- 2022/08/10
- セキュリティ
巻添え被害から組織を守るため、オペレーショナルレジリエンスを高めるには?
Post by : Greg Day
ビジネスリーダーの間では、オペレーショナルレジリエンスという言葉は特に目新しいものではありません。しかし、多くのセキュリティリーダーにとって、この言葉は目新しく映るようです。
第34代アメリカ大統領を務めたドワイト・D・アイゼンハワーは、かつて次のように述べたことがあります。「戦闘に備えるにあたって、私は常に次のことを肝に銘じていた。計画は役に立たないが、計画を立てることは絶対に必要なのだということを」。このアイゼンハワーの言葉をサイバーセキュリティ分野に当てはめるならば、「相手の計画がわからない状態で計画を立てるのは難しい。しかし、さまざまなシナリオに基づいて準備をすることは可能だ」と言えるのではないでしょうか。
今日の官民両部門の組織にとってこれは課題であり、彼らは、戦争の巻き添えになる可能性に直面しています。2016年の時点で、NATOはサイバー空間が、陸、空、海に次ぐ第4の戦域であると認識していました。
通常、サイバーセキュリティ分野のリーダーが計画を立てる場合、彼らは自らが保護する必要のある環境に注目した上で、それらの資産に影響を与える可能性のある脅威(ヒューマンエラー、ランサムウェア、デジタルスパイなど)について調べます。
それぞれの脅威に関して、可能性と潜在的な影響を考慮した上で、これらの既知の脅威の防御、検知、およびそれへの対応を実現するために、基本的なサイバー衛生を越えた具体的な追加投資を行うべきかどうかを決定します。
しかし、ここ数年で、次のような2つの重要な変化が起きています。1つ目は、IT停止に対する企業の耐性が低下していることです。その理由として、デジタルプロセスへの依存度が高まったことにより、重要なプロセスを停止できる時間が大幅に短縮されていることが挙げられます。
2つ目は、複数のプロセス間における相互依存性の度合いが大きくなっていることです。SolarWindsに対する攻撃は、組み込み型の機能における相互依存性の度合いが大きくなっていることを示す好例でした。SolarWinds社では、統合されたすべてのデジタルプロセスにおける複雑さが理由で、サプライチェーンソフトウェアが監視対象になっていなかったのです。
ここで、アイゼンハワーの発言とオペレーショナルレジリエンスの概念に戻ると、先述したアイゼンハワーの発言は、「既知のリスクを管理するために私たちはできる限りのことを行っているが、未知のリスクに対して私たちは何ができるか?」という問題として捉えることができます。
たとえば、あなたの会社のオンラインプレゼンスが国家レベルのキャンペーンの一環として利用される場合や、攻撃者が狙っているターゲットと同じソフトウェアを偶然使用していたためにあなたのビジネスがオフラインになる場合など、計画や予測が不可能なシナリオは無限にあります。
オペレーショナルレジリエンスとは、脅威に関する予防・検知・対応戦略が適切に配備されていることを前提として、ビジネスの復旧に関する別の視点を加えるものです。
標的型攻撃の集中砲火を浴びて、重要なデジタルプロセスがオフラインになった場合、企業は何を行うべきでしょうか?まずは、企業が機能するために必要となる主要なデジタルプロセスが何であるか、そしてこれらのプロセスの背後にどのような依存関係があるかを認識することから始める必要があります。
これらのプロセスがオフラインになった場合、完全に隔離されたバックアップが存在するでしょうか?そのようなバックアップが存在しない場合、復旧にはどれくらいの時間がかかり、それは企業にとって許容可能でしょうか?
たとえば、医療機関に対するランサムウェア攻撃では、攻撃によりデータへのアクセスが遮断され、外科手術やその他の治療が遅れた結果、患者に影響が出たという事例があります。
ここで、いくつかの疑問が浮かびます。バックアッププロセスはどうなっていたのでしょうか?それは今後、紙ベースに戻るのでしょうか?オンラインにできるセカンダリITシステムは存在するのでしょうか?そして、一方が他方にとってのハッキングリスクとなることなく、可能な限り両者の間でシームレスなデータの受け渡しを行うにはどうすればよいのでしょうか?
事実上、これは災害復旧および事業継続計画の立案であり、サイバーインパクトを防ぐことを任務とする多くのセキュリティリーダーにとっては取り組むのが困難だと思われます。企業が自社のセキュリティリーダーに取り組ませるべき課題としては、たとえば次のものが挙げられます。
- ミッションクリティカルなデジタルプロセスは何か、その背後にある重要な依存関係は何か、そしてそれらのプロセスがオフラインになった場合に企業はどれくらいの期間事業を続けられるかについて、経営側と明確に合意しておくこと。
- 事業を継続させるという観点だけでなく、大規模な障害からビジネスを復旧させるという観点からも、災害復旧計画を検討すること。
- このようなシナリオを定期的に実行することで、経営側と連携してテストを繰り返すこと。これは、企業がリスクを理解するのに役立つほか、より重要なこととして、企業が自らの下すべき困難な決断に関して準備を整えるのに役立ちます。
- サイバーインシデントの発生時に必要となる専門的なスキルを持ち合わせていない企業の場合、事前に準備を整えておくこと。たとえば、あなたの会社では、インシデント対応パートナーを事前に選定していますか?事前契約は完了していますか?私は、法的な交渉が重要な場面で対応プロセスを劇的に遅らせるという事態を目の当たりにしてきました。法的な交渉は、インシデントの発生前に完了可能であり、確実に完了しておく必要があります。
- 私たちのデジタル世界はすべて、かつてないほどに相互接続が進んでいることを認識すること。まず、これは1回限りのプロジェクトではなく、継続的なプロセスであることを意味します。次に、これはインシデントに関与する他の人々が存在することを意味するため、企業や組織は、対応プロセスを通じて、それらの人々とどのようにコミュニケートするかを検討する必要があります。
なお、心強いことに、国家機関、CERT、業界団体など、あなたの会社を支援する組織が存在しています。これらの組織が提供する支援内容をしっかり把握した上で、それらを必要な際に確実に利用できるようにしておきましょう。
2022年セキュリティ予測 〜4つの脅威から紐解く、2022年のサイバーセキュリティの展望〜
サイバーリーズンでは、2022年は2021年に見られた脅威傾向が継続していくと予測しており、その中でも特に大きな影響を及ぼす4つの脅威を2022年のサイバーセキュリティ予測として取り上げました。
2021年の4つの脅威を振り返りながら、2022年のサイバーセキュリティ予測について説明します。
https://www.cybereason.co.jp/product-documents/survey-report/7439/
