セキュリティ対策をしていない組織はないでしょう。それでも発生する攻撃や侵害。では、対策しているのになぜ、発生してしまうのでしょう?
そこには想定と現実のギャップがあります。
想定自体が間違っているというパターンが最も多いケースです。「何が正しいか」が、日々変化し続けるセキュリティという環境においては、昨日正しかったものが今日は間違っている可能性もあります。日々水らの装丁が正しいかを振り返る必要があります。
また、セキュリティ対策を導入し、想定も正しいのに、その通りに動いていないケースには、設定ミスや機器の故障、ソフトウェアのバグなどが含まれます。これらをマニュアルで見つけ、修正するのは現実���ではありません。システム的な検知と、修復の導入が鍵になります。
最後の一つについては、想定を超える異常事態の発生ですから、攻撃や侵害の発生そのものを止めることは不可能です。この場合は、発生した事象がビジネスに与える悪影響を以下に最小化するかに注力する必要があります。
想定と現実のギャップを生む要因として、環境変化が考えられます。ここでは、外部環境と内部環境に分けて考えます。
残念ながら、攻撃は進化を遂げる一方です。セキュリティ対策も進化していますが、攻撃者は、その対策を潜り抜ける攻撃を日々編み出しています。攻撃が多様化することで、守る側も追加のセキュリティ対策を余儀なくされ、つぎはぎの、パッチのようなセキュリティ対策環境が構築される要因となっています。
業務の効率化のためにデジタル化を促進するDX。さまざまなメリットを生む反面、IT関連の負荷を生み出します。今まで説得が難しいと言われた経営層も、セキュリティやDXに対する理解が進んでいるものの、必要な人的リソースや予算の追加投資までには、なかなか辿りつかないのが現状です。その結果、セキュリティ対策がイタチごっこになりがちで、効率的でなくなるという問題を生んでいます。
これらの内外の環境変化に追いついていくには、まずは現状の把握とコントロール(可視性とグリップ感)が重要です。目に見えていないもの、把握していないものを守ることは不可能です。まずは、どのような環境があり、環境内に何があるのかを把握し、そこを守るための方策を決めていくことが必要です。
次に運用サイクルを見直します。今運用しているサイクルに抜け漏れがないかのチェックです。これは、フレームワークとの照らし合わせが有効です。例えば、NIST サイバーセキュリティフレームワーク(CST)では、「識別(ID)」「防御(PR)」「検知(DE)」「対応(RS)」「復旧(RC)」という5つの段階に分けて定義されています。セキュリティ運用で、これらの全てが網羅されているかの確認を実施します。
クラウド化やリモートワークの促進などによって、攻撃可能領域が拡大しています。また、「旬」と言われるセキュリティ技術も2-3年で変化しています。今まで検知対応はマニュアルに対する依存度が非常に高いものでしたが、技術の進歩により、リモートフォレンジックなども可能になっています。技術力の向上で、運用負荷軽減が実現しつつある今、現状のセキュリティ運用を見直す良い時期に来ていると言えます。
識別・防御については、脅威の発生そのものを低減させる「リスクコントロール」を、検知・対応・復旧では、脅威発生時の影響を低減させる「ビジネスインパクトの最小化」に関わる対策になります。
アプリケーション開発同様、セキュリティにもシフトレフトが求められています。リスクコントロールの段階で脅威を防ぐのが最も効率の良い対策だからです。その一つが脆弱性対策です。
脆弱性対策は、長年その重要性が訴えられ、さらに誰もがそれを理解しているにも関わらず、残念ながら、脆弱性が多くの侵害のきっかけとなっているのが現状です。さらに、クラウド化などに起因する攻撃可能領域の拡大は、その対策をさらに困難なものにしています。リソース不足や予算不足がそれに拍車をかけているとも言えます。
新たな課題は、動的な変化です。特にクラウドでは、インスタンスが立っては消えを繰り返すなど、環境が目まぐるしく変化します。この変化に動的に追いついていくためには、定期的な脆弱性診断や、マニュアル対応では限界があります。システムとしてこの変化を監視し、設定不備や脆弱性を検知し、対応していくための仕組みが求められているのです。
ラピッドセブンは、クラウドをはじめとする多様な攻撃可能領域を包括的に管理するソリューション、「クラウドリスクコンプリート」を提供しています。オンプレからクラウド、Webアプリケーションまで、幅広い攻撃可能領域を漏れなく守る「クラウドリスクコンプリート」で、360度のリスク対策をしてみませんか。
ラピッドセブンの紹介の時にヘラジカを目にすることは少なくないかと思います。社員のことを「ムース(ヘラジカ)」と呼ぶラピッドセブンですが、それには理由があります。英語のMooseと言う単語は、単数でも複数でも Moose. 通常”s”などがつきますが、それがありません。これがラピッドセブンを象徴していると私たちは考えています。一人でもラピッドセブン、組織としてもラピッドセブン。一人一人が、あるいはチームとして、会社を代表してお客様を支えています。
本ブログは、ラピッドセブン・ジャパン株式会社 CTO 古川勝也によるwebinar, 「攻撃者にスキを与えない!全方位の対策をシンプルに実現していくためには?」の内容を抜粋したものです。詳しくは、webinarをご覧ください。
(文:ラピッドセブン・ジャパン株式会社 横川典子)