ここから本文です

「いきなり100件ものアラートが飛んできた!」 パニックになる前にすべきこととは

8/7(月) 8:10配信

@IT

 「企業の存続」をも脅かす近年のサイバー脅威に対し、CSIRT(Computer Security Incident Response Team)やSOC(Security Operation Center)を設け、対処に取り組み始めた企業が増えている。ただ、設けただけでは決して安心できない。そこに、また新たな課題が浮上している。

「RSA NetWitness」の新バージョン

 それは、「マルウェアを検知した」「いつもと異なる異常なアクティビティーが見られる」といった多過ぎるアラートに振り回され、運用の現場が疲弊してしまうというものだ。

 こんな状況に、EMCのセキュリティ事業部門であるRSAでは「ビジネスドリブンセキュリティ」と呼ばれる考え方を提唱し、企業がより効率的にセキュリティ対策を実践できるように支援している。ビジネスドリブンセキュリティとは、自社のビジネスにとって最も重要な資産は何で、最も大きなリスクは何かを整理し、優先順位を付けて対策に取り組む「リスクベース」のアプローチのことを差す。NIST(アメリカ国立標準技術研究所:National Institute of Standards and Technology)が示す「サイバーセキュリティフレームワーク」とも共通する考え方だ。

 この考え方に沿ってRSAは、ログやネットワークパケット、ネットフローを収集して現在の状況やインシデントを可視化するモニタリング製品の新バージョン「RSA NetWitness Logs & Packets 11」と、エンドポイントの状況を監視し、脅威を検出する「RSA NetWitness Endpoint 4.4」を2017年7月18日に発表。両製品は2017年7月26日~28日にシンガポールで開催された「RSA Conference 2017 Asia Pacific & Japan」でもお披露目され、日本では2017年秋にリリースされる予定だ。

 新バージョンのポイントは、インシデント対応の第一画面となる管理ツールのユーザーインタフェースを改良し、ログなどの相関分析の結果から得られた情報を分かりやすく表示するようにしたことだ。また、解析から得られた痕跡(IoC:Indicator of Compromise)とエンドポイントの挙動を過去にさかのぼって把握できる「ストーリーライン」機能を組み合わせることで、「どんなURLや添付ファイルが原因で感染したのか」「過去、同じURLにアクセスした端末はどれか」「そのIPアドレスは、他にどのような攻撃に悪用されたか」「その影響を受けた恐れのある端末はどれか」といったことも把握できる。具体的に原因を突き止め、素早く対策調査ができるようになるという。

 さらにもう1つ、RSAのリスク管理・コンプライアンス対応プラットフォーム「Archer」のモジュールの1つである「Archer SecOps」と連携し、資産情報やリスク情報を加味して重み付けを行えることも特長だ。

 例えばアラートがいきなり100件上がってきたら、どれから手を付ければ良いかに迷うはずだ。具体的には、重要な情報を扱う役員のPCや、事業の存続に欠かせない会計システムなどを先に対処するといった優先順位付けが必要だが、それを把握するのにも時間がかかる。RSA NetWitnessでは、「何がクリティカルなのか」を判別して自動的に優先順位を付けてくれる。「これにより、初期対応のためのアナリストの負荷を減らせる。総じてSOCの運用をシンプルにできるので、CSIRTの迅速な意思決定を支援できる」と、EMCジャパン RSAシステムズ・エンジニアリング部の梅木和年氏は説明した。

●「ビジネスへの影響度」に基づいた優先順位付けが重要

 新製品におけるRSAの狙いは何か。RSA アジア太平洋・日本市場担当プレジデントのナイジェル・ウン氏は、現地での筆者の問いに対し、「サイバーセキュリティを巡る状況は悪化している。侵害件数は右肩上がりで、組織の対応コストも増加の一途をたどっている。日々新たなマルウェアの亜種が生まれ、攻撃側は次々に新しい手法を模索している。この状況に対してRSAは、新たな脅威に対抗するレジリエントな(復元力のある)セキュリティ戦略の立案を支援していく」と回答した。

 そうといっても、「完璧な防御策」を用意するわけではない。代わりに同社が提唱するのは、セキュリティ業界が完璧な防御を目指してきたこれまでのやり方とは異なるアプローチだ。「100%完璧な防御策、解決策はない。必要なのは、多くの脅威のうち、どれが自社にとって最もクリティカルなのか、どれがビジネスに最も大きなインパクトを与えるかを整理し、優先順位を付けて対応に当たることだ」とウン氏は述べ、リスクベースの対策が必要だと強調した。

 RSAではこのリスクベースの対策に対し、幾つかの施策を既に進めている。シンガポールをはじめ各国でセキュリティ教育カリキュラムを推進し、人材育成に協力していくのもその1つだ。また同時に、ツールの面でもNetWitnessやArcherに加え、「SecurID」を核とするID管理プラットフォームを提供することで、「セキュリティ担当者がより多くの情報を得て、より迅速かつ簡単にインシデントを把握し、管理できるよう支援していく。これらプラットフォームを通じて、SOC運用を減らしていく」(ウン氏)のが狙いだ。専門性を備えた人材を支援するために、運用や対処の「自動化」も視野に入れているという。

 ウン氏によると、既にかなり成熟したSOC運用を実現している企業や組織もあるそうだ。

 「そうした企業は、経営層がセキュリティの必要性に理解を示し、きちんと投資を行っている。それも技術だけでなく、人やプロセスにも相応の投資を行っている。つまり、IT予算の一部ではなく、ビジネスのための独立した予算を確保している」(ウン氏)

 こうした成功例は何がポイントか。経営層がセキュリティ対策の重要性、つまりセキュリティリスクはビジネスリスクであることを理解していなければ始まらない。だからこそセキュリティ担当者は、難しい技術や専門用語を並べて説明して終わり、ではなく、具体的に「自社ビジネスへのインパクトはどのくらいか」「保護やリスク管理は可能か、不可能か。可能ならば何が必要か」を経営層に分かる言葉で伝えていくことが本当に重要だという。

 こうした体制作りは、インシデントの防止だけでなく、万が一情報漏えいや侵害が起きてしまった際のメディア対応などにも効いてくる。

 例えば、数千万件の個人情報が漏えいし、CEOの辞任にまで至った米国ディスカウントストア大手のTargetは、被害状況を正確に把握できなかったことから、五月雨式に情報を公開してはメディアに取り上げられ、たたかれた。そして、報道のたびに被害範囲が大きくなっていったことも消費者の強い怒りを買った。

 「この事例とは対照的に、米国金融機関大手のJPMorgan Chaseも情報漏えい事故を起こしたが、再発防止策も含め迅速かつクリアな説明を行ったことから、報道は1週間程度で終息した。何がどのように起こったのか、その結果何にどのような影響があったのか、その対応をどのように行ったかを明確に説明しなければ、顧客の怒りを招き、信頼を失うことになる」(ウン氏)

 そうした対応をスムーズに行うにも、自社がどんな資産を持っており、どの程度重要なのかを日頃から把握し、セキュリティの観点から優先順位を付けておくことが重要だ。それができてはじめて、適切な意思決定が可能になる。

 「あれもこれも、全部を守りきろうなどということは不可能だ。最も大事なものを特定して、そこにフォーカスして対処することが重要だ」(ウン氏)

●サイバーセキュリティフレームワークを情報共有で補完

 RSA バイスプレジデント兼グローバルパブリックセクター担当ジェネラルマネジャーのマイク・ブラウン氏は、NISTのサイバーセキュリティフレームワークこそリスクベースの考え方を採用したものであると説明し、以下の対策指針を企業へ提言した。

 「そもそもサイバーセキュリティフレームワークの目的は、組織にとって何がリスクであり、どれが優先順位が高いかを明らかにし、それを踏まえて何を守るかのロードマップを定め、リスクを緩和するための適切なステップを明らかにすることだ。改訂作業もその方向性を踏襲している」(ブラウン氏)

 サイバーセキュリティフレームワークでは、核となるセキュリティ機能として「特定」「防御」「検知」「対応」「復旧」の5つがあり、それぞれのベストプラクティスがまとまっている。RSAでは、SecurID、NetWitness、Archerそれぞれの製品を通じて、これらの機能を実現する手段を具体的に提供していく考えだ。

 サイバーセキュリティフレームワークと並んで、もう1つブラウン氏が重視する取り組みが、「官民にまたがる情報共有体制の整備」だ。

 ブラウン氏は長年にわたって米政府や関連機関のセキュリティ戦略立案を支援してきた他、セキュリティ・脅威情報共有の枠組み作りにも参画してきた。米国では2015年、オバマ大統領(当時)の大統領令によって、米国土安全保障省が官民にまたがる情報共有の「ハブ」の役割を果たすことになった。それを取り巻く形で、15年以上の歴史を持つ金融業界の「FS-ISAC(Financial Services Information Sharing and Analysis Center)」をはじめ、業界ごとに情報共有の枠組みが形成されつつある。同時に、セキュリティベンダー主導で結成された「Cyber Threat Alliance」では、脅威情報を共有し、それぞれの顧客も含めたエコシステムを形成しようとしている。

 こと情報共有に関しては、「自社のデータはあまり出したくない」という意識も根強い。ブラウン氏は一例としてFS-ISACの取り組みを挙げ、「データを匿名化し、特定の組織名と結び付けずに共有することで、まず大手の金融機関が積極的に協力するようになった。政府も後押しし、加わる組織が増えるにつれ、共有の枠組みに参加しないことによる不利益が大きくなっていった」と説明し、一定のルールを設けることで有益な情報共有が可能になるとした。

 また、「自動化」もポイントになる。メールや電話といった人手を介すアナログな方法ではなく、STIX(Structured Threat Information eXpression)やTAXII(Trusted Automated eXchange of Indicator Information)といった標準プロトコルに沿って、セキュリティ監視装置やSIEM(Security Information and Event Management)といった機器がダイレクトに脅威情報、IoCを交換できる仕組みが整いつつある。

 これについてブラウン氏は、「まだこの取り組みは発展途上だ。エコシステムをさらに成長させていかなければならない。コンテキストやビジネス上の優先順位も含め共有したり、リスク緩和策やアクションを自動化したりするといったことも視野に入れている」と述べている。

 最後に、ウン氏、ブラウン氏のいずれも懸念を示していたのが、IoT(Internet of Things)とOT(Operation Technology)分野のセキュリティ対策についてだった。

 「これらは他の分野に比べて情報共有には消極的。しかしそれが攻撃者を利することになっている。よりよい備えを実現するために情報共有を後押ししていきたい」(ウン氏)

 またブラウン氏も「もっと全体をスピードアップしていく必要がある」と述べ、サイバーセキュリティフレームワークの適用やセキュアな設計、脆弱(ぜいじゃく)性修正のための迅速な更新といった取り組みが必要であるとした。

最終更新:8/7(月) 8:10
@IT