組織内の脆弱性端末は半数以上
──近年よく耳にするようになったサイバーハイジーン(サイバー衛生)ですが、このワードの意味について改めて教えてください
楢原盛史氏(以下、楢原):現在の日本のセキュリティ対策は、侵入されることを前提にしたEDRに代表されるようなゼロトラストソリューションがトレンドとなっています。
しかし、そうした中で新たに注目されつつあるのがサイバーハイジーンという考えです。これは「システムの脆弱性をほぼゼロにし、侵入されないことを前提とした対策」というものです。コロナ対応で例えるなら、「手洗い・うがい・マスク」がサイバーハイジーンであり、「PCR検査」がEDRといったゼロトラストになります。
現在の日本ではEDRへのフォーカスが特に強い状況になっており、EDR自体はセキュリティ施策の一つとして有効ではあります。しかし一度脆弱性を突かれてしまえば特権IDを奪われ、せっかく導入したEDRが何の役にも立たないということが現場では起きています。
EDRが登場した当初は多くの組織で「これは魔法のツールだ!」と浸透したものの、最近になってようやく「いや、これは決して万能ではない」とその現実に気づき始めました。実際EDRを導入していたある企業ではニュース報道をきっかけに社内調査したところ、外部攻撃者に特権IDを奪われていたことがわかりました。
そういった事例を調べていくと、EDRをいれることでサイバーレジリエンス環境が構築できたと思っていたが、実は組織内に非管理端末があり、そこに脆弱性があったりする。そもそも被害から復旧できる前提にすら立っていなかったという例はいくつもあります。
ガートナーのレポートでも、いわゆるゼロデイ攻撃による被害は0.4%しかない一方で、99.6%は既知の脆弱性による被害です。だからこそ、まずは自社のIT資産の把握を進め、脆弱性を可視化することが重要となってきます。
「資産管理なくしてセキュリティなし」と、セキュリティを理解されている方ほど話されており、特に大企業ほどIT資産管理を徹底かつ実践しています。なぜなら資産管理ができていなければ、脆弱性管理やその把握も不可能だからです。
ところが、現状多くの組織では概ね8割ぐらいが管理できていて、約2割ぐらいで非管理端末が混じっています。その上、組織の管理端末のうち4割ぐらいはパッチ適用がきちんとなされておらず、こうなると組織での脆弱性端末は半数以上にも上ります。
恐ろしいのは、その実態を知るための資産管理調査は半年に1回などゆっくりとしたもの、言わば「静的なハイジーン」となってしまっていることです。
半年の間に致命的な脆弱性があれば、そこが攻撃者のターゲットになってしまいます。そこで我々が提唱しているのが「動的なハイジーン」です。脆弱性に対応できていない部分を潰さないと、残りのセキュリティもすべて無力化されてしまう。これがサイバーハイジーンの原点です。
以下の図で示したNISTのサイバーセキュリティフレームワーク(CSF)ベースですと、「特定・防御」がサイバーハイジーン、「検知・対応・復旧」がレジリエンスにあたります。この検知より左側のオペレーションを実行しなければ、セキュリティリスクは爆発的に増えてしまいます。
従来アメリカではCDM(Continuous Monitoring and Mitigation )プログラムが行われており、日本でも2022年にデジタル庁の常時リスク診断・対処(CRSA:Continuous Risk Scoring and Action)システムが始まっています。これらの背景には、EDRだけではセキュリティ上の限界があるといった背景があると見ています。
