のような組織の脆弱性を軽減するために、脆弱性の可視化を進めることが重要と指摘している。組織の脆弱性を特定し、優先順位を付けて効果的に軽減を試みることが推奨されている。また、NISTサーバーセキュリティフレームワーク(CSF: Cyber Security Framework)、CIS(Center for Internet Security) Controlsなど業界で認められたセキュリティフレームワークを実装することも推奨される。
なお、経済産業省と情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)は共同で「サイバーセキュリティ経営ガイドラインと支援ツール(METI/経済産業省)」を公開しており、フレームワーク検討の際のガイドラインとして活用することが望まれている。