インテリジェンス主導型情報セキュリティの実現(2)
実現に向けたロ―ドマップ
Security for Business Innovation Council
2012/3/16
サイバー攻撃が増大し、戦術が急速に進化する中、組織が自分自身を守るためには新しいアプローチが求められています。このレポート記事では、リスクに関する情報を収集、分析、統合し、それに基づいて意思決定と防御戦略を実施する「インテリジェンス主導型情報セキュリティ」の要点と構築ロードマップについて紹介します。(編集部)
この記事は、米EMC セキュリティ部門のRSAが主宰する「セキュリティ協議会」(Security for Business Innovation Council)がまとめたレポート「高度な脅威への事前対策 インテリジェンス主導型情報セキュリティの実現〜Global 1000企業のエグゼクティブからの低減〜」からの抜粋です。第1回の記事もご参照ください。 |
6ステップのロ―ドマップ
以下のロードマップは、情報セキュリティへのインテリジェンス主導型アプローチを実現するための基本的な道筋を示したものです。
図1 インテリジェンス主導型アプローチの実現に向けたロードマップ |
組織が実際にたどる道筋は、個々の状況によって異なります。このロードマップでは、一般的な方向性とさまざまなステージで考慮すべき項目を紹介しています。実際の流れでは、おそらく並行して取り組むことになると思いますが、この記事では順番に進めていきます。
ステップ1:基本から始める
■戦略的資産のリスト作成
インテリジェンス主導型情報セキュリティの根本的要件は、戦略的資産のリストを持つことです。すべてのデータを収集し、何もかも保護することは不可能だからです。
組織は、保護する最も重要な資産とその場所を知る必要があります。過去数年にわたり、多くの組織はリスクおよびコンプライアンスプログラムの一環であるデータ検出プロセスを通じて、資産リストを作成しているはずです。
■インシデント対応プロセス
もう1つの要件は、内部またはマネージド・セキュリティ・サービス・プロバイダー(MSSP)のいずれかで、セキュリティ運用センター(SOC)またはコンピュータ緊急対応チーム(CERT)を運用することです。
インテリジェンスプログラムを実施するには、ネットワークへの侵入を監視する基盤を設置し、インシデントに対応するためのワークフロー、プロセスを構築する必要があります。明確に定義された役割の下、体系的に処理するのが理想的です。
■リスク評価
このほか、リスク評価も必要です。評価には、保護する情報資産価値の決定、これら資産を狙う可能性のあるソースの特定(脅威評価)、既存の脆弱性の程度の判定(脆弱性評価)、その脆弱性の不正利用が成功する可能性と組織への潜在的影響の評価が含まれます。
評価のためのよい情報源として、米国科学技術研究所(NIST)やSANS研究所などいくつかが存在します。これらは、脅威、脆弱性、リスク評価の実施に関する詳細な指針を提供しています。
多くの組織は、セキュリティプログラムの一環として、すでに定期的なリスク評価を実施していることでしょう。インテリジェンスプログラムが進展すると、より多くのデータが収集され、どのデータを現行のリスク評価に取り入れることができるかが、より理解できるようになります。
もっとも、組織は自身が直面する脅威と自身のリスク管理体制の基本的な理解から始めることが重要です。
ステップ2:議論を展開する
インテリジェンス機能を開発するための必須要素は、経営管理者や主要な関係者(ステークホルダー)に利点を説明することです。そうすることで、支援と資金を獲得できるだけでなく、エンタープライズ全体を巻き込んだ取り組みを保証できます。賛同を得るには、インテリジェンス主導型セキュリティをエンタープライズ全体のコアコンピテンシーにすえる必要があります。
■防御から予見へという「価値」の提案
主な利点は、組織の保護がさらに強化される点です。利用できる情報を最大限活用することで、進化する脅威に対して、組織はより的確な防御戦略を構築し、実装することができます。
最も巨大な脅威に対抗し、最も重要な戦略的資産を保護することを目的としていることから、セキュリティは改善だけでなく、コスト効果の向上も実現します。知識を得ることで、セキュリティチームは事実に基づいた優先順位付けが行えるようになります。集中して取り組む方法や、制御のどの部分に投資することが適切かを知ることができます。
つまり、インテリジェンス主導型アプローチによって、セキュリティチームは積極的なセキュリティ管理を実施できるようになります。
適切な質問をして、主要な外部データと内部データを組み合わせ、大局を見据え、長期的な視野で脅威と脆弱性を調査することで、インテリジェンス主導型アプローチは個々のイベントまたは日々のインシデント以上の視点を提供してくれます。チームは徐々に、新たに出現する攻撃パターンや開発を知ることができるようになり、いずれは攻撃を予見して脅威を先回りするための専門性を身に付けることができるでしょう。
■主要な関係者(ステークホルダー)を巻き込む
コミュニケーションを取ることで、主要な関係者を説得できるだけでなく、継続的な出資を獲得できます。多くの組織にとって、インテリジェンス主導型セキュリティは新しいアプローチであるため、議論の基盤となる共通言語を開発することから始めることになるでしょう。
以下のリストは、主要な関係者候補とインテリジェンスの取り組みにどのような関わりを持つ可能性があるか示したものです。
・経営管理者および取締役会
トップレベルのサポート
リスク決定・財務部門
資金調達戦略・人事部門
従業員のアクティビティ監視・企業セキュリティ部門
共同データ収集および調査・購買部門
サードパーティのリスク管理・ビジネス/任務責任者
戦略的資産の特定とビジネスへのリスク・生産/運用部門
戦略的資産の特定と製造業務へのリスク・ビジネスリスク担当者
企業の視点でのリスク・法務部門
プライバシー関連法規制に対するコンプライアンス
脅威データの取得とその他組織との
情報共有に向けた法的枠組み
従業員のアクティビティ監視・IT部門
プログラミング、分析、自動化
ITアーキテクチャと防御戦略
データ共有とサービスレベル管理のためのIT運用
■「短期実現」の機会
インテリジェンス機能を完全に実装するには複数年の努力が必要です。従って、セキュリティチームにとって合理的なのは、すぐにいい結果を出せることを目標に、小規模な取り組みから始めることです。「短期実現」の目標を掲げることで、必要なサポートと資金を得ることができます。
最近、サイバー攻撃が大きくメディアで取り上げられたことで、経営リーダーや取締役会は、高度な脅威がもたらすリスクについて、概して高い認識をもっています。セキュリティチームはこうした関心の高さを利用して、セキュリティ戦略の統合的な一部としてサイバーリスクインテリジェンスプロジェクトを提案できるでしょう。
リーダーたちは、必要資金やサポートの提供に対して、以前よりも抵抗がなくなっているかもしれません。ただし、提案するプロジェクトは、現在の優先事項と一致し、かつ業務に特化した重要な情報を提供できなければなりません。漠然とした、広範なリスク情報は有用とはいえません。
多くの場合、インテリジェンス主導型アプローチは、セキュリティチームが何らかの機会を得ることから始まります。
例えば、ビジネスにとって重大と見なされる特定のリスクが発見され、その特定のリスクを回避する上でインテリジェンスが非常に有用であることが証明されるといった例です。もしくは、セキュリティインシデントが発生し、攻撃の検知や将来的なインシデントのリスク削減にインテリジェンスが非常に役立つことが分かった場合なども挙げられます。以下の表は、協議会メンバーや関係者の実体験に基づいた、可能性のある機会の例を示したものです。
例 |
プロジェクト |
結果 |
経営陣がメディア報道を見てハクティビズムに関する不安を表明した。同様のリスク・プロフィールを持つその他多くの組織がハクティビズムの標的になっており、何社かはWebサイト閉鎖に追い込まれている | 新種の脅威に関するデータの収集と分析 ・ハクティビストの標的になる企業の類似性、影響、攻撃の防御方法を調査するため、インシデント対応チームのメンバーを割り当てる ・調査に基づき、DDoS対策を具体的に調整する |
経営陣への脅威ブリーフィングによって、脅威分析に向けたさらなる技術リソースの支援を獲得する |
新規の戦略パートナー獲得によるビジネス戦略への影響の懸念 |
ビジネスパートナー候補に関するデータの収集と分析 ・脅威インテリジェンスサービスを短期契約して、ビジネスパートナーとその関係についての瀬在的な脅威を調査する ・調査に基づき、パートナーとのビジネスで求められるセキュリティ要件の具体的な提案を行う |
経営陣への脅威ブリーフィングによって、脅威インテリジェンスサービスに向けた更なる資金の支援を獲得 |
IP(知的財産)を持つシステムに対する内部関係者が関わったインシデントによって、特定の情報資産の保護強化の必要性を認識した |
内部環境のデータの収集と分析 ・重要な一連のシステムへのアクセスに関するエンドユーザーの挙動の基準を構築するため、セキュリティチームがビジネスインテリジェンスチームに支援を要請 ・基準の構築 ・これらシステム上のアクティビティを監視して異常を検知する |
エンドユーザーの挙動の基準を構築するシステム数の拡大に向けて、組織の支援を獲得 |
一連の不審なイベントが発生したことで、特定のシステムの侵害が懸念された |
外部の脅威データを使用する ・脅威インテリジェンスサービスを短期契約して外部への通信を監視し、ベンダの攻撃指標データベースを基に攻撃の兆候を見る ・ボットネットを検知し、修正する |
エンドユーザーの挙動の基準を構築するシステム数の拡大に向けて、組織の支援を獲得 |
1/2 |
Index | |
インテリジェンス主導型情報セキュリティの実現(2) 実現に向けたロ―ドマップ |
|
Page1 6ステップのロ―ドマップ ステップ1:基本から始める ステップ2:議論を展開する |
|
Page2 ステップ3:適切な人材を獲得する ステップ4:情報源を構築する |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|