最終回 サイバーセキュリティオペレーションの将来
高橋 健志
独立行政法人情報通信研究機構
武智 洋
株式会社ラック
門林 雄基
奈良先端科学技術大学院大学
2010/12/21
組織や国境をまたいでセキュリティ対策に関する情報を共有できれば、セキュリティオペレーションの効率は大きく高まるはずだ。この連載では、そうした情報共有を実現するための新しい国際標準「CYBEX」について説明する。(編集部)
前回「一目で分かる、CYBEXを構成する5つのブロック」では、CYBEXにより、さまざまなサイバーセキュリティ情報が機械可読な形で交換できるようになることを説明してきた。
これまでも、電話や電子メール、あるいは対面での会話、打ち合わせなどの形で、部分的には情報共有が行われていた。だがそれらの多くは組織的な活動というよりは、オペレータ同士の横のつながりにより、非公式に行われていたものだった。
しかし、この情報交換が機械可読な形でコンピュータによって自動的になされるようになると、サイバーセキュリティオペレーションの現場も大きく変化することになる。今回は、今後考えられる具体的な変化を、もう少し詳しく見ていこう。
セキュリティオペレーションをより合理的に、効率的に
■組織間での情報共有を人に頼らず効率的に
前述のとおりセキュリティ情報の共有は、従来は電話や電子メール、対面での会話、打ち合わせなどによって行われていた。だがどの手段もかなりの時間を消耗する。悪意のあるユーザーが世界中のコンピュータを相手に瞬時に攻撃できるのに対し、あまりにも非効率的であった。
これに対し、サイバーセキュリティ情報が機械可読な形で交換されるようになれば、理論的には、ある情報を世界中の無数のコンピュータが瞬時に共有することさえ可能になる。もちろん、実際には運用上の問題があるものの、従来の方式と比べれば、組織間での情報共有がはるかに効率的になるのだ。
■メタ情報を基に情報の整理、蓄積も効率化
CYBEXに基づけば、多くのサイバーセキュリティ情報が機械可読な形で流通するだけでなく、分類やIDなどのメタ情報が付与された、整理された形で出てくるようになる。そうすると、それらのメタ情報を基に効率的にセキュリティ情報を整理できるようになる。
従来は、オペレータが人為的コミュニケーションにより獲得した情報を記録し、それにオペレータ自身の判断でIDを付与し、分類をする必要があった。だがCYBEXによってこれらの作業がすべて省略可能となるため、作業が効率的になる。しかも、個々のオペレータによって生じるIDや分類方法の違いなどを考える必要がなり、属人的な要素に左右される可能性が減少する。
■言語の壁を越えた情報共有の促進
CYBEXで交換されるサイバーセキュリティ情報には、分類などのメタ情報が付与される。その分類方法も、CWE(Common Weakness Enumeration)などの規格として確立していくことが期待されている。
分類の際には、番号やアルファベットなど、言語によらないIDが振られることになる。従って、たとえ情報自体が外国語で記述されていたとしても、分類方法さえ理解していれば、自分に必要なサイバーセキュリティ情報を絞り込んで探し出すことができるのだ。こうして抽出された結果だけを翻訳することも可能だし、その翻訳した情報を、別の機関に向けて再配信することもできる。
膨大な外国語のデータベースの中から、必要な情報を手探りで探すのは非現実的であった。だが絞り込んだ情報の翻訳であれば実現可能だ。それに、もしほかの機関がすでにその情報を翻訳しているのであれば、その翻訳済み情報を共有することもできる。
まだ完全に言語の壁を越えたとまでは言えないものの、CYBEXにより、この問題を解決に向けて前進させていくことができると我々は考えている。
■組織間での情報共有を前提にしたオペレーション
機械可読な形でサイバーセキュリティ情報が提供されるようになると、組織間での情報交換および蓄積が容易になることは、先に述べたとおりだ。
従来、サイバーセキュリティ情報は「交換されるもの」というよりも、「自ら収集するもの」、もしくは「研究して蓄積する必要があるもの」であり、オペレーションもそれに準ずるやり方がメインであった。
 |
| 図1 CYBEXによる情報交換オペレーションの省力化 |
これからも、これら従来からのオペレーションの重要性は引き継がれるものの、組織間での情報共有により得られる情報が格段に増えれば、それを考慮したオペレーションも考えられるようになるだろう。これまで自前で収集、研究していた情報収集業務の一部は、組織間での情報共有に置き換わることになる。そしてその代わり、共有された情報の信頼性・信憑性を精査し、必要な情報を抽出するという作業が発生することになる。
また、中にはほかの組織との共有が期待できない情報もあるだろう。そこで、どの情報をほかの機関からの共有に頼り、どの情報を自社で研究していくべきかの選別も必要になるはずだ。
逆に、自ら取得・発見した情報についても、どの情報を共有し、どの情報を共有しないのか、また誰に共有を許し、誰に共有しないのかという情報共有のポリシーについても検討していく必要がある。同時に、それらのポリシーを常に管理していく必要があるだろう。
ミスを減らして品質向上も
■より本質的な作業に割く時間の増加
これまで、CYBEXによって「オペレーションが合理化される」ことを説明してきたが、さらには品質向上も期待できる。
連載の第1回で紹介したとおり、各組織内でサイバーセキュリティオペレーションに従事する陣営を拡充するのは、投資対効果の説得性や人員確保の困難度の観点から、やはり難しい。
CYBEXにより情報共有が効率化されれば、日々の情報収集タスクに割く手間が省け、その分、それらの情報をどのように活かしていくのかというサイバーセキュリティオペレーションのより本質的なところに費やせる時間が増えることになる。日々のオペレーションでこれまでは行き届いていなかった部分まで手が届くようになり、結果として品質の向上が期待できる。
■情報交換時の人為的なミスの減少
またCYBEXにより、情報交換時の人為的なミスも減少することから、ここでもオペレーションの品質向上が期待できる。
いかにプロとはいえ、オペレータ間での電話や電子メール、会話、打ち合わせなどによる情報交換では、どうしても人為的なミスが生じる可能性がある。
もちろん、熟練したオペレータならば、致命的なミスが生じる可能性はゼロに近付くだろう。だが、情報が正しく完全に伝わらない、もしくは一部間違って伝わることだってある。また、伝えたい情報をすべて伝えきれない場合だってある。経験値の浅いオペレータならばなおさら、この人為的なミスが生じる可能性が高まり、またそのミスが及ぼす影響も大きくなってくる。
実際つい先日も、コミュニケーションミスが主要因とみられるIBMのセキュリティ報告書の誤りなどがニュースで報道されている。このようなケースは、表面化していないものも含めれば、看過できない状況といえる。
もし、これらの情報を機械可読な形で表現し、コンピュータ間でその情報をそのままの形で交換することができれば、人為的なミスが入り込む余地は少なくなる。結果として、上述のようなミスが生じる可能性を抑制することができると我々は考えている。
■発展途上のオペレータを支援
では、オペレータの作業品質の観点ではどうだろうか? 連載の第1回で述べたとおり、やはり、優秀な人材が限られている現状は、そう簡単に打開できるとは思わない。それでもCYBEXの発展は、この状況を打開する手助けになると考えている。
CYBEXにより、オペレータは雑務から解放され、本質的なオペレーションにより多くの時間を割くことができるようになる。その結果、オペレータの成長のスピードが加速していくと期待できる。
別の側面からも、CYBEXにより、オペレータの成長は大幅に促進されるだろう。
ご存じのとおり、サイバーセキュリティオペレーションは細分化されつつある。こうなると、専門知識外の領域については、知識や経験を増やしていくことがなかなか困難であり、複数の領域にまたがる問題の解決は困難であった。
だがCYBEXにより、必要に応じて多数のベストプラクティス情報が共有されることになるため、専門知識の境界線上、もしくは専門知識外の問題に対処するのに必要な情報を手に入れることが容易になる。これは、オペレータの成長に必要な情報が素早く手に入るようになることを意味する。結果として、日々のオペレーションの品質向上と同時に、オペレータ自身の能力の成長も期待される。
また、情報が機械可読になったということは、コンピュータが手元のサイバーセキュリティ情報を解析し、「現在実施しては危険なオペレーション」と「そうでないオペレーション」をある程度判断できるようになることを意味する。人間がオペレーションをやっている以上、どうしても人為的ミスはつきものだ。それを避けるためにさまざまな対策が講じられているが、その一助として、コンピュータが活躍できるようになる。
例えば、オペレーションミスを事前に防止できるようになるだろう。設定ミスによる脆弱性の露呈が増加しているが、CYBEXを利用すれば、設定情報についても、ベストプラクティスや脆弱性情報を共有できる。これらの情報を照らし合わせ、オペレータの決定がICTシステムに悪い影響を与えるか否かについて、コンピュータがオペレータに自動的にアラートを上げることも可能になる。
 |
| 図2 オペレータの意思決定を補助するコンピュータ |
■将来的にはオペレータの意思決定補助も
さらに将来的には、機械によりオペレーションの意思決定をサポートしてくれるシステムが出てくる可能性もある。
CYBEXにより、さまざまなサイバーセキュリティ情報が、機械可読な形で交換されるようになれば、それらの情報を機械自体が解析・学習し、オペレータが必要な意思決定を補助するようになるわけだ。例えば、セキュリティオペレーションに関するrecommendation engine(レコメンデーション・エンジン)のようなものの登場が考えられる。
そうなってくると、たとえ熟練していなくとも、またたとえ自分の専門領域でなくとも、オペレータが何か意思決定をする際、コンピュータがアドバイスや対策の選択肢を自動的に提言してくれるようになる。経験がほとんどない新人のオペレータであっても、一定以上の品質のオペレーションを実施できるようになるのではないか。
1/2 |
 |
| Index | |
| サイバーセキュリティオペレーションの将来 | |
 |
Page1 セキュリティオペレーションをより合理的に、効率的に ミスを減らして品質向上も |
| Page2 世界規模でのサイバーセキュリティへの貢献 今後取り組むべき3つの活動 |
|
 |
「CYBEXで進化するセキュリティオペレーション」連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
