- 2018/03/13
- セキュリティ
“サイバーセキュリティ” と “ITセキュリティ” の誤解
Post by : Lior Div
ITセキュリティでは守れない脅威に対する、サイバーセキュリティの実践方法
“サイバーセキュリティ” とは? 〜“ITセキュリティ” の違い〜
サイバーセキュリティは、1台のコンピュータ上の1つの脅威または1つのファイアウォールの問題が対象とするものではありません。IT環境で何が行われているかを、より大きな視点・視野で捉えるものです。
企業を攻撃から守ることは、適切な防御技術を採用するという単なる技術的な問題ではなくなっています。ITセキュリティを実施することは、今でも必要ではありますが、攻撃者が企業に侵入した後に起きること(さらに、攻撃者を締め出した後で起きること)には対応しているとは言えません。
本稿の目的は、一度攻撃者がターゲットに侵入すれば、ITセキュリティは役に立たなくなることを、セキュリティチーム、経営者、取締役会の方々に認識していただくことです。そして、一旦侵入されれば、サイバーセキュリティが必要になるということをです。
サイバーセキュリティでは、防御側は、極めて意欲的で創造的な攻撃者が巧妙な攻撃を仕掛けていることを認識します。さらに、ソフトウェアが武器として使用されると、より頑丈で高い壁を築いたとしても、攻撃者を確実に排除できないことがわかります。攻撃者にとって、防御手段が増えることは、弱点を見つけてネットワークにアクセスするさらなるチャンスが追加されることになります。
このサイバーセキュリティの考え方は、保護対象の周囲に複数の防御層を構築するというITセキュリティにおける基本原則に反しています。保護の対象を外界から隔離することで、少なくとも理論上は、それを保護していることになります。これは、ITセキュリティが根ざしている物理的セキュリティでは機能しますが、ミッションの実行が1回だけ成功すればよいという敵に直面している状況では、それほど機能しません。残念ながら、防御側にこの余裕はありません。防御側は毎回、すべての攻撃を受け止める必要があります。
但し、本稿をアンチウィルスソフトウェア、ファイアウォール、その他の防御技術に対する否定と捉えないでください。これらは、引き続きサイバーセキュリティと組み合わせて使用する必要があります。
サイバーセキュリティはマルウェアではなく、攻撃者の足掛かりを見つける手段
ITセキュリティとサイバーセキュリティでは、攻撃者が防御策を突破した後の行動も異なります。ITセキュリティでは、1台のコンピュータで問題が検知されると、独立したインシデントと見なし、影響はそのマシンに限られていると考えます。
以下のシナリオは、通常どのように実行されるかを示しています。
例えば、コントローラのコンピュータでマルウェアが発見されたとします。IT管理者、場合によっては経験の浅いセキュリティアナリストがそのマシンをネットワーク接続から取り外して、イメージの再適用を行います。コンピュータがどのように感染させられたかを調査し、ファイアウォールの構成ミスを原因として特定するかもしれません。そこで、ファイアウォールの構成を変更し、脅威が無力化になったとして、問題が解決されたとして、インシデントチケットはクローズされます。ITセキュリティでは、インシデントの早期解決が求められる場合、これは成功と言えます。
一方で、サイバーセキュリティの場合、同じインシデントが次のように処理されます。インシデントを調査しているチームは、マルウェアの感染が1台のコンピュータに限定されているとは考えません。この場合、早急にマシンを完全にクリーンにはしません。少しの間マルウェアを実行させて、どこに通信を行うのか、どのように動作するかを確認します。
最も重要なことは、インシデントはランダムな、1回限りのイベントではないことです。サイバーセキュリティの考え方をインシデントに適用すると、個々のインシデントは、マルウェアでマシンを感染させるだけでなく、もっと野心的な目標を持つ、より大きく複雑な攻撃の一部であると考えられます。1つまたは複数のインシデントがどのように関連しているか(攻撃には多くのコンポーネントがあり、攻撃者は内部で動き回るのが一般的です)、どこか他に攻撃の足掛かりが築かれていないかを考えずにインシデントチケットをクローズしてしまった場合、セキュリティ担当は自分の責務を果たしたとは言えません。
サイバーセキュリティを実施するにはズームアウト
サイバーセキュリティの実施は、セキュリティチームが脅威への対処方法に関する考え方を変えることから始まります。まずは、チケットのクローズを急がずに、時間を掛けて環境内で本格的な攻撃を探せるようにする必要があります。さらに、サイバーセキュリティは、1台のコンピュータ上の1つの脅威または1つのファイアウォールの問題に対応するものではないことも理解する必要があります。その考え方はあまりにも短絡的です。視野を広げて全体を見ましょう。
これが、ほとんどの企業の現行のセキュリティ対応方法から脱却するための過激な方法であることは確かです。この考え方のさらに厄介な点は、ここで提案していることは教室や専門能力開発コースで学べないという事実です。サイバーセキュリティを理解するには、経験が最良の教師という概念が当てはまります。最初のステップでは、探偵のように考えて、インシデントについて、なぜこの攻撃手法が使用されたのか、IT環境の他の場所で何か奇妙なアクティビティ(些細なものでも)が発生していないか、攻撃者はなぜこの会社をターゲットにしたのか、というような質問をします。
この全体像を捉える考え方が、サイバーセキュリティをITセキュリティと区別しています。企業に侵入した敵を検知し、阻止するために役立つのは大局的な考え方です。
Lior Div(リオ・ディヴ)は、Cybereason Inc.のCEOであり、共同創立者です。フォレンジック、ハッキング、リバースエンジニアリング、および暗号化を専門とするイスラエル軍の優秀なサイバーセキュリティユニットのリーダーでもあります。
ホワイトペーパー「サイバー攻撃に関する5つの誤った通説」
サイバー攻撃は減少するどころか、むしろ標的とする組織、業種を拡大してきています。複雑なサイバー攻撃を防御するには、これまでの正しいとされていた常識、通説を考え直す必要があります。本書で、5つの誤った通説と推奨されるアプローチについて学ぶことができます。
https://www.cybereason.co.jp/product-documents/input/?post_id=609
