プロアクティブにサイバー攻撃の脅威に対応する3つの価値
発行日:2021年8月12日
このブログを読んでくださっている皆様の組織でも、これまでも多くのセキュリティへの投資をされてきたと思います。ネットワークセキュリティ製品・メールセキュリティ製品・エンドポイントセキュリティ製品・脆弱性診断ツール・脅威インテリジェンスサービスなどが挙げられるでしょうか。
皆様の組織で行われたこれらの投資、振り返ってみるとどのような分野への投資が多く、これから強化すべきはどのような分野なのかを改めて考えてみませんか?
セキュリティ投資をカテゴリーに分ける方法は様々ありますが、このブログでは、こんな分け方をして整理をしてみます。
『リアクティブな対応』 vs 『プロアクティブな対応』
『リアクティブな対応』とは
文字通り、“サイバー攻撃が確認されてから、セキュリティ運用担当者はその侵害への対応を開始する”といった対応方法です。攻撃を精査し、攻撃者をネットワークから追い出し、組織への損害度合いが評価され、状態復旧を試みます。
『プロアクティブな対応』とは
“サイバー攻撃の前に何かしらの対応(“対策”といった方が正しいかもしれませんが、あえて“対応”という言葉を利用します。)を行います。おそらく、多くの方が、事前に行う対応の大切さはご理解いただいていると思いますが、実際にどのような観点で対応を行ったらよいかの理解がなかなか進まず、実行に移し切れていないのではないでしょうか。
『プロアクティブな対応』を平易な言葉で置き換えてみます。ズバリ、“予防策”です。この言葉ならば、途端にわかりやすくなると思いますし、「それなら、既にやっている」、「ああ、そういうことか」と思われた方もいらっしゃると思います。
具体例を挙げると、「従業員へのセキュリティトレーニング」、「組織がまだ直面したことがないセキュリティリスクが起きた際の対応手順の策定」、「ペネトレーションテスト や レッドチームテスト などの侵入テスト」などが、“予防策”に当たります。
皆様の組織では、どのような“予防策”を講じてきて、どのような効果を得てきたでしょうか。
もし、そこまで効果が上がったという実感がない方がいらっしゃいましたら、「自組織に合った予防策を吟味して、投資を行ってきたか」と自問自答してみてください。
『プロアクティブな対応』で難しい点は、「やみくもに予防策を講じても、効率的な投資にならない」ということです。自組織の現状に合った予防策を選ぶといった観点を忘れないでください。
自組織の現状に合った予防策を選ぶために必要なことは、「自組織の現状把握」です。「今、御社のセキュリティの状態はどのような状態ですか?」と質問されて、明確な答えを返せる方はあまり多くないのではないでしょうか。
「自組織の現状を正しく理解して、自組織に合ったプロアクティブな対応(予防策)を講じる」
これまでにこのようなアプローチを取られていなかった方、是非、一度、自組織に当てはめたらどのような効果が見込めるか、試してみてください。
このブログの続きでは、改めて、『プロアクティブな対応』を導入した際に、組織が得られる価値、そして、SecurityScorecardををどのように活用できるかについて触れていきます。
『プロアクティブな対応』の3つの価値
1. 潜在的な攻撃に時間的な余裕をもって対策することができる
“リアクティブな対応”だけに頼っていると、どうしてもセキュリティ運用担当の方の時間や工数がひっ迫する事態に陥りがちです。当然のことですが、攻撃者は組織の都合など待ってくれません。ある攻撃に対応している最中に、次の攻撃、さらに次の攻撃が発生する。次々に発生する攻撃の侵害に対して、都度対応を行わなければならなくなります。
『プロアクティブな対応』を行うことで、潜在的な攻撃に対する対策を考える時間をとり、攻撃が発生する前に脅威に対処する計画を立てることが可能です。脅威インテリジェンスの活用も視野に入れることで、『プロアクティブな対応』は加速します。
2. 組織のセキュリティに関する設定/構成の誤りや改善点に自ら気が付くことができる
『プロアクティブな対応』に関して、視点は攻撃者だけにあるわけではありません。セキュリティ態勢を取るべき組織にも向けられます。組織に目を向け、『プロアクティブな対応』を行うことで、攻撃を受ける前に、運用管理者の意図しない設定や構成の誤りに気が付くことができます。例えば、「本来であれば、外部に公開すべきでないサービス(SMBやデータベース)を公開していないか」、「証明書の期限が切れてしまっていないか」、「サポート切れのOSを使っている従業員はいないか」、「HTTP のレスポンスヘッダーでX-Frame-Optionは正しく利用できているか」といった項目です。
設定や構成の誤りは、少なからず存在します。意図をしない誤りのために、気が付くのが非常に困難です。しっかりと、日ごろから組織のセキュリティの状態に目をむけていることが重要です。
3. コンプライアンスへの遵守状況に自ら気が付くことができる
今、様々な機関で多様なコンプライアンスフレームワークが作られています。その内容を遵守することで、組織のセキュリティレベルは一定のレベルに維持することが可能です。ただ、難しいのがこの“維持する”という行為です。
ある一時点で、コンプライアンスフレームワークに遵守できる状況に改善しても、半年も過ぎたら、遵守しているかどうかの判断さえもできなくなってしまったという状況は良く聞く話です。
『プロアクティブな対応』を行うこと、組織の現状を常日頃から確認し、コンプライアンスの準拠を常日頃から意識をしておくことで、仮に、内部環境/外部環境の変化があったとしてもコンプライアンスを遵守できている状態を維持できるような運用体制を敷くことができます。
SecurityScorecard を利用した『プロアクティブな対応』
前述しましたが、『プロアクティブな対応』を行う際に、必ず第一歩目に行っていただきたいことは、「自組織のセキュリティ態勢の現状把握」です。
攻撃者は、ターゲットとする組織の現状のセキュリティ態勢を観察してから攻撃を仕掛けると言われています。つまり、攻撃者視点に立った時に、その組織がどのような状態になっているのかを把握することが、将来起こりうる攻撃に備える第一歩になります。
SecurityScorecard が提供するセキュリティ リスク レイティング プラットフォーム では、組織のセキュリティ態勢を点数化します。利用者は、その点数から組織のセキュリティ態の成熟度を定量的に理解することができます。
では、先ほど挙げた『プロアクティブな対応』の3つの価値に照らし合わせて、SecurityScorecard の機能を詳しく見ていきます。
1. 潜在的な攻撃に時間的な余裕をもって対策することができる
攻撃者は標的とした組織の脆弱な点をついて、攻撃を仕掛けてきます。対抗する組織からすれば、企業の脆弱な点が把握でき、それに対して予め対策を講じることで、『プロアクティブな対応』が可能になるということになります。
SecurityScorecard では、実際の侵害の事案から企業が対応したほうが良い脆弱な点をカテゴリーに分けて示唆、それぞれのカテゴリーにおいて、対応状況を数値化して具体的に表します。

企業はその数値を確認し、ある程度の時間をかけて、カテゴリーごとにセキュリティ態勢の向上を計画することができます。
2. 組織のセキュリティに関する設定/構成の誤りや改善点に自ら気が付くことができる
SecurityScorecardは、カテゴリー毎にそのセキュリティ態勢について、点数化することは上述しました。さらに、そのカテゴリー毎の点数は、当該組織で確認される様々な脆弱な点が加味されて、付けられています。
以下の図の例は、“Network Security”というカテゴリーで加味される脆弱な点を示しています。この中で、「証明書の有効期限が切れている(Certificate is Expired)」、「RDPが外部に公開されている(RDP Service Observed)」などがハイライトされ、確認された数が表示されていることが確認できると思います。
これらの脆弱な点は、管理者の設定/構成の誤りで、その多くは設定を見直すことで短期的に改善することができる項目です。

3. コンプライアンスへの遵守状況に自ら気が付くことができる
上述した通り、SecurityScorecardはその組織で確認されたセキュリティイシューをベースに点数を算出しています。つまり、予め、組織としてコンプライアンスベースで遵守すべきセキュリティイシューの項目を決めておけば、そのセキュリティイシューが確認された場合、つまり、コンプライアンスに抵触する状態になったことをタイムリーに把握でき、対応を行うことができます。
また、SecurityScorecardでは、予め、複数の標準セキュリティフレームワークを組み込み、遵守項目に対応するセキュリティイシューを定義、現在、組織がそのフレームワークに遵守できているか否かの確認をすることが可能です。

“『プロアクティブな対応』が組織にもたらす価値”や“『自組織のセキュリティ態勢の現状把握』から始める一連の対応の流れ”をご理解いただけましたか?
これまで皆様の組織で、『プロアクティブな対応』に対する投資を体系的に考えていらっしゃらなかったら、是非、SecurityScorecardで『自組織のセキュリティ態勢の現状把握』から始めてみませんか?