人間は、耳で聞いたり目で読んだりしたことよりも、実際に手を動かし、体験することによって大きな学びを得ることができます。サイバーセキュリティに関するノウハウも例外ではありません。ですが普通の企業では、そうそう何度も、一からセキュリティ体制を構築したり、ログを解析したり、インシデントを体験することはないでしょう。特にインシデントに関しては、実際に何度も遭遇していたら大変なことになっているはずです。
代わりに、と言っては何ですが、インテル セキュリティのプロフェッショナルサービス部門では、日々さまざまなお客様からの要望を受け、設計から導入支援、ペネトレーションテストをはじめとするセキュリティ診断やトレーニング、さらには不審な兆候が発見された際の緊急対応までを提供する中で、さまざまな運用の悩みやインシデント対応時の課題を目の当たりにしてきました。
今日は、その数々の経験を踏まえ、現役コンサルタントが感じる対応の「ツボ」をいくつかご紹介したいと思います。
●ツボ1:「異常」に気づくには、まず「平常時」の把握を
防御だけでなく早期検知・復旧の重要性が認識され始めた昨今、セキュリティ機器や監視サービスを導入する企業の多くは、マルウェア感染や外部の不正なサーバとの通信といった「不審な動き」を見つけ出したいと考えているはずです。しかし、何が不審で、何が不審でないのかはどうやって見分ければいいのでしょうか。
シニアセキュリティコンサルタントの内田浩一は、「本当に深刻な事態が生じているのか、そうでないかを見極めるのはなかなか難しいことです。というのも、どちらともつかないグレーの部分が非常に大きいからです」と指摘します。この結果、誤検知や攻撃の見逃しといった問題につながる恐れもあります。
いざという時にすばやく異常を見つけるには、日頃の運用こそが重要です。「日々の運用の中で、平常時にはどういった通信が発生しているかを把握しておくことによって、不審な動きに気付くことができます」と内田は述べています。また、プロフェッショナルサービス部長の三好一久も「正常系を知らなければ、問題の切り分けはできません」と指摘し、平時を知った上でログを深掘りしていくことが、問題発見には欠かせないと強調します。
●ツボ2:キーワードで動くのではなく、戦略的に対策を
脅威が多様化し、新たな攻撃手法が次々登場することを受け、セキュリティ業界にはさまざまなキーワード(時には「バズワード」)があふれています。三好はこの現状に懸念を抱いていると言います。
「世の中のセキュリティ対策にはキーワード駆動型という傾向があるかもしれません。何か新しいソリューションが注目されると、その流行に乗ってとりあえず導入するというケースが少なからず見受けられます」(三好)。ですがこれでは、自社の対策を全体として最適化することはできませんし、新たなキーワードが浮上するたびに何かを導入していては、効率的に予算を使うこともできません。
インテル セキュリティでは、流行に流された場当たり的な投資ではなく、適切なセキュリティアセスメントに基づいて自社の強いところと弱いところを見極め、優先順位を付け、運用も見据えて順次対策を導入する(そして時には、不要なものは導入せずに済ませる)ことをお勧めしています。ごく当たり前のことですが、さまざまなキーワードが飛び交い、報じられる時代だからこそ、地に足をつけ、限られたリソースを有効に活用していただきたいのです。
また、一度何らかのソリューションを導入すると「これで大丈夫」と安心してしまう場合もあるようですが、ことセキュリティに関しては継続的に見直し、改善するサイクル作りが不可欠です。導入して終わりではなく、運用にも目を配る必要があります。例えばSIEMにしても、運用できなければ宝の持ち腐れになってしまうでしょう。内田は、「リスクアセスメントに基づいて、ある事象を見つけ出すにはどんなログが必要なのかを洗い出しておかなければ、どこで何を監視するかを決め、運用に落とし込むことはできません」と指摘しています。
●ツボ3:技術的好奇心を持って前向きな取り組みを
セキュリティ対策の現場では、限られたリソースの中で工夫を凝らし、情報を集め、対応に取り組んでいる担当者が大半ですが、どうしても攻撃側には遅れを取ってしまっているようです。しばしば「攻撃と防御はいたちごっこ」と言われますが、三好は、より正確には「防御側は、攻撃側に比べ圧倒的に遅れている状況だ」と指摘します。
理由としては、攻撃者側が組織化され、潤沢なリソースが使えるようになったことや、サービスとして高度な攻撃手法が提供されていることなどが挙げられるでしょう。もう一つ、「言い方に語弊があるかもしれないが、『好きこそものの上手なれ』ということわざのように、敵は楽しんで攻撃を行っているから技術の向上スピードも速い」と三好は分析しています。
これに対し守る側は、真剣に取り組むのはいいことですが、あまり悲壮になりすぎては、防戦一方になってしまい不利です。楽しんで攻撃してくる相手に対して勝ちたいのであれば、技術的好奇心を持ってマルウェアや攻撃手法を観察し、ちょっとした余裕を持って受け止め、時には次の手を予想する姿勢が求められます。そうした好奇心の持ち主は、自社を助けるセキュリティ人材としても有望ではないでしょうか。
【関連情報】
【関連製品】