「ビジネス主導型セキュリティ」により、未知のサイバー脅威の予兆、既知の脅威をわかりやすく可視化し、ビジネスにもたらされる影響の範囲や深刻度を明らかにし、影響度に基づいた優先順位付けやリスクの絞り込みを行って、企業に最適なサイバーセキュリティ施策の運用が可能となるという。これにより、セキュリティリーダーとビジネスリーダーの間に横たわる「認識のギャップ(gap of grief)」も解消するとしている。
企業に存在する「認識のギャップ(gap of grief)」
セキュリティインシデントの発生時にビジネスリーダーがセキュリティリーダーから受ける第一報は、「Struts2の脆弱性を突いた不正アクセスで顧客データが流出したもよう」「クロスサイトスクリプティングが原因でWebサーバーを確認中。データの外部流出は調査中」といったセキュリティ視点による現状報告になる。
ビジネスリーダーは、ただちに自社のリスクとビジネスへの影響を見積もる必要に迫られる。セキュリティリーダーからは続報が届き、情報量は増えていくが、ビジネスリーダーが求めるのは、ECサイトの営業は停止すべきか、流出したのは顧客のどの情報でどれほどの数か、取引先への影響の大きさ、評判や株価にどれ程の影響をもたらすかなどを推測するためのビジネス視点による情報だ。
ビジネスリーダーは、迅速にセキュリティインシデントの影響を理解して重要な決定を正確に行わなければならない。しかし、報告からセキュリティインシデントがビジネスとってどのようなリスクに発展するかを把握するのは容易ではない。経営判断のための材料をセキュリティ視点の報告から読み取るには、情報の加工や現場の実務者による考察といった時間と手間がかる。
セキュリティリーダーからの速報が重なる中、このような事態に陥るのは、ビジネスリーダーとセキュリティリーダーの視点と目的が異なっており、双方のつなぎ役がないため。セキュリティ情報の詳細を、分かりやすくビジネスリスクに変換して説明する必要がある。
「認識のギャップ」が発生する理由
セキュリティ施策を振り返ると、攻撃者の侵入防止策を重要視し、進化する脅威に対処すべく新しいさまざまなツールが導入されてきた。各ツールが独立した、いわばつながりのないサイロ化したセキュリティ対策が乱立した状態だ。それぞれがセキュリティ環境のある一部の情報だけを断片的に提供し、ビジネスへの影響度に関わりなくアラートを発する。
情報もアラートもツール間で相関されないまま、IT環境は複雑になってきている。この状況は、セキュリティ対策のサイロ化が主な原因であることはいうまでもない。ファイアウォールやアンチウイルス、SIEMのような攻撃者を排除するための対策、ID管理や認証を中心としたアクセス管理対策、GRCやISMSなどのビジネス上のリスク管理は、それぞれの関連づけが乏しく、各サイロが生み出すアラートを1つ1つ手作業で調べるような事態となっている。
つまり、問題や関係が無いように見えるバラバラかつ多数のアラートから大規模な攻撃を浮かび上がらせる能力、ビジネスへの影響度に基づいて調査するための優先順位の設定、セキュリティをビジネスのリスクに結びつけて管理する能力の不足を示している。その結果、セキュリティチームは大量のアラートから有益な情報を拾い出すことに多くの時間と人材を割かれてアラート疲れという悪循環に陥いり、インシデントに対応する上で大切な時間の大多数がここで失われ、ビジネスリーダーが求める時間内に情報を提供するのが困難になっている。
「ビジネス主導型セキュリティ」はインシデントとビジネスリスクを関連付ける新戦略
このような状況に対し「ビジネス主導型セキュリティ」は、セキュリティ戦略で最も重要な要素となるセキュリティインシデントを的確に捉えて可視化する。セキュリティインシデントとビジネスコンテキスト(ビジネスの状況や情報、関係など)を関連づけておき、リスクにさらされる可能性のある企業資産と対策の優先度を、ビジネスリーダーが理解しやすく可視化する。「ビジネス主導型セキュリティ」により、戦略的にビジネスリスクに対処できるようになるという。
「ビジネス主導型セキュリティ」のRSAソリューションによる実践例
・認証の失敗を迅速に調査し、より正確に脅威に応答して阻止:「RSA SecurID Access」は、潜在的にリスクの高い行動を特定するための認証パターンに関する分析情報を「RSA NetWitness Suite」に送る。これにより、悪意のあるとみなされる行動の検出を加速化し、調査でのコンテキストの使用、アイデンティティと認証の試行に基づくビジネスリスクの把握が可能になる。
・ビジネス コンテキストに基づくインシデントの優先順位付け:「RSA NetWitness」の行動分析機能で異常と特定されたインシデントは、「RSA Archer Suite」のアセット値に加重される。そのため、セキュリティ担当者は業務に最も影響のあるインシデントを最初に確認できる。
・疑わしいユーザーアクティビティに対する応答のエスカレーション:「RSA NetWitness」で特定されたインシデント、アラート、イベントに関するデータフィードは「RSA Archer Suite」のデータと照合され、リスクにさらされる可能性のある各アセットの重要性が判断される。これにより、リスクにさらされているアセットのビジネスコンテキストが使用され、調査が加速化される。