はじめに
MOTEXの西井です。
私は現在フォレンジックサービスを提供しており、セキュリティインシデント被害に触れる機会が多いです。 そのため、ベストなセキュリティ対策とは何かを考える日々が続いています。
そして、近年注目を集めているアプローチとして脅威インテリジェンス等があり、以下の「The Sliding Scale of Cyber Security」(サイバーセキュリティ態勢の成熟度モデル)をベースに再考をしましたので、その備忘録を兼ねて執筆します。
- はじめに
- The Sliding Scale of Cyber Security
- 構成要素
- 考察①:アタックサーフェスの拡大に伴う資産管理の限界
- 考察②:見直しや改善の機会を作り出すプロセス実行
- まとめ
The Sliding Scale of Cyber Security
The Sliding Scale of Cyber Security は、「サイバーセキュリティ態勢の成熟度」を表すモデルといわれていますが、その成熟度を評価する手順については公開されておらず、具体的な対策例も記載されていません。 サイバーセキュリティの対応レベルを高めるために必要な事項が端的に記載されているのみとなります。
ただし利点としては、脅威ベースでまとめられており、仕組みの概念やプロセスに言及した構成で整理されているため、セキュリティ対策実行の方針や具体的対策方法を検討していくフェーズで活用できます。
構成要素
サイバーセキュリティの成熟度を脅威対応の観点からみて、以下の5つのモデルに分類されています。 また、コストメリットも記載されており、自社事業の社会的意義や事業継続性を踏まえ、5つの構成要素に対して投資レベルを変えていく必要性があります。
原文には具体的な対応例が明示されていない項目もありますが、イメージに合致する対応例を筆者の解釈にて追記しています。
| 項目 | 概念 | 対応例 |
|---|---|---|
| ARCHITECTURE | セキュリティを念頭にいれたシステム設計・構築・維持運用を行う態勢 | 要塞化・認証強化・脆弱性管理 ・サイバーハイジーン 等 |
| PASSIVE DEFENSE | 人の継続的な関与なく、一貫性のある防御メカニズムを有している態勢 | パターンマッチ等のシグニチャ検出ロジック |
| ACTIVE DEFENSE | アナリストが組織に潜む脅威を監視・対応・応用するプロセス | 脅威ベースによる検出を行うプロセス実行 |
| INTELLIGENCE | データを収集し、それを活用して情報を作成し、事前に特定された知識のギャップを満たす評価を作成するプロセス | 再現性をもった脅威インテリジェンスの生成・活用 |
| OFFENSE | 脅威アクターに対する対抗策を実施する態勢 | 法執行機関等との連携活動 |
本ドキュメント内における重要ポイントは以下と考えました。
- 以下順番で重点を置いて進めるべきであること
- ARCHITECTURE ⇒ PASSIVE DEFENSE ⇒ ACTIVE DEFENSE ⇒ INTELLIGENCE ⇒ OFFENSE
- 「ARCHITECTURE」 と 「PASSIVE DEFENSE」が不十分な場合、「ACTIVE DEFENSE」に投資をしても効果が薄いこと
- 「ACTIVE DEFENSE」を確立しない限り、「INTELLIGENCE」や「OFFENSE」への投資は効果が薄いこと
- 優位性は脅威アクターにあり、「ARCHITECTURE」のみを強固にしても、侵入される懸念は残ること
- 高度な脅威アクターに対抗するには、高度に訓練されたセキュリティ要員が必要であること
一般的にどの組織でも、「ARCHITECTURE」「PASSIVE DEFENSE」の要素は何かしら取り入れられているものと考えられます。
昨今では、「ACTIVE DEFENSE」「INTELLIGENCE」の要素を取り入れた対策を実施されている組織が多くなってきています。 特に、EDRやNDRなどのサービスにおいて、高度なエンジニアによるセキュリティ監視も併せて導入し、未知の脅威を見つけ出すケースなどがあげられるかと思います。
考察①:アタックサーフェスの拡大に伴う資産管理の限界
昨今のインシデント発生した組織の課題として、脆弱性の対応が進められていないことが挙げられます。 アタックサーフェスの拡大により、厳密な資産管理がおこなえておらず、管理対象から外れていることで、脆弱性を含めた様々な管理がおこなえていないケースを目にすることがあります。
そこで、資産をベースとした一方向からのアプローチではなく、脅威をベースとした双方向からのアプローチも手段として考えられます。 例えば「ASM(Attack Surface Management)」を活用し、管理対象となっていない資産を炙り出し、そして脅威となりうる課題を検出して対応を進めていくプロセスがあげられます。
考察②:見直しや改善の機会を作り出すプロセス実行
「INTELLIGENCE」は、脅威アクターやリスク等の情報から、活用できる情報を生成し、自組織のセキュリティ対策に繋げていくプロセスを指しています。 これは、「INTELLIGENCE」によって生成された情報から、別項目を見直していくための情報を生成する必要があるということを示唆しています。
その脅威ベースから得られた情報を元に、セキュリティ対策の方針や施策、そして仕組みも変えていかなくてはいけません。 それは、セキュリティ対策のベストプラクティスを日々模索し続ける必要性を示唆しています。
まとめ
攻撃側(脅威アクター)の優位な状態となり、防御側(自組織)の不備や脆弱性を悪用されセキュリティインシデントが発生しています。 脅威ベースの考え方も取り入れ、ポリシーや対策方針の見直しを継続的に行っていく必要性があると考えています。
「ARCHITECTURE」「PASSIVE DEFENSE」の考えは、一般的な考え方となっています。 その次のアクションとして、「ACTIVE DEFENSE」や「INTELLIGENCE」へのセキュリティ投資の検討が必要になってきています。
ただし、本ドキュメントにおいては、評価方法は記載されておらず、定量的に自組織のレベル感を計ることはできません。 とはいえ、セキュリティを語る上での考え方として、有効なモデルとして参考にする必要性があると考えます。
