ファスト&スローは全てのセキュリティ関係者の必読書
行動経済学の名著に記載されている象徴的なセンテンスに、システム1、システム2があります。
システム1は直感重視で見たものをそのまま判断する、システム2は熟考が得意で直感や印象に振り回されずに文脈から判断する、とのことです。
攻撃組織と対峙しているセキュリティアナリストの方は、一方的に送りつけられてくる膨大な信号から、自組織に関連が高いと思われる信号を素早くかつ正確に検出しなければなりません。
素早くかつ正確に検出するためには、システム1だけでは不十分で、システム2も必要です。
私は、サイバーセキュリティに携わる人は、いつ何時もシステム2を発動させて、前後左右の文脈を意識しながら何かを判断すべきと思っています。
例えばSOC(Security Operation Center)チームの目的は、自組織で発生している攻撃や対策の状況を把握したり、受信した信号から自組織との関連性や緊急度を検出して、他のチームに伝えて対応を促すことです。
仮にSOC担当者がシステム1にのみ頼っていたら、初めに受信した信号のみを自分の過去の経験のみを頼りに直感して判断して、「この信号は危険な兆候だ!すぐにIRチームにエスカレーション!」となるかと。
これでは、"素早くかつ正確に"の"素早くは実現できるかもしれませんが、"正確に"はかなり怪しいですね。
IR(Incident Response)チームの目的は、SOCチームと連携して確度の高いインシデントを検出、それらを迅速に封じ込みおよび根絶することです。
例えば、ランサムウェアと思われるソフトウェアが不正に混入していることが判明したとします。IRチームが先ずやるべきことは、ランサムウェアが広範なネットワークに伝染しないように被害を最小限に留めることです。
同時に、CTI(Cyber Threat Intelligence)チームと協力して、該当のランサムウェアと関連性の高い攻撃モデルを参照しながら、ランサムウェアの攻撃パターンを調査、優先的にチェックすべき被害箇所を特定してチェックします。
仮にIR担当者がシステム1にのみ頼っていたら、"ランサムウェアが混入している"、といった言葉のみに反応して、「大変だ!今すぐ駆逐しなきゃ!とりあえず全社員のPCの電源を切らせよう!」となるかと。
VM(Vulnerability Management)チームの目的は、自組織の重要資産に関連する脆弱性を優先順位付けして対策することです。
仮に、CVSS(Common Vulnerability Scoring System)のスコアが99の脆弱性が検出されて、自社の複数のシステムがその脆弱性を持ったソフトウェアライブラリを利用しているとします。
VMチームが先ずやるべきことは、当該のシステムが実際の業務でどのように利用されていてどんな資産を扱っているかを把握して、脆弱性対応の優先順位を決めることです。
仮にIR担当者がシステム1にのみ頼っていたら、「CVSS99の脆弱性があるよ!やばいよやばいよどうしよう!今すぐパッチを当てないと!」となって、闇雲にパッチを当てるかと。
パッチもソフトウェアにつき、パッチ自体に脆弱性が潜んでいることもゼロではありません。闇雲にパッチを適用したら別の問題が発生なんてこともあるかもしれません。
人は誰しも怠け者で脳にかかる負荷を最小化したいがために、何事も直感や印象や過去の自分の経験のみで何かを判断する傾向があるかもしれません。
常日頃、"自分は今システム1にのみ頼っているかも?"と少し疑って、システム2を発動させるように意識すべきですね。
