第2回:サイバーエクスポージャー管理が今のセキュリティに必須である理由

今回は「第2回:サイバーエクスポージャー管理が今のセキュリティに必須である理由」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 2021年の年末に発覚したJavaのログフレームワーク「Log4j」の脆弱性(通称「Log4Shell」)は、近年に多くの企業が対応を迫られた重大なセキュリティリスクの中でも特に深刻なものでしたが、2022年10月1日時点では、まだ脆弱な状態にある企業が72%を占めていました。

 2022年に警察庁に報告されたランサムウェアによる国内組織の被害件数は230件(前年比で57.5%増加)で、特に2020年下半期以降、右肩上がりで増加し、その被害は規模や業種を問わず広範に及んでいます(PDF)。しかしここで見過ごせない点があります。われわれTenableが2023年に発表した「Tenable 脅威状況レポート(2022年)」では、何年も前から存在する既知の脆弱性が現在でも悪用され続けていることを指摘しました。

 サイバー攻撃を受けた時に攻撃を防げなかったのが、セキュリティ担当者の責任だと問うのは、たやすいことです。しかしセキュリティチームは、多数のポイントツールがそれぞれの機能別に生成する、バラバラなデータに悩まされているのが実情です。その上、データの解釈が困難であること、サードパーティベンダーから提供された情報が誤っていたりすること、タイムリーにパッチが当てられていないことといった問題が山積しています。サイロ化しているセキュリティ対策の構造を取り壊して、DX時代のアタックサーフェスの全体像を捉えるには、リスク削減が予測でき、数値化されて正確に伝達できる「サイバーエクスポージャー管理」が必要です。

サイバーエクスポージャー管理とは? DX時代のアタックサーフェスの保護

 日本情報システム・ユーザー協会(JUAS)が公開した「企業IT動向調査2021」(PDF)によると、あらゆる規模の企業において、IT予算全体に占める情報セキュリティ関連費用は増加傾向にあります。それが事実なら、なぜ、いまだにサイバー攻撃の被害が報道され続けているのでしょうか。

 日本企業の多くは、侵入を前提としたサイバーセキュリティ対策を重視する傾向があるため、侵入してきた攻撃者を検知するインシデントレスポンスなどの実施を優先してきました。ゆえに、サイバーセキュリティ対応に使われている製品の多くが事後対応型で、予防を重視していないのです。また、サイバーセキュリティ対策を経営課題として優先していない組織も多く、予防を含め包括的に戦略を立てている企業が少ないと言えます。

 例えば、XDR(拡張型脅威検出および対応)システムは、複数のポイントツールのデータを照合して、攻撃を発生と同時に特定します。これは、インシデント対応の面からは、より迅速な行動につながりますが、攻撃自体は防止できません。「発生した直後に攻撃を特定すること」に重点を置いたとしても、企業のセキュリティ態勢は変わらず、現在のアタックサーフェスの全容を明らかにすることもできません。

 セキュリティ担当者は、データのオーバーロードに悩まされています。多くの企業は、最終的にデータをスプレッドシートに落として分析します。例えば、あるセキュリティツールがクラウドの中にある設定ミスしか検出できず、また別のセキュリティツールでは脆弱性データの集約しかできないとします。このような複数のツールが生成したデータを並べても、脆弱性対処の優先順位を正確につけることはできず、リスク軽減の効果を上げることは難しいでしょう。その大きな理由は、そういったセキュリティツールが、大きな問題の限られた一部分にしか対応できないからです。企業のセキュリティ態勢を効果的に評価するには、さらに細かく掘り下げるアプローチが必要です。一連のツールからデータを収集・分析して、企業環境全体を把握する必要があります。

 サイバーエクスポージャー管理は、企業のアタックサーフェス全体を可視化し、予防型のセキュリティツールから得られたデータを照合した上で、リスクを測定して優先順位を付ける方法です。また、長期的にリスクを効果的に削減することにも寄与します。制御系技術(OT)システム、クラウド上のインスタンス、インターネットにさらされているシステムやアプリケーションなど、IT インフラには含まれていない資産も可視化することで、企業はアタックサーフェスの全容を把握することができます。セキュリティチームは、サイバーエクスポージャー管理を行うことで、ユーザー、アクセスや特権のレベル、潜在的な攻撃経路を可視化して、アタックサーフェスの脆弱度を把握することができます。

 サイバーエクスポージャー管理は、現在のサイバーセキュリティの考え方とは異なった、新しいアプローチです。現在ほとんどの企業は、さまざまなセキュリティのニーズに個別に対処しているので、「コンテキスト(関連性)」がありません。例えば、ある企業が多数のデバイスを使用していて、そのデバイスの中でも、特に2台のノートPCに深刻な脆弱性があったとします。サイロ化したセキュリティ対策の観点から、その対策としては、両方のノートPCの脆弱性にパッチを当てることが必要だと推定されるでしょう。ここで欠けているのは、この企業が本当にリスクにさらされているかどうか、また、どちらのノートPCの脆弱性の修正を優先すべきか、という洞察です。

 片方のPCは、管理者権限のあるユーザーのもので多要素認証が使われていない、もう片方のPCは管理者権限のない、フロント業務メインの社員のものというコンテキストがあれば、どちらのPCの脆弱性対策を優先すれば良いかが明らかになります。サイバーエクスポージャー管理を採用し、全て1つのプラットフォームで管理を行えば、どのシステムを誰がどのレベルのアクセス権で使用しているのかといったコンテキストを把握できます。アタックサーフェス全体を可視化し、コンテキストを理解することで、脆弱さが露呈している最も重要な資産が明らかになり、攻撃者が悪用する可能性のある攻撃経路を検出することができます。

 リモートワークなどの労働環境の変化やDXにより拡大を続けるアタックサーフェスに対応し、ますます猛威を振るう犯罪者に対抗するためには、サイバーセキュリティの考え方を抜本的に変えることが必要です。このシフトを実現する方法の1つが、「サイバーエクスポージャー管理」です。このアプローチは、サイバーセキュリティの優先順位付けの作業を明確かつ簡潔で有意義なものにし、企業がリスクを正確に数値化して削減することを支援します。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
日本IBM、「watsonx」の最新情報を説明–ビジネスに最適なAIモデルの構築を継続
IT関連
2023-09-22 18:25
経済効果とサステナビリティーに貢献–Dreamforce 2023フォトレポート
IT関連
2023-09-23 09:40
NTTデータ、国産LLM「tsuzumi」を「Microsoft Azure」で提供
IT関連
2024-06-29 11:07
コナミがOculus Quest向けゲームに参入 VR音ゲー「BEAT ARENA」発売へ
最近の注目ニュース
2021-03-11 13:48
マイクロソフト、AIや音声認識手がけるニュアンス買収で交渉中か–約1.7兆円の可能性
IT関連
2021-04-12 19:45
凸版印刷、農産物の需給マッチングプラットフォームを活用した実証実験を開始
IT関連
2022-07-15 07:12
「Linux」のデータを「Deja Dup」を使ってバックアップするには
IT関連
2023-07-07 07:31
学生・若手社会人の7割以上がクリエイティビティーの重要性を認識–アドビ
IT関連
2021-08-12 03:23
KDDI、通信設備の故障対応業務にCelonisを導入
IT関連
2023-11-30 14:55
従業員にオフィス回帰を求める意向のIT企業幹部は55%–景気後退が後押し
IT関連
2022-09-22 05:42
エンタープライズAIのC3.ai、データクラウドのSnowflakeと提携
IT関連
2021-06-11 01:36
FireEye、SolarWindsインシデントの詳細を公開–対策ツールも提供
IT関連
2021-01-20 23:33
インテルとロッキード・マーティン、米国防総省の5G対応ソリューションで連携強化
IT関連
2022-04-07 19:38
アルファベット3文字の専門用語より人間らしく–SASのモダンなBtoBマーケティング
IT関連
2023-10-06 21:41