サイバーセキュリティはノイズだらけ

"サイバーセキュリティはノイズだらけ"　これには多くの方が感じていることではないでしょうか。

例えばNVDのようなサイトでは、毎日のように新たな発見されが脆弱性が公開されて、それらの公開情報がSNSなどで拡散されていたりしています。

脆弱性が自社にとって重大な事故につながる可能性が高ければ、拡散された情報はノイズにはなりませんが、重大な事故につながる可能性が低い場合はノイズにしかなりませんね。

ところで、サイバーセキュリティ対策とは一体何のことでしたっけ?  私は、サイバーセキュリティ対策とは重大な事故が起きる可能性を可能な限り低くすることと捉えています。何かよくわからないので一つ一つ紐解いてみます。

先ず、重大な事故とは、自社の重要な資産が不正に搾取されることと言えます。自社の資産は唯一無二の価値を持っているので。

取引先の従業員やお客様の個人情報、門外不出の製品設計情報やソフトウェアのソースコード等は、あらゆる企業にとっての重要な資産と言えるかと思います。

自社にとっての重要な資産が、どんな環境(例/クラウド、データセンター)でどのように生まれて管理されていて、誰にどのように利用されているか(例/ソフトウェアや人)を把握することが、サイバーセキュリティ対策の第一歩になると言えます。

次に、外部の脅威のうちどんな脅威が自社に強い相関を持っているかを把握することかと思います。

昨今は、"脅威インテリジェンス"と呼ばれる、実態が掴みにくいフワッとした便利な言葉で、最新の脅威動向を常に把握してサイバーセキュリティ対策に役立てるべきだ、のようなことが謳われているかと思います。

一口に"脅威インテリジェンス"と言っても、それが一体何のことなのか、詳細に理解しないまま脅威インテリジェンスだけ収集しても、それらはノイズになるかと。

自社にとって強い相関を持っている脅威とは何なのか?　攻撃パターン?、攻撃キャンペーン?、攻撃者やグループ?、実際に確認されている手口?、攻撃者が利用するインフラ?、マルウェア?、脆弱性?、闇雲に集めてもきりがありません。

自社がどんな国や地域で、どんな事業を展開しているのか、重要な資産はどこでどのように管理・利用されているのか?　これらを整理することで、自社にとって強い相関を持っている脅威とは?の答えが見えてくるはずです。

例えば、主に日本国内で金融サービスを展開しているA社は、勘定系のサービスをAWS東京リージョンで、EKS上で管理・運営されているとします。A社にとって、強い相関を持った脅威とは以下のような質問に置き換えることができるかと思います。

EKSの脆弱性を狙った最新の攻撃パターンは何か?

日本企業を狙っている最新の攻撃キャンペーンの詳細は?

どんなマルウェアが勘定系システムまたは金融システムに特化しているのか?

これらの質問の答えになる脅威インテリジェンスを探すことで、不必要な脅威インテリジェンスの収集・加工・分析・共有に時間を費やすこともなくなりますね。

最後に、自社の資産にどんな脆弱性が潜んでいて、過去や現在、どんなイベントが発生しているかを定常的に把握することです。

例えば、SIEMが送信先IPアドレスyyyy.yyyy.yyyy.yyyyの通信を許可していることを検知して、脅威インテリジェンスプラットフォームがyyyy.yyyy.yyyy.yyyyは不正に利用されているIPアドレスであると特定しているとします。

この場合、SIEMが持っている情報(=自社のFWはyyyy.yyyy.yyyy.yyyyへの通信を許可している)と、脅威インテリジェンスプラットフォームが持っている情報(=yyyy.yyyy.yyyy.yyyyは不正に利用されている)を付け合わせて、yyyy.yyyy.yyyy.yyyyへの通信を許可し続けると重大な事故につながる可能性が高いと判断できるかと。こじつけかもしれませんが。

SNS全盛の昨今、サイバーセキュリティに限らず、世の中一般的にノイズが蔓延っているかもしれません。ノイズに振り回されることなく、正しいことにだけ時間と労力を割くべきですね。