去る3月5日から8日にかけて開催されたウェビナー「TECH+ フォーラム - セキュリティ 2024 Mar.「推奨」と事例に学ぶ事前対策」。このうち「セキュリティ総合、データ保護・復旧」をテーマとする初日には、「NIST CSF 2.0 への進化から読み解く、進化するセキュリティ運用〜変化するセキュリティ運用、その潮流に乗り遅れないために〜」と題して、ラピッドセブン・ジャパン株式会社 最高技術責任者/CTOの古川 勝也氏によるセッションも行われた。

昨今のサイバー環境の変化は、個別のセキュリティ対策だけでなく汎用的なフレームワークの進化ももたらしている。世界中の多くの企業が参照していたサイバーセキュリティフレームワークであるNIST CSFも、2月26日にバージョン2.0が公式リリースされた。古川氏のセッションから、このバージョンアップの背景と、組織が何を考慮すべきなのかについて考察するとともに、変化するセキュリティ運用の方向性について、ラピッドセブンの観点からの解説が行われた。

  • (写真)ラピッドセブン・ジャパン株式会社 最高技術責任者/CTO 古川 勝也氏

    ラピッドセブン・ジャパン株式会社 最高技術責任者/CTO 古川 勝也氏

“残念な”セキュリティ対策から脱するには

セッション冒頭で古川氏は、なぜセキュリティ対策は失敗するのかをテーマに、“残念な”セキュリティ対策について言及した。現在、日本のサイバーセキュリティの「現場」では、外部環境に関しては攻撃の増加や高度化、DXやワークスタイル変革、膨大なセキュリティ対策と情報に追われており、また内部環境についても、人やコストのリリース不足、対策サイクルのスピードアップなどといった課題を抱えている。

こうした背景を受けて古川氏は、「完璧なセキュリティ対策を目指すのではなく、基本的な目的は業務を止めないことであることに着目すべきでしょう。そのためにまず重要なのが可視性とグリップ感です。その上で対策とコストを最適化していくアプローチこそが、現場をハッピーにする方法であると考えています」と強調した。

そもそも、セキュリティ保護のコントロールが想定通り正常に機能していれば、受容リスク以外の侵害を受けることはない──つまり業務は止まらないはずだ。では、なぜセキュリティ侵害が発生するのだろうか。

「やはりその答えは、「想定外」の事象が発生するからだと言えるでしょう」と語った古川氏は、想定外にも3つのパターンがあるとした。

1つ目は、想定する範囲のレベルがそもそも間違いであったり、妥当ではなかったりするパターンであり、非常に多く見受けられるものの最も根本かつ重要だと言える。2つ目は、想定したものがその通りに機能していないパターンで、脆弱性や設定・運用における人的ミス、ハードウェアの故障などが該当する。そして3つ目は、妥当な想定を超えた手法による侵害であり、どうしても防げない侵害があるのだという事実を意味する。

「こうした、想定を超えてしまった事象をいかにコントロールしてビジネスインパクトを最小化できるかが重要なポイントとなります」(古川氏)

そのために抑えるべきは、攻撃の隙(アタックサーフェイス)をシステム構成図的に整理すること、そしてセキュリティの運用サイクルが破綻せずにきちんとまわるようにすることの2点となる。そして漏れのない運用を実現するためには、各種フレームワークに当てはめて運用を整理することが求められるのである。

「対策の「深さ」よりも 「漏れのない」対策の方が優先度が高いことが重要なポイントとなります」と古川氏は語った。

  • (図版)対策の「深さ」よりも 「漏れのない」対策の方が優先度が高い

NIST CSF バージョンに2.0で何が大きく変わったのか

継続的で漏れのないセキュリティの運用業務を可能とするフレームワークとして世界的な業界標準となっているのがNIST(米国立標準技術研究所)の「NIST サイバーセキュリティフレームワーク(NIST Cybersecurity Framework:NIST CSF)」だ。そしてNIST CSFは、2014年4月に初版であるNIST CSF 1.0が公表されて以来、約10年ぶりの大幅改訂となるバージョン2.0が2月26日に公開されている。

NIST CSFは大きく、対策状況を把握するための4段階の評価基準である「CSF Tier」と、一連の運用のサイクルに基づいた実効性のある対策と参考情報の一覧の「CSF Core」の2軸で実行性を検証するフレームワークとなっている。このうちCSF Coreは、運用に漏れがないかを検証し、避けることのできない脅威に備えるための運用アプローチであり、前段が予防・抑止でリスクコントロールを行い、後段が検出・対応で万が一インシデントが発生した際にビジネスインパクトを最小化していく。そして前段の予防・防止には「識別」「防御」というプロセスがあり、後段の検出・対応における「検知」「対応」「復旧」といったプロセスへと続く。

古川氏は、「リスクコントロールとビジネスインパクトの最小化の両軸から、ビジネスへの影響を最小化していくという考え方がCSF Coreです」と説明した。

  • (図版)避けることができない脅威に備えるための運用

では、このアプローチを現実の運用に当てはめた際にはどのような課題があるのだろうか。まず前段の予防・抑止に関しては、IT環境の激しい変化に伴いアタックサーフェイスが拡大しており、そうした新たなリスクへの対応がかなり遅れている状況にある。一方の後段の検出・対応については、AIや機械学習など最新テクノロジーの活用によりかなり現実な対応ができるようになってきていると言える。

こうした背景を受けた、NIST CSFのバージョン1.1からバージョン2.0へのバージョンアップでの大きな変化ポイントが、CSF Coreに「GOVERN」という項目が追加されたことである。

「ざっくりと比較すると、識別・防御系が「GOVERN」に多く盛り込まれ、検知・対応、復旧系については、より深い表現に進化しています。基本的なことはできていることが前提で、それをどうするかといった視点へと変わっているのです。つまりNIST CSF 2.0におけるセキュリティ運用では、まず全てが「可視化」されていることが大前提となっていて、その上でそれが正しいく通知され、かつ正しい判断をもとにした正しいアクションが取れることまでをも前提としているのです」(古川氏)

  • (図版)NIST CSF 2.0

脆弱性管理と脅威検知・対応を実現する統合ソリューション

このように、NIST CSFバージョン2.0では、運用全体としての網羅的な可視化が前提となってくるため、これからのセキュリティ運用ではその辺りをもう一度考え直す必要がある。そのためにラピッドセブンでは、CSF Coreにおけるリスクコントロールのうち「識別」の一部と、検知、対応の領域を主にサポートしている。

「防御系のソリューションについては、その時点の脅威に応じた最適なソリューションを選択いただきます。そしてそれらのシステムが発呼したアラートから、文脈を踏まえて問題を見つけ出し、さらにどう対応するべきかといった“検知・対応”の領域を、我々ラピッドセブンがお客様と一緒にセキュリティ対応していくというアプローチです」と古川氏は強調した。

そのためのソリューションが、統合エージェントである「Rapid7 Insight Agent」だ。Rapid7 Insight Agentは、「脆弱性管理(=リスクコントロール)」と「脅威検知と対応(=ビジネスインパクトの最小化)」を1つのエージェントソフトとして実現するソリューションである。

そもそも、これまで多くの組織で脆弱性への対応に失敗し続けてきた理由として、IT資産の管理が不十分であることや、脆弱性の「動的」な性格に対応できていないこと、そして、対応をいつどのようにするかの判断基準をはじめ脆弱性への対応プロセスが緩いことが挙げられる。それらをどう解決していくかが脆弱性管理のポイントとなるが、組織のITインフラを重視していた従来と比べて現在では脆弱性リスクマネジメントも進化している。 「クラウド、Webアプリ、リモートワーカー、IoTなど、守らなければならない領域が増えているにも関わらず、さらにそれらを網羅的に可視化し、リアルタイムで把握して正しい判断を下していかないといけない状況に置かれている」(古川氏)

Rapid7 Insight Agent が誇る”脆弱性管理”

そこでRapid7 Insight Agentでは、脆弱性検出機能を「Insight VM(IVM)」と呼ばれる脆弱性管理ツールとして提供している。IVMは、CVSSスコアによらない脆弱性リスク評価機能の提供や、検出された脆弱性に対する進捗状況の見える化、ファイアウォールをはじめとしたエージェントが導入できない機器に対する脆弱性検出機能の提供といった特徴を有する。

脆弱性管理運用のポイントは、上位数%である高リスクの脆弱性を効率的に把握して修正することであり、そのためには脅威と脆弱性と資産をかけあわせて判断していくことが重要となる。そこでIVMでは、脆弱性情報と脅威情報に関しては、“アクティブリスク(Active Risk)”というかたちで判定指標として提供している。

「ラピッドセブンが以前提供していた判定指標であるリアルリスクと比較して、アクティブリスクはより現実的に危険な攻撃を判定できるようになっています。要は、一見すると危険度が低いようであっても、長く脆弱性として存在し続け悪用され続けていればスコアが高くなる、といったような指標を示します」と古川氏は説明した。

IVMでは、このアクティブスコアと顧客企業のリスクスコアをかけあわせることで、個々の企業ごとのスコアを判断し、そこに優先順位をつけて対応していく。また、脆弱性に対する進捗状況についてダッシュボードでの可視化や、エージェント未対応機器への対応も行うことができる。さらに、IVM向けの運用サービスである「MVM(ManagedVM)」では、毎月1回、脆弱性スキャンの結果を取りまとめ、報告会を実施するとともに、対策可否の考え方など検出された脆弱性に対するアドバイスも提供している。

「これらの機能やサービスをパッケージ化した「クラウドリスクコンプリート」も提供しています」(古川氏)

脅威検知と対応

続いて脅威検知と対応の領域に関しては、いかに脅威を検知して調査して、効果的に対応できるかどうかが重要となるが、そのためにはSIEMをデータ収集・活用の中心として運用することがポイントとなってくる。

では、何を検知すべきかだが、そこではユーザー行動と攻撃者行動をバランスよく分析することが大切であり、それぞれ見るべきポイントが異なってくる。

「例えば、ユーザー行動であれば、VPN拠点のない地域からVPNログインに成功した場合、ふるまい検知によって異常と判断され、攻撃者による探索活動ではないかと検知したりすることもあります」(古川氏)

そうした、内部の人間、もしくは外部からの攻撃を合わせて、適切な判断を支援するのが「Rapid7 MDR(Managed Detection and Response)」である。その構成要素の中核となるのがクラウド上のフルマネージドSIEMであり、企業内のユーザーの行動をはじめ、EDRやネットワーク等の情報をクラウド上のSIEM基盤に統合して、ラピッドセブンのサービスチームが運用する。

「従来のインシデント対応の課題は、「検知」と「対応」との間が隔絶していて時間がかかってしまうことにありました。そこでRapid7 MDRでは、検知から対応までを一気通貫で行うことで、インシデント対応の初動を迅速にし、お客様の負荷を軽減するとともにインシデント対応の確実性を向上することを目的としています」と語った古川氏は、実際の検知や対応のケースを紹介して、Rapid7 MDRによりどのようなことが可能となるかを解説した。

Rapid7 MDRでは、基本的に24時間365日リアルタイムにログで分析しており、アラートを検知するもので、日本語での対応も行っている。包括的な監視基盤を提供し、導入も容易で、高品質なログ分析と対応を可能とする。また、明朗な費用体型も評価が高い。こうして企業は、Rapid7 MDRにより継続的な改善活動を実現できるのである。

サイバー攻撃により被りうるリスクやビジネスインパクトを最小化するために、ぜひラピッドセブンのソリューションの導入を検討してみてほしい。

関連リンク

ラピッドセブン・ジャパン株式会社
https://www.rapid7.com/ja/

[PR]提供:ラピッドセブン・ジャパン