Skip to main content

今だから知りたい、『脅威インテリジェンス』 シリーズ#5

第五講:「“セキュリティ リスク レイティング”とは何か?」


発行日:2021年5月11日
執筆:中村悠、編集:橋本詩保

第一講:「インテリジェンス」とは? 『脅威インテリジェンス』とは?
(第二講: オシント/シギント/ヒューミント? どうやって区別するの?)
第三講:「脅威インテリジェンスを活用するための“サイバー攻撃への理解”」
第四講:脅威インテリジェンスを活用するための“サイバー攻撃への理解”(続き)



『組織のセキュリティ態勢が攻撃者から見た時にどのように映っているのか。』を知る

前回のコラムでは、「脅威インテリジェンスを活用する目的を設定する。そのために、サイバー攻撃のライフサイクルを理解する」というテーマで話を進めてきました。

その中で、「(1) 情報収集段階」への脅威インテリジェンスの活用を今後広げていく必要があると伝えました。

ここで、念のために、「(1) 情報収集段階」について、簡単に振り返ってみます。

(1)情報収集段階

このステージでは、攻撃者は、標的とする組織の実態調査を行います。つまり、セキュリティの弱い点を詳らかにし、標的とすべきか否かを決断します。

従って、セキュリティ対策も、(自社組織、並びに、関連企業の)現状把握が目的になります。自社のセキュリティ態勢はどうなっているのか、また、ビジネス上に関連する企業のセキュリティ態勢はどうなっているのか。そして、それらのセキュリティ態勢が攻撃者から見た時にどのように映っているのか。これらを推し量るために脅威インテリジェンスの活用が考えられます。

その中で、「セキュリティ リスク レイティング」というソリューションがこの段階の脅威インテリジェンスの活用の一形態だということをお伝えしました。



「セキュリティ リスク レイティング」とは?



では、この「セキュリティ リスク レイティング」というソリューションは、どのようなものなのでしょうか、おそらく日本では、まだ、あまり耳なじみのない方が多いのではないでしょうか。

レイティングという単語を辞書で引くとこのようなことが書いてあります。

「対象となる物事に対して、ある基準に基づき、等級分けや数値化をおこなったもの」(https://www.weblio.jp/content/%E3%83%AC%E3%82%A4%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0)

つまり、「セキュリティ リスク レイティング」とは、その組織のセキュリティのリスクに対する等級分けや数値化をしてくれるソリューションです。

聞いただけで、素敵な感じがしませんか? 

そう、これまでセキュリティという分野では難しいとされてきた、企業のセキュリティリスクを数値化できるソリューションです。

ある基準に基づいて、数値化をすることができれば、

  • 自組織のセキュリティリスクを数値として把握
  • 他組織のセキュリティの態勢との定量的な比較

を行うことができます。

これを実現できれば、社内でセキュリティ投資の妥当性を判断する一助にもなりますし、上層部に報告する際にも、非常に参考になると思います。



何をどのように“レイティング”するのか? “レイティング”は何を示す指標なのか?

では、この「セキュリティ リスク レイティング」ですが、どのようにセキュリティ リスクをレイティングしているのでしょうか。

「セキュリティ リスク レイティング」というソリューションを提供しているベンダーは既に複数存在し、それぞれが異なるアプローチを取っていますが、多くのベンダーで採用している手法は、「組織外からアクセスできる情報資産にどのくらいセキュリティの脆弱なポイントがあるか」をレイティングするというものです。

脆弱なポイントと記載すると、CVE番号が振られたいわゆる“脆弱性”のみを想像される方もいらっしゃるかと思いますが、ここでは、設定の不備なども含めた広範なものを指します。

この点に関しては、弊社SecurityScorecardのソリューションを例に取り、もう少し詳しく説明いたします。

SecurityScorecard社のソリューションでは、10個のカテゴリでセキュリティ リスクを分類しており、以下はその1つのネットワークセキュリティに分類される項目です。

図では、英語表記になっていますが、例を記載すると、

「証明書の期限が切れている」

「SSHが脆弱な暗号形式を利用している」

「MySQLが外部からアクセスできる状態になっている」

などがその対象となっていることが確認できます。

また、上記はネットワーク関連のものだけですが、他にも例えば、以下の項目が含まれます。

「サポート期間が終わったWebブラウザを利用している」

「SPFレコードが存在しない」

「CVE-XXXX-XXXXXが存在している」

「WebサイトがHTTPSに対応していない」

基準に使われている項目は、ソリューションを提供するベンダーそれぞれ独自のものがありますが、このような項目(脆弱なポイント)がセキュリティ リスク レイティングの対象になっています。

このように多種多様な項目ですが、共通していることが1つあります。それは、「組織外からその脆弱なポイントを見極められる」という点です。つまり、攻撃者が情報収集段階で標的とする組織の状況を把握する際に、見極められる脆弱なポイントと重複する部分が多くあるのです。

となると、この「セキュリティ リスク レイティング」が何を示す指標なのか、おのずとわかってくると思います。

そうです。「攻撃者からみて、その企業が狙いやすいのか、狙いにくいのか」を示す指標が「セキュリティ リスク レイティング」です。

つまり、このレイティングが低い(セキュリティ的に脆弱なポイントがたくさん見つかっている)ということは、攻撃者から見ても狙いやすい状態にその組織があるということ。レイティングが高ければ、攻撃者から見て狙いにくい状態にその組織があるということ。

こんな感じです。

「セキュリティ リスク レイティング」を見れば、定量的に把握し、判断することができます。

どうでしょうか? 判断を促すことができる情報、「セキュリティ リスク レイティング」は、立派な“脅威インテリジェンス”です。非常に魅力的なソリューションではないでしょうか。

前回のコラムでお伝えしました、「(1) 情報収集段階」への脅威インテリジェンスを活用し、“『それらのセキュリティ態勢が攻撃者から見た時にどのように映っているのか。』を知る”ために、この「セキュリティ リスク レイティング」がその1つの選択肢であることをご理解いただけたのではないかなと思います。

次回は、「セキュリティ リスク レイティング」のその活用方法により踏み込んだ内容をお伝えします。






他の人気ブログ