新型コロナウイルス(COVID-19)によるパンデミックはビジネスのあり方を大きく変えた。対面のコミュニケーションを中心に行われていたビジネスはリモート中心のスタイルへと姿を変え、各組織が、今述べた変化に対応するためのインフラ整備を進めている。
こうしたビジネスの変化は、セキュリティのあり方にも変化を及ぼしているという。セキュリティ運用センター(SOC)を提供し、年間1,300件以上のインシデント対応実績のあるセキュアワークスに話を聞いた。
COVID-19を契機に発生した「新たな盲点」
悪意を持った攻撃者は、社会に何か変化が発生するとそこで生じた隙を攻撃してくる。COVID-19においても、持ち出しPCやVPN機器の設定不備を突いたり、パンデミックに関連したビジネスメール詐欺(BEC)だったりと、今述べた "隙" を狙う攻撃が数多く出現した。
ただ、これらの攻撃は、従来のサイバーセキュリティに関わる文脈の多くを占めていた "高度化・巧妙化し続ける攻撃" とは異なる毛色を示しているという。セキュアワークス 主席 上級セキュリティアドバイザーの古川 勝也 氏は、対応の難しい新しい脅威はこの半年間で増えていないと言及。社会の変化が組織に「新たな盲点」を生んでいるとし、こう分析する。
セキュアワークス株式会社
マーケティング事業本部
主席上級セキュリティアドバイザー
古川 勝也 氏
「セキュアワークスでは、日々膨大なサイバー攻撃を検知し、年間1,300件を超えるセキュリティインシデントに対応しています。それらのデータを解析した結果、バンデミック発生前と発生後では、脅威のレベル(高度化・巧妙化の度合い)にほとんど変化がないことがわかりました。ここから伺えるのは、社会の変化へ対応する中で、組織内に数多くの脆弱性が生まれているという事実です。この半年間、脅威の主体は、新たな攻撃手法を生むことにはリソースを費やしていません。社会の変化にともない新たな盲点となった既出の脆弱性にこぞって攻撃を仕掛けているのです。」(古川 氏)
攻撃者にとっては、堅牢なセキュリティシステムを相手にするよりも、簡単な方法で突破できる新たな脆弱性を突くほうが、合理的にシステム内部へ侵入できる。実際、この半年間では、セキュリティ対策が不十分な持ち出しPCを第三者に使われそこから感染が社内ネットワークに広がったり、VPNなどの社内ネットワーク機器が脆弱性を抱えた状態で運用されたために攻撃者に狙われたりなど、"使い古された手法" でたやすく攻撃を成功させた事案が相次いだ。
「パンデミック対応では各組織が短期の基盤整備に迫られました。アーキテクチャレビューやテストに十分な時間が割り当てられなかったのが、『新たな盲点』である脆弱性が生じている要因でしょう。また、従来は多くの組織が、社内ネットワークに私物のPCやスマートフォンを接続することを禁じていたり、利用するクラウドサービスやアプリケーションを限定していたりしました。ただ、パンデミック下では往々にして、例外的・緊急対応的にさまざまデバイスやサービスを使うことになります。結果として、攻撃対象となる脆弱性を多くの組織が抱えることになったのです。」(古川 氏)
-
パンデミックを受けて多くの組織が突貫的とも呼べるITインフラ整備を進めた。この結果として新たな脆弱性が生まれていると古川 氏は分析する。
インシデント対応にも発想転換が必要
「新たな盲点」の出現に伴い、インシデント対応についても発想の転換が求められている。
これまでのインシデント対応は、インシデントが発生したときにその影響を最小化することが目的だった。なぜインシデントの発生を前提にしていたかといえば、"高度化・巧妙化し続ける攻撃" を背景に、脅威の侵入を100% 防ぐことは困難であるからだ。
しかし、短期の基盤整備に追われた今、組織の中には "使い古された手法" で侵入されてしまうような綻びが数多く生まれている。また、テレワークによって管理対象のデバイスやサービスが増えたことを理由に、対応すべきインシデントの数も大幅に増加。仮に過去立案したインシデント管理計画があったとしても、これを踏襲して実行することが難しくなっているのだ。
古川 氏は、こうした事態に対応するためには2つのアプローチをもってインシデント対応を進めねばならないと指摘する。1つは、従来あった「影響の最小化」を目的とした「インシデント対応管理」の改善。そしてもう1つは、「インシデントを発生させないこと」を目的とした「インシデント問題管理」だ。
「インシデント問題管理は、いま攻撃者に悪用されている盲点(脆弱性)をなくしていくと同時に、盲点を生み出してしまった考え方やプロセスそのものを改善していくというアプローチです。先ほど述べたように、パンデミック下のサイバー攻撃の中心は、新たに生まれた盲点を突いた攻撃です。"使い古された手法" が用いられるため技術的には対策が容易なはずですが盲点の存在と攻撃の数が多いことを理由に、多くの組織で深刻な課題となっています。インシデント問題管理を実行し、考え方・プロセス・システムをインシデントの発生そのものを抑える姿へとシフトさせなくてはなりません。」(古川 氏)
-
インシデント対応のあり方を、「インシデント問題管理」と「インシデント対応管理」を併存させたものへシフトさせなくてはならない。
システム改修だけでは不十分
ここまで読んで「システム改修を進めなくては」と思う方がいるかもしれない。ただ、古川 氏はシステムに手を入れるだけでは不十分だとし、こう警笛を鳴らす。
「先ほどのとおり、インシデントの発生を抑えるためには、システムだけでなく考え方、プロセスも交えて、新しいインシデント管理計画を立案しなくてはなりません。また、この計画を実行するのは『人』ですから、担当者の教育も必要になります。インシデント問題管理をシステム改修と捉えてシステムインテグレーターに声をかける方がいるかもしれませんが、新たな管理計画の立案とこれを遂行するインシデント対応管理も合わせて検討を進める必要がありますから、セキュリティ専業ベンダーにも相談することをおすすめします。」(古川 氏)
セキュリティ専業ベンダーへ相談すべき理由は他にもある。
日本は諸外国と比べるとITサプライチェーンが多層化しており、1つのシステムの提供に複数企業が関与するケースがほとんどだ。そして、悩ましいことに企業間の透明性やそれぞれの持つ責任は、担保されていないことが多い。パンデミックが継続状況にある今、インシデント問題管理は速やかに完了させる必要がある。システムインテグレーターへの声掛けのみでは、脆弱性の責任主体の可視化や対策実行までで余計な時間を費やす恐れがあるのだ。
「インシデント問題管理」にも対応したサービスを提供
では、組織はインシデント問題管理をどのように進めていけばよいのか。古川 氏は迅速かつ適切にインシデント問題管理を進めていくために、3つのポイントがあると説明する。
1つめは、適切なフレームワークの適用だ。例えばアメリカ国立標準技術研究所(NIST)が公開している「NIST サイバーセキュリティーフレームワーク(CSF)』などのフレームワークを活用すれば、セキュリティアーキテクチャのレビューを不足なく速やかに進めることができる。
2つめは、プロセスとITインフラの定期的な点検と見直しである。この発想をインシデント対応に加えることで、環境が急に変化したときにも速やかなセキュリティ対策を実施できるようになる。最後の3つめは、全体を漏れなく可視化するプロアクティブなセキュリティ対策の実装だ。全ての「新たな盲点」をつぶせたとして、依然としてテクノロジーでの検知が困難な "高度化・巧妙化し続ける攻撃" が存在することには変わりはない。セキュリティアラートを待たず先回りして脅威に対応するプロセスの導入が求められる。
「セキュアワークスではこれらポイントを踏まえ、この12月にインシデント対応のためのサービス『インシデント対応リテーナー(IMR)』を刷新しました。」古川 氏はこのように述べ、同サービスの概要を説明する。
「従来のIMRは、インシデント対応計画(CSIRP)策定支援やインシデント対応手順(Playbook)策定支援、机上訓練、First Responderトレーニングなど、インシデント対応管理の支援を主とするサービスでした。12月の刷新では、新たに『セキュリティ・リスク・コンサルティング』で提供している各種診断サービス、『サイバー・リスク・コンサルティング』で提供しているアドバイザリー・サービスを加え、インシデント問題管理まで包括した内容になりました。」(古川 氏)
-
12月のサービス刷新では、IMRの提供範囲が大幅に拡大された。
上の図にあるように、同サービスは大きく4つのサービスで構成されている。インシデント対応計画のレビューや脅威ハンティングなどを行う「IR - 事前対応サービス」、Webアプリケーション診断、ペネトレーションテスト、Red Team / Red Team Liteリモートアクセスシステムの脆弱性評価などの「診断系サービス」、机上訓練、First Responderトレーニングなどの「IR - ワークショップ・演習」、リスクアセスメント(CSF/CSC/ISA/テレワーク)、文書策定支援(ポリシー・ガイドライン策定/レビュー)、CSIRT構築支援などの「アドバイザリーおよび戦略支援サービス」だ。
「インシデントを発生させないこと、発生しても影響を最小化すること、この双方を実践すれば、盲点の排除と対策の有効性の維持が実現できます。2つ目のポイントに挙げたように環境変化にも素早く対応できるようになりますから、DX時代に企業が目指すべきセキュリティトランスフォメーションも速やかな進行が可能となります。」(古川 氏)
* * *
"使い古された手法" が通じるという性質上、今ある状況を放置すれば「新たな盲点」を狙う攻撃は増加するばかりだろう。インシデント問題管理は、組織にとって今すぐ取り組むべき事案だ。これ以上被害を広げないために、セキュリティ専業ベンダーへ相談することを推奨したい。
[PR]提供:セキュアワークス
