今回も、前編に引き続き、『攻撃のターゲットにならない』ためのセキュリティ投資とは”というテーマで話を進めます。
改めて、誤解を招きたくないので、お伝えします。タイトルには『攻撃のターゲットにならない』と記載しましたが、これから記載する各種ソリューションを導入しても、『攻撃のターゲットにならない』状態を完全に実現することは難しいです。ただ、『攻撃のターゲットになりにくい』状態にすることは実現することはできます。
前編では、これからのセキュリティソリューションの新たな“着眼点”として、サイバー攻撃のフローの中で、“情報収集”のステップがあり、その点に着眼する際に抑えるべきポイントは以下の2つであることをお伝えしました。
その1
“情報収集”のステップでは、攻撃者は、攻撃対象とする組織がどのようなセキュリティ的な脆弱なポイントを外部に晒しているかを詳らかにし、その情報を元に攻撃のシナリオを構築するということ。
その2
“情報収集”のステップで、攻撃を断ち切ろうとした場合、防御側が取るべきは、「攻撃者が攻撃のシナリオを作成する際に、調査するセキュリティ的な脆弱なポイントを抑え、その対応を行う」という極めてシンプルな行動であるということ。要するに、「外部に晒しているセキュリティ的な脆弱なポイントを極力排除し、攻撃者に攻撃させなければ良い」ということ。
後編では、具体的に“情報収集”のステップで攻撃を断ち切るために有効なソリューションはどのようなものがあるか、について触れます。
“情報収集”のステップで攻撃を断ち切るためのソリューションとは?
先ほど、“情報収集”のステップに着眼するのは新しいアプローチであると書きましたが、もちろん、これまでにもこのステップで肝要な「外部に晒しているセキュリティ的な脆弱なポイントを極力排除し、攻撃者に攻撃させなければ良い」について、対策を取れるソリューションは存在しました。
“脅威インテリジェンス”、“ペネトレーションテスト”、“脆弱性診断”、“レッドチームサービス”などがそれに当たります。
“脆弱性診断”を例にとって、説明します。
“脆弱性診断”は、その名の通り、システムの脆弱なポイントについて、ツールを用いて調査を行い、組織のセキュリティ的に脆弱なポイントを詳らかにするソリューションです。
つまり、このソリューションを利用することで、組織はまさしく、“情報収集”のステップで、攻撃者が行うであろう、「攻撃対象とする組織がどのようなセキュリティ的に脆弱なポイントを外部に晒しているかを詳らかにし、その情報を元に攻撃のシナリオを構築する」ことの想定ができ、その想定に応じた対策を講じることができます。
既存の“情報収集”のステップで攻撃を断ち切るためのソリューションの課題
ただ、これらのソリューションを、広く多くのお客様が利用できているかというと、現状、そうではないと思います。そこには、導入を阻む、大きな課題が存在しているのがその理由です。
課題の代表的なものを以下に挙げます。
- 1回の試行に時間/費用を要し、継続的な活用が困難である
ペネトレーションテストやレッドチームサービスを利用するお客様は、特にこの課題を感じられています。これらを実施するためには、システム的にも体制的にも事前に相当の準備を行う必要があります。それを負荷と感じられる方、少なくないと耳にします。
- 活用方法が難しく、運用への定着が困難である
脅威インテリジェンスが特にこの傾向が強いでしょうか。脅威インテリジェンスサービスを確認することで、組織は様々な示唆に富んだ事実を把握することが可能です。ただ、脅威インテリジェンスサービスは、今後どのようにするかを丁寧に説明してくれるものではありません。脅威インテリジェンスサービスの記載を、セキュリティ運用に転換し、定着させる。この点はお客様が判断することになり、脅威インテリジェンスサービスを利用する方には、それ相応のスキルが求められるのが現状です。
- 調査結果から攻撃被害の定量的判断が困難である
全てのソリューションに共通することですが、ソリューションから得られた結果はあくまでも「今、その組織が晒されている脅威/晒している脆弱なポイント」に対する定性的な評価であることが多いです。つまり、「実際に、どの程度危険な状態に置かれているのか」を定量的に示すものではありません。定性的な評価だけで、アクションを起こすことは、周囲の説得含めて、容易なことではないと想像できます。その点でも、セキュリティを運用する方々には負荷になっています。
これらの課題を解消するソリューションはないのでしょうか。
“セキュリティ リスク レイティング” というアプローチ
“セキュリティ リスク レイティング”については、これまでもSecurityScorecardのブログで紹介してきましたが、ここで、改めて説明します。
“セキュリティ リスク レイティング”とは、「組織の現時点のセキュリティの態勢を定量化/点数化を行うソリューション」です。
セキュリティ運用担当の方は、“セキュリティ リスク レイティング”のシステムにログインするだけで、その組織のセキュリティの状態を一目瞭然に確認することができます。
(この組織のセキュリティ態勢は「63点」。SecurityScorecardでは、100点満点で点数化されるため、この組織のセキュリティ態勢は改善の余地があると判断できます。)
また、現時点で、当該組織にはどのようなセキュリティイシューが存在するかを、リストで把握できるので、今後のセキュリティ対策の方向性を出すことに活用することも可能です。
これだけの情報を“セキュリティ リスク レイティング”の仕組みは提供するのですが、システムにインプットする情報は、たった1つ、組織のトップレベルドメインのみです。
トップレベルドメインの情報さえ入力すれば、後は、システムが自動的にセキュリティの脆弱なポイントをインターネット空間から収集し、点数化して、Web画面上に表示してくれます。
この“セキュリティ リスク レイティング”が点数化する対象こそ、まさに、サイバー攻撃のフローの“情報収集”のステップで攻撃者が収集する情報です。
繰り返しになりますが、“セキュリティ リスク レイティング” は、入力されたトップレベルドメインの情報を元に、当該組織が抱えているセキュリティの脆弱なポイントをインターネット空間から自動収集し、点数化します。
その組織のインターネット空間から確認できるセキュリティの脆弱なポイントは、まさしく、攻撃者が“情報収集”のステップで収集している情報そのものです。その情報に、点数をつけて、攻撃者から見て、その組織が何点なのか、つまり、狙いやすい状態にあるのか、そうでないのかを判定する、まさに、“情報収集”のステップで攻撃を断ち切るためのソリューションの新しい提供形態です。
では、この“セキュリティ リスク レイティング”には、前述したソリューションが抱える課題は存在しないのでしょうか。
- 1回の試行に時間/費用を要し、継続的な活用が困難である
⇒ セキュリティ リスク レイティング は、ご契約をいただくと、日ごとに更新されるレイティングを確認することができます(メールなどで、レイティングの通知設定をすることも可能)。導入した組織は、必要な時に、自組織のセキュリティの態勢を定量的に確認することが可能です。どのイシューを修正すれば「攻撃されにくい」環境に近づけるのか、具体的な計画提案を確認し、継続的に改善していくことができます。
- 活用方法が難しく、運用への定着が困難である
⇒ セキュリティ リスク レイティング を導入することで、自組織のセキュリティ態勢を点数化することができます。セキュリティ運用を担当される方は、その点数を元に、「次のセキュリティの目標値を設定する」など、具体的な運用目標を作ることが可能です。
- 調査結果から攻撃被害の定量的判断が困難である
⇒ セキュリティ リスク レイティング の中でも、SecurityScorecardが提供するソリューションは、レイティングから侵害発生の可能性を判断することが可能です。
例えば、下図が示す通り、レイティング「F」の組織は、レイティング「A」の組織に比べて、7.7倍の侵害発生の確率があることを統計的に判断が可能です。
これまで、“情報収集”のステップで攻撃を断ち切るためのソリューションには、その導入を阻む、大きな課題が存在していました。
- 1回の試行に時間/費用を要し、継続的な活用が困難である
- 活用方法が難しく、運用への定着が困難である
- 調査結果から攻撃被害の定量的判断が困難である
“セキュリティ リスク レイティング”は、これら導入する過程で発生する課題を解決できる画期的なソリューションです。
是非、皆様のセキュリティ投資の選択肢の1つとして捉えていただければ幸いです。