VUCA時代のセキュリティ対策に欠かせない「サイバーレジリエンス」

2021年2月17日、サイバーリーズン・ジャパン主催のオンラインイベント「Cybereason Security Leaders Conference 2021 冬」が開催されました。サイバーリーズン・ジャパン セールスエンジニア 高木啓によるセッション「VUCA時代、あらためてセキュリティの目的を振り返ってみませんか」では、「不確実性の時代」におけるセキュリティ対策の重要な鍵を握る「サイバーレジリエンス」と、その実現のために不可欠な「ダメージコントロール」について解説が行われました。

本セッションの冒頭で高木は、現在多くの日本企業のセキュリティ対策に欠けているのは「目的とゴール」だと述べます。

「ほとんどの企業はビジネス上の目的とゴールははっきり定義している一方で、セキュリティ対策となると一転して『これまで問題は起きなかったから大丈夫だろう』という曖昧な根拠の下に、目的やゴールが不明確なまま対策を進めています。その結果、自社にとって本当に必要な施策が分からないまま何となく対策を導入し、その効果を測定する術も持たないままずるずると運用を続けているため、いつまで経ってもセキュリティ対策のレベルが向上しません」

加えて、あらゆる事象が不確実で、外部環境の変化スピードがますます早くなるVUCA時代においては、突発的なインシデントの発生を100%防ぐのはもはや不可能です。従って、むしろインシデントが発生することを当初から想定し、たとえサイバー攻撃を受けたとしてもその影響を早急に抑え込んで、事業の早期復旧・継続を目指す「サイバーレジリエンス」をいち早く確立すべきだと高木は説きます。

ツール・組織・プロセスのバランスで成り立つ「ダメージコントロール」

このサイバーレジリエンスを確立する上で不可欠なのが、サイバー攻撃によるダメージをコントロールし、被害を最小限に抑えるための「ダメージコントロール」の取り組みです。エンドポイントの観点から見た場合の理想的なダメージコントロールは、以下に挙げる6段階のフローを辿って実行されます。

・セキュリティ施策の導入
・サイバー攻撃の可視化
・インシデント発生時のトリアージ
・CSIRTによる報告と対策
・CSIRTによる社内連携
・インシデント対応の評価

上記フローのうち、1つでも欠けてしまうと理想的なダメージコントロールは実現しません。なおサイバーリーズン・ジャパンが提供するEDR製品「Cybereason EDR」のユーザー企業が経験した過去のインシデント事例をひも解いてみると、たとえEDRツールが正常に機能して脅威を検知できたとしても、それを適切なインシデントレスポンスにつなげるための体制やプロセスに不備があったために、深刻なインシデントに発展してしまったケースが散見されるといいます。

「ダメージコントロールは、セキュリティ対策ツールを導入・運用するだけでは決して実現しません。ダメージコントロールの実行に責任を持つ『組織』、そして一連のフローが確実に機能するための『プロセス』があらかじめ定義されており、かつそれらが有事の際にきちんと機能することが担保されていなければなりません」(高木)

単にツールと組織、プロセスをバランスよくそろえるだけでは、それが日頃きちんと機能しているかどうかを客観的に評価できません。そのため、一連の仕組みが想定通りに機能しているかどうか、ツールと機能、プロセス、それぞれの観点で評価指針を定めて、それを基に定常的に評価・改善を繰り返していくことが大切です。

取り組みを定常的に評価・改善していくことで形骸化を防ぐ

このダメージコントロールの取り組みを、NISTのサイバーセキュリティフレームワークと照らし合わせてみると、「特定」「防御」「検知」「対応」「復旧」の5つのフェーズのうち「検知」と「対応」に相当することが分かります。従って、この2つのフェーズにおける自社の取り組み状況を可視化し、足りない部分を洗い出した上で適切に補うことができれば、ダメージコントロールのクオリティも底上げできます。

前述のツール・組織・プロセスのそれぞれの観点から、「本来は必要であるにもかかわらず構築されていない仕組み」を洗い出して、それらを補強していきます。その際には、単に補強するだけでなく、「なぜ今まで構築されていなかったのか?」という観点から組織内に潜む課題や懸念点を洗い出し、それらを払拭した上で構築することがコツだといいます。

またこれらの取り組みを形骸化させないよう、冒頭で挙げたように目的とゴールをしっかり定め、その達成度を定量的にモニタリングする仕組みを確立することも大切です。なおサイバーリーズン・ジャパンでは、まさにこうしたプロセスを支援し、サイバーセキュリティのダメージコントロールの強化に大きく貢献できるさまざまな製品・サービスを提供しています。

単にツールを提供するだけでなく、組織やプロセスの改善にも役立つ製品・サービスを取り揃えているのがサイバーリーズンの強みだと強調しました。

「弊社はツールベンダーとしての立場に留まらず、お客様とともにサイバーレジリエンスやダメージコントロールの実現を阻む課題をともに探り、その解決を強力に支援させていただきます。VUCA時代の到来を受け、セキュリティ対策の在り方を根本から見直したいと考えている企業様は、ぜひ気軽にご相談いただければと思います」

ホワイトペーパー「インシデントレスポンスで成功するためのチェックリスト」

インシデントレスポンス(インシデント対応)プランを策定する場合、非常に詳細な部分にも注意する必要があります。

しかし、大きな成果を上げているインシデントレスポンス(インシデント対応)プランでさえも、重要な情報が欠落していることがあり、正常に業務を行うことができるよう迅速に復旧作業を実施するうえでの妨げになる場合があります。

本資料は、インシデントレスポンス(インシデント対応)プランに組み込むべきでありながら忘れがちな9つの重要なステップについて詳しく説明します。
https://www.cybereason.co.jp/product-documents/white-paper/2476/

ホワイトペーパー「インシデントレスポンスで成功するためのチェックリスト」インシデントレスポンスプランに組み込むべきでありながら忘れがちな9つの重要なステップ