ニューノーマル時代でもセキュリティ運用のコアは変わらず、成熟度が変わる
セキュアワークスは全世界幅広くインテリジェンスを収集し、顧客のセキュリティを維持するためのサービスを包括的に提供している。同社が常時セキュリティを監視している企業は4,100社以上、昨年のセキュリティインシデント対応件数は1,300件以上になる。提供しているサービスは大きく分けて、脅威インテリジェンス、セキュリティ&リスク・コンサルティング、マネージド・セキュリティ・サービス、インシデント対応&管理の4つ。
1つ目の脅威インテリジェンスでは、「Secureworks Counter Threat Unit」と呼ばれる調査の特殊部隊がグローバルで収集した情報をもとに、インテリジェンスの研究および分析を行っている。この脅威インテリジェンスが同社のサービスの起点となる。2つ目のセキュリティ&リスク・コンサルティングでは、顧客の現場で弱点がないか調査し、改善方法の道筋を作る。
3つ目のマネージド・セキュリティ・サービスでは、世界5ヶ所にあるSOCを活用して常時監視することで、セキュアな環境を維持していく。4つ目のインシデント対応&管理では、事故が起きた場合に被害を最小限に抑えるように対応し、再発防止まで行う。同社のサービスでは事前にリソースを確保するリテーナー契約となっており、一連のサイクルを網羅できるのが強み。
これからのセキュリティを考える前に、まずは全体的な考え方を整理しておこう。重要になるのがNIST(米国国立標準技術研究所)が策定したCSF(サイバー・セキュリティ・フレームワーク)だ。2014年に公開され、2018年に改定された。大きく分けて「特定、防御、検知、対応、復旧」という5つの流れで定められている。かつては特定と防御でインシデントの予防や抑止をしていたが、近年では現実を顧みてインシデントが発生することを前提とし、被害を最小限に抑えるほうに目が向くようになってきた。
同時に忘れてはならないのが、セキュリティ運用を支えるのはテクノロジーだけではないということ。テクノロジーを最大限活用するのは当然だが、それを動かすプロセスや人も不可欠だ。テクノロジー、プロセス、人や経験、それぞれにおいて漏れがないように実装し、経験していくことが重要となる。こうした体制を整えておくことで万が一事故が起きたときの復元力を左右する。
ニューノーマル時代においても「この基本的な考え、NIST CSFのコアは変わりません。変わるのはティア(成熟度)です」と古川氏は断言する。ニューノーマルでDXを加速させる必要性が高まり、DXに見合うセキュリティ対策が必要となってきているからだ。
また、古川氏が「再度ご確認ください」と強調するのが、テレワーク環境におけるテクニカル面とマネジメント面の対策。同社ではコロナ禍前からテレワーク環境のアセスメントを提供しており、どこに危険が潜んでいるか熟知している。
特にVPNは、いまだに脆弱性に起因する事故が続いているので要注意だ。古川氏は「VPNは企業のトラストネットワークにいきなり入れるので、攻撃者にしてみれば最終ゴールにとても近い位置からスタートできてしまいます。まずはリモートアクセスの脆弱性診断を必ず実施してください。中長期的にはテレワークのポリシーやセキュリティ対策で不備がないか洗い出しが必要です。怠るとメール詐欺に遭う危険性も高くなります」と注意喚起する。
サイバー攻撃対策でやるべきことは基本対策・可視性・準備
ここからが今回の本題となる。同社は年間1,300件以上のインシデントに対応しており、そこからセキュリティ運用の要は何かを紐解いていく。
同社の2019年度インシデント対応結果を見てみると、攻撃が検知されるまでの平均日数は111日。侵入経路で最も多いのがフィッシング、次に資格情報の窃取と続く。注意すべきは、わずか6%ではあるもののリモートデスクトップ(RDP)がある。2020年度はコロナ禍で慌ててテレワークを強行した企業が増えたので、この数字が増えるのは確実だ。古川氏は「先ほどのVPN同様、RDPもゴールに近いところからスタートできるので攻撃者に有利となります。昨年から攻撃が増えてきており、深刻な被害も出てきています」と厳しく指摘する。
インシデント対応の分析結果から分かる重要事項として、古川氏は「基本対策」「可視性」「準備」の3つを挙げる。まず基本対策(CSFの識別と防御)。これが十分であれば8割は予防できる。次に可視性(CSFの識別と検知)。半数の企業がエンドポイントやネットワークの可視性が不十分だ。そして準備(CSFの対応と復旧)。7割のインシデントではログの調査や質に問題があったことが分かっている。
こうしたことを踏まえ、セキュアワークスからの推奨事項は以下の6つ。
- 多要素認証(MFA)の実装
- 可視性の向上と(特定)ログ機能の強化
- エンドポイント検出機能の実装
- インシデント対応準備の改善とテスト
- セキュリティの警戒とポリシーに関するユーザーのトレーニング(利用者のサイバー衛生)
- ガバナンスのフレームワークの選択
昨今では一般向けニュースでも多要素認証の必要性が取り上げられているほどで、多要素認証の重要性は言うまでもないだろう。また、昨今ではログ収集機能を強化し、エンドポイントで検出できる機能の実装が「主流になりつつある」と古川氏。
先述したように、テレワークでVPNやRDPを使わざるを得なくなっている。このことについて古川氏は、「ディフェンスラインを下げているということ。ゴールに近いところで守らなくてはならないのです。これだけでも危ないのです。何か起きたらすぐに対応できるようにしなくてはなりません」と熱く語る。だからこそ、インシデント対応は準備万端でなくてはならず、ちゃんと機能するか常日頃からチェックしておかないとならない。
ユーザーのトレーニングも重要だ。毎日私たちが感染症を警戒して手洗いを励行しているように、サイバー攻撃にも警戒して行動できるようにトレーニングを積む必要がある。どんなに念入りにセキュリティ対策を施しても、エンドユーザーの行動一つで台無しになってしまうことがあるからだ。最後にガバナンスをきちんと運用できるように、フレームワークを選択する。
基本的な対策は「4つのP」――パッチ・分割・アクセス権・境界
では、セキュリティ対策の重要事項(基本的な対策・可視化・準備)は、どうすれば適切に実践していけるのだろうか。
最初の基本的な対策に関しては、インシデントの予防や抑止のための「4つのP」――パッチ(Patch)、分割(Partition)、アクセス権(Privileges)、境界(Perimeter)を徹底すること。最も重要なのがパッチで、古川氏は「パッチに始まりパッチに終わる」と強調する。日本はまだパッチの適用率が高いものの、VPNの脆弱性など深刻なものもある。他にもネットワークの分割、それからデータの棚卸しをしてアクセス権を適切に設定すること。そして境界で守っていく。
続いて可視化。古川氏は「最も重要な情報は環境の可視化から得られる」と話す。可視化することで適切に対応を行うことが重要になる。これはすなわち、ITガバナンスの実現へとつながる。
しかし、実際のところ、可視化の実現はハードルが高い。なぜ難しいのか。古川氏によると、可視化できない原因は3つあるという。観測できるところしか観測してないため「見ていない」、アラートや誤検知が多すぎて「見きれない」、テクノロジーで検知できなくて「見えない」。
「見ていない」、つまり死角があると、攻撃者はその隙を狙う。死角を減らすには、守備範囲外や想定外からの攻撃を網羅したテストを実施する必要がある。「見きれない」に対しては、脅威判定を自動化するプロセスを導入する、あるいはマネージド・セキュリティ・サービスなどに委託して解決するのもいいだろう。
そして難しいのは技術的に「見えない」ところ。ここは攻撃の件数としては少ないものの、標的型攻撃のようなものが挙げられる。アラートを待つことなく、能動的に脅威をハンティングするプロセスを導入するのが有効だ。インシデント対応チームを組み、トレーニングを重ねたり、外部のサポートを受けたりしながら進めていくことになるだろう。
最後に準備だ。古川氏は英国軍人でボーイスカウトの創始者でもあるロバート・ベーデン=パウエル卿の「備えよ、常に(Be Prepared)」を挙げた。事故対応では初動対応が極めて重要であり、迅速な初動対応を行うには適切な準備が必要になる。そして、準備していた過程を想定通りに遂行できるようにするには経験が必要になる。
コロナ禍でテレワークが必須となり、リスクは高まっている。これまで以上にサイバー攻撃に警戒し、セキュリティ対策の成熟度を高めていく必要がある。ニューノーマル時代を見据え、セキュリティの基本的な対策、可視化、準備を徹底していこう。
Secureworks Security Forum ~セキュリティトランスフォーメーションの夜明け~
セキュアワークス年一度のビッグイベントでは、セキュアワークスが提供する最新のセキュリティソリューションを通じて、経営層・システム部門・社員が一丸となり、DX時代の企業・組織が目指すべきこれからの「セキュリティトランスフォーメーション」をご紹介します。
開催期間は2020年10月27日~30日まで。詳細はこちら