ブログ

監視と応答の運用化

どのネットワークにも絶え間なく攻撃があり、セキュリティ実務担当者は組織の資産を守るために準備しておく必要があります。しかし、多くの組織はこれらの脅威の少なくとも一部を検出するテクノロジーを持ちながら、検出した脅威を効果的に追跡して対処するためのリソースが不足しています。 業界では過去数年、大規模な侵害によって数々の組織が苦境に陥ってきました。これまでは、脅威を軽減または検出するテクノロジーに必要な資金を調達できなかったり、インシデント対応を軽視したりするセキュリティ グループが多数ありました。しかし、攻撃や侵害が明らかになり、広く知られるようになるにつれて、組織は被害を受ける可能性を減らそうと努力しています。これに応じて、多くの組織は攻撃の検出に特化したチームを編成し、この任務をサポートするセキュリティ テクノロジーを購入するための予算を割り当てました。 この動きは多くの企業にとって朗報です。数年前までは、これらのセキュリティに関する新たな予算申請は認められなかったはずです。しかし、この分野には新たな困難がともないます。システムを開発して導入した後も、システムを効果的に運用するために管理や監視を行う専属チームが不可欠です。企業内にセキュリティ監視体制を構築するときは、ツールの導入後、次に示す点を検討する必要があります。 ツールの認識と配備 セキュリティ グループが、ツールによって影響を受ける可能性がある他のグループと相談せずにツールの導入を進めることはほとんどありません。他のチームはこれらのシステムがどのように機能するのかを理解して、インシデントの発生時に組織が迅速に対処できるようにする必要があります。たとえば、マルウェアの発生時にはデスクトップ チームが、フィッシング攻撃にはメール チームが、アプリケーション攻撃には開発チームが、それぞれ対処しなければならない可能性があります。インシデント対応中は他の部署もセキュリティ チームの延長として、同様の対応を求められます。 常に警戒を怠らない セキュリティの監視テクノロジーを導入した場合、その出力を絶えず監視して検討する必要があります。そうしないと、攻撃を検出したにもかかわらず被害を受けてしまうことがあります。情報セキュリティ チームが攻撃の通知用としてシステム内にアラートを構築する場合でも、このアラートを検討する要員を置かなければ、組織の防御態勢が低下します。コンプライアンスへの対応に追われ、組織が監査を通すためだけにこれらのシステムを導入することはよくあります。組織内でセキュリティ テクノロジーの調整や監視を怠ると、防御に死角が生じることがあり、大きなリスクとなります。 サード パーティの活用でギャップを埋める セキュリティ チームに予算があるものの、システムを監視する人員がいない場合、論理的な解決策としてサード パーティのサービスの活用が考えられます。警戒を手助けできるMSSP(マネージド セキュリティ サービス プロバイダー)は多数あります。これらのMSSPは内部セキュリティ チームの拡張要員として働き、専門知識を提供するとともに、組織がシステムを監視できない時間帯をカバーします。 まとめると、監視というものは、その出力に対処してはじめて、効果を最大限に発揮します。この必須テクノロジーを導入した組織は、大切な資産の防御を確かなものにするために、結果への対処方法を明示した計画を持つことが不可欠です。

モノのインターネットはビッグ ブラザーの再来か

長年、私のPCはXP上で動いてきました。Microsoftが誇る最も堅牢で安定している不屈のオペレーティング システムです。何年も乗りに乗って、走行距離計が32万キロに達してもまだ走れた私の愛車ダッジ アスペンによく似ています(まさに当時のEnergizerです)。しかし、私が愛したグリーンのツートンカラーに塗り分けられたこのガス食い虫も、ついに買い換えなければならなかったように、私のタワーPCも(Microsoftのパッとしないレビューにも関わらず)後継のWindows 7、Windows 8、そしてWindows 10に換えなければなりませんでした。そのインストール中に、私と家族のプライバシーがどのようにして突然露呈し、どの程度のリスクにさらされるかに気付きました。 それはすべて、Microsoftのプライバシーに関する声明に由来します。この声明は、私がWindows 10を購入したときにデフォルトで同意し、エンド ユーザー ライセンス契約を締結したもので、次のような文言が含まれていました。 Microsoftは効率的に業務を行い、サービスでは最高の利用体験を提供するために個人情報を収集しています。ユーザーがMicrosoftアカウントを作成する際、Bingへ検索クエリーを送信する際、Cortanaに音声コマンドを行う際、文書をOneDriveにアップロードする際、サポートにご連絡いただく際など、直接個人情報を弊社に提供していただきます。その一部は、お客様が弊社サービスをどのように利用しているかを記録することで入手します。そのための手段として、たとえば、Cookieなどの技術を使用したり、お客様のデバイスで実行されているソフトウェアからエラー レポートや使用データを受信したりします。また、(他社を含む)サード パーティからデータを入手することもあります。  おぉ、非常に具体的です。次のようにも書かれていました。           ユーザーの同意の下、または取引を完了する、またはユーザーが要求した、または認証したサービスを提供するのに必要な範囲で、弊社はユーザーの個人情報を共有します。また、弊社はMicrosoft 関連会社、子会社、および代理で業務を遂行するベンダーと、法律により要求される、または法的手続きに対応する際に、またはお客様を守るため、命を守るため、サービスのセキュリティを維持するため、およびMicrosoftの権利または財産を守るために個人情報を共有します。  言い換えると、Microsoftの顧客としては、サービスをどのように利用してもプライバシーなどないということです。実際にこの使用条件によると、同社にとっては、ユーザーの行動から収集したデータを集約して処理し、同社が望む任意の対象として、子会社、ベンダーなどの他、同社が必要とみなせば、法的執行機関にも配布することが解禁されたのと同様です。 これはほんの一例で、インターネットの危険性という氷山の一角に過ぎません。SHODAN(Sentient Hyper-Optimized Data Access Network)に関する最近のこの投稿について考えてみましょう。SHODANはインターネット接続デバイス(たとえば、IoTなど)を対象とするオンライン「検索エンジン」です。 投稿に書かれているように、ShodanはGoogleのスパイダー ボットのようにネットをクロールし、サービスに入り込み、そこで見つけたものを記録した上で、検索可能な索引を生成します。 これは必ずしも悪いことではなく、ホーム ルーターにハッカーを寄せ付けないようにする場合などに特に有効です(これが発生する原因と手法はこの投稿に書かれています)。しかし、このような公開によって、あらゆる種類のいたずらに対してルーターを開放してしまうことになります。 最もおぞましい結果として考えられるのは、設置したWebカメラにインターネットからアクセスされることでしょう。ShodanはWebカメラを発見して索引化し、ログイン プロンプトさえも記憶できます。子供部屋に設置したWebカメラを通じて不審者が「盗聴」したり、家の中の別の場所を盗み見たりする不気味さを想像してみてください。案の定、Shodanで最も人気がある上位5位の検索のうち、3件がオンライン カメラに関するものです。したがって、すべての条件が揃った上、使っているオンライン カメラが十分に安全でなければ、Shodanはオンライン カメラに侵入し、子供部屋や、もしかしたらあなたの寝室からライブ フィードを直接送信できてしまいます。 私たちのプライバシーは、インターネットからのリスクにさらされていると考えられます。では、このようなプライバシー侵害をまったく新しいレベルに引き上げる可能性のある、モノのインターネットではどうなるでしょうか。次のような例について考えます。 Microsoft Xbox。このKinectデバイスにはビデオ カメラとマイクロフォンが搭載されていて、ユーザーのやり取りを取得して記録し、同社に送信することができます。実際に、この製品の使用条件には、デバイスの使用時は「ユーザーはどのレベルのプライバシーも期待すべきではない」と明記されています (どこかで読んだ記憶はありませんか)。 Verizon。同社は定性的なターゲティング広告の精度を高めるために、薄型テレビやDVRに組み込んで「環境アクション(ambient action)」を監視するカメラの特許を取得しようとしました。つまり、ユーザーの挙動を逐一観察して、ユーザーが次回のコマーシャル タイムに興味を示しそうな広告の種類を決める仕組みです。 Google。 …

リアルタイム決済がもらす金融詐欺の影響

数週間前に、Australian Payments CouncilのAustralian Payments Planの概要を紹介する記事を公開しました。 このプランは、オーストラリアにおける将来の決済の戦略的なロードマップ、特にNPP(New Payments Platform)を中心としたイニシアチブとして策定されています。 簡単に説明すると、NPPでは今後、オーストラリアの決済市場内部の競争力と技術革新を高める手段として、オンライン バンキングを介したリアルタイムでの送金機能を導入する、ということです。 現在、オンライン バンキングを介して受取人(個人または法人)に送金する場合、通常は資金が入手できるようになるまで24時間の遅れが生じます。 送金元と送金先が同一の銀行の場合など、いくつかの例外はありますが、概ね翌日まで送金が遅れます。 「リアルタイム」モデルへの移行はオーストラリアにおける決済のあり方を一新するものとなり、次のような影響が予想されます。 利用者には、決済の低コスト化や機能の向上などのメリットがもたらされる 銀行、販売業者、決済業者には、商業的なインパクトがもたらされる オンライン バンキングでの詐欺行為や損失が増加する 利用者のメリット 利用者はNPPが想定している中心的な受益者になります。これは利用者にとって、決済方法の選択肢が大幅に広がり、最終的には市場での競争の活性化につながるからです。 メリットは3つの幅広い分野に分かれると予想されます。 当事者どうしによる決済:家族や友人への送金が簡単かつスピーディに行える ビジネス決済:商品やサービスのシンプル(安価)な決済オプション E-コマース:クレジット カードやデビット カードの代わりとなるオンライン決済オプション 商業的なインパクト NPPがもたらす商業的な影響のすべてを予測することはきわめて困難ですが、それらは非常に重大なものになるでしょう。 NPPによって、まったく新しい代替の決済手段が提供されるわけですが、それは現在の業者の多くに直接対抗するものとなるでしょう。 NPPは業界団体として、今後、商品やサービスの新しい決済手段を顧客に提供し、決済処理コストの削減をもたらすと予想されます。 決済業者にとっては、新たな競争相手に対抗するために価格体系や製品体系の見直しや調整が求められることになります。 詐欺行為への影響 私は職業柄、NPPがオーストラリアにおけるオンライン バンキング詐欺にどのような影響を及ぼすのかについて特に関心を持っており、 2つのことを予想しています。1つは、オンライン バンキングでの詐欺行為のスピードが激化して件数が増加することで、もう1つは、オンライン バンキング詐欺の回収率が低下することです。 1つ目の予想の根拠としているのは、単純に、悪人は最も少ない手間で最も多くの利益を上げようとするという事実です。オンライン バンキング アカウントのセキュリティを侵害することにより、リアルタイム決済を通じて直ちに現金が手に入るという状況は、彼らにとって非常に魅力的なことなので、攻撃の件数は今後増加するものと予想されます。 いわば、悪人のROIです。 2つ目の予想の根拠は、現行の遅延決済の仕組みは、銀行側が(マルウェア、フィッシング、データのセキュリティ侵害、ソーシャル エンジニアリングなどを原因とする)不正送金を検出し、保留し、回収するための余地になっているという事実です。 大多数の決済において、NPPはこうしたセーフティ ネットをなくすものとなり、詐欺の損失がもたらす影響の可能性は重大なものになります。 現在のオンライン バンキング詐欺の検出率(決済後)が80%であれば、送金先の(不明朗な)アカウントが消される前に、そうした資金を保留して回収するチャンスが残ります。 企業が100万ドルの不正送金を許したとしても、回復措置が完了すれば、実質的な損失は20万ドルほどで済みます。 リアルタイム決済ではこうした余地がなくなることになります。 カード詐欺(カード発行会社側)の観点から見て、これは回収の仕組みとしての支払拒否が完全になくなるようなものです。 こうした考えはカード詐欺の対策責任者にとって最大の悪夢となることでしょう。なぜなら、通常はカード詐欺で生じたすべての損失のうち少なくとも60~70%が支払拒否の手続きを介して回収されているからです。 詐欺による損失がもたらす潜在的な影響はどのくらいなのでしょうか。イギリスで2008年5月に導入されたFaster Payments(決済迅速化)が参考になります。 次のグラフで明らかなように、イギリスではリアルタイム決済の導入後、詐欺事件が急増しています。 イギリスの事例に従えば、NPPの導入後、オーストラリアでのオンライン バンキング詐欺による損失が少なくとも倍になると予想しても、さして的外れというわけではありません。 その理由は先ほども述べたように、不正送金後の詐欺の検出と回収を行うセーフティ ネットの余地が実質的になくなってしまうからです。 潜在的な影響をもっと実感してもらえるように、参考として、イギリスの具体的な数値をオーストラリアの市場に適用してみます。 イギリスにおける1人あたりのオンライン…

自動化とエンリッチメントでスピーディな調査を実現

セキュリティ アナリストがインシデントの調査を行う際は、インシデントのあらゆる詳細を把握することが重要になります。詳細を把握することで、セキュリティ アナリストは調査をスピーディに進められるようになります。しかし、最も重要な点は、その調査の結果、対応プランを効果的に実施できるようになることです。 では、どうすればセキュリティ アナリストはそうした詳細を入手できるでしょうか。 まず、脅威の検出を自動化して、組織にリスクをもたらす原因についての詳細をアナリストに提供できるようにします。  たとえば、C&C(Command and Control)攻撃の検出は自動化が可能ですが、C&Cイベントに関して一歩踏み込んだ詳細が提供されれば、アナリストは調査や分析をスピーディに進めて効果的な対応プランを立てられるようになります。 また、セキュリティ アナリストが調査する際、さらに詳しい状況を自動的に入手できるようになれば、状況を究明するための手間が省けて、調査や対応がスピーディになります。 こうしたエンリッチメントによって、調査の際にセキュリティ アナリストにどのようなメリットがもたらされるのでしょうか。いくつかの例を紹介しましょう。 アナリストは、次に示すいくつかのC&Cアクティビティに基づいてホストを調査しています。 資産のビジネス状況(重要度、組織、ホスト上で実行されているアプリケーション)から、アナリストは、攻撃者がどの機密情報を狙っているのかを速やかに把握することができます。 エンドポイントの状況(OS(オペレーティングシステム)の種類、疑わしいファイルやプロセスのアクティビティ)が、ホストの修復プランの作成に役立ちます。たとえば、OSをアップグレードする必要がある、疑わしいファイルやプロセスをブロックおよび削除する必要があるなどです。 調査対象のホストで疑わしいファイルやプロセスが見つかった場合、同じプロセスやファイルのある他のホストについても、セキュリティの侵害がないかどうかを速やかに究明します。そうすることで、攻撃者の行動が組織の中でどの程度の範囲にわたっているのかを速やかに把握できます。また、影響を受けたホストを修復プランの対象に含めることも重要です。 調査中のホストに「Admin1strator」という名前で作成されたバックドア アクセス用の特権アカウントがあれば、他のホストでも同じ特権アカウントが作成されていないかどうかを速やかに調べます。そうすることで、攻撃者の行動範囲がわかります。 Windows環境における攻撃者の行動範囲を調べるには、一連のイベントを検出します。たとえば、実行可能ファイルがファイル共有にコピーされ、その実行可能ファイルを使用して新しいサービスが作成され、そのサービスが5分以内に開始された、などです。こうした一連のイベントは、すでにセキュリティ侵害を受けているシステムから、攻撃者が被害マシン上のバックドアを利用して行動範囲を広げていることを示している場合があります。 このホストでは以前にどのようなインシデントを調査したのか?そのときの修復プランはどのようなものだったのか? 同様のインシデントを過去に経験しているのであれば、アナリストはそうした情報を利用して根本原因や修復プランを絞り込むことができます。 以上のようなことは、アナリストが調査プロセスをスピーディに進めるのに役立つエンリッチメントの例のごく一部にすぎません。アナリストが「右クリック」するだけで、こうしたエンリッチメント データにアクセスできるようになれば、調査プロセス全体の効率とスピードが向上します。 この分野におけるRSAと、RSAのセキュリティ分析にご注目ください。自動化とエンリッチメントを通じて、お客様の調査をスピードアップします。

2016年、サイバーセキュリティ保険会社は基準の厳格化を目指す

サイバーセキュリティ保険は、デジタルデータへの依存の高まりが直接の要因となって生まれました。企業は競争優位性を高めるためにデータの収集と分析への投資を増やしているため、サイバーセキュリティがIT主導型組織における最優先事項であることは極めて当然のことです。 しかしながら、サイバーセキュリティ保険を提供する側は、それらの企業でデジタル資産を保護する十分な対策が実施されているという確信を持っていません。CSOによる最近の調査では、2016年にサイバーセキュリティ保険の分野で予想される主な変更点について、概要が示されています。これらの変更点は、この1年間に大きな影響を及ぼす可能性が高く、企業はサイバーセキュリティの変化の先を行くために対策を講じる必要があります。 変化のきざし では、保険会社に対する企業のスタンスに影響を及ぼす、どのような変化が予想されるのでしょうか。まず、CSOの調査では、効果のないセキュリティ プラクティスが実施されている環境については、侵害されても保険会社が支払いを拒否する可能性が高まると指摘しています。さらに、支払いモデルがより現実的な方法になります。 以下の4つの要素は、そのような新しい保険数理モデルの基礎となります。   即応性   時価総額     ターゲット プロファイル     リスク プロファイル     保険会社はまた、顧客ごとに詳細を調査し、それぞれ固有の環境に合った保険契約を作成するようになると考えられます。これらの保険契約には、企業文化、データ評価、さらには従業員のセキュリティ プラクティスに対する監査までもが追加の要素として盛り込まれるでしょう。 結局は、保険会社は保険契約者に一層真剣にサイバーセキュリティを受け止めてほしいと考えているのです。今日の企業にとってこのことは、サイバー攻撃の高まるリスクに対抗する検証可能な対策を実施することを意味します。 現状を把握する 確実に新しいサイバーセキュリティの保険基準に準拠することを目指して、企業は実行可能な手段を講じ、事前対応的な戦略と事後対応的な戦略の両方を実施する必要があります。このプロセスの最初のステップとして、最も狙われやすい標的と対比して、現在のセキュリティ プラクティスを十分に検討します。 この監査では、2つの重要な要素を明らかにする必要があります。その要素とは、企業の最も重要かつ最も狙われやすいデジタル資産と、それらを保護するセキュリティ対策です。事後対応力を確保するには、検証可能なサービスまたはサード パーティのベンダーを利用して、重要なデータに対する物理的な入り口とデジタルの入り口を常に監視する必要があります。 日常的に新しい脆弱性が発見されているため、事後対応だけの戦略では不十分です。サイバーセキュリティに対しては、事前対応的なスタンスを取ることが、事後対応と同じくらい重要です。保険会社が保険契約者のセキュリティ文化のこの側面を密かに確認するであろうことは、今や当然予想されます。事前対応的な対策には、脅威のモデル化、侵入テスト、効果的な従業員トレーニングなどが挙げられます。要するに、企業は単に攻撃を待ち構えるだけではなく、潜在的な脆弱性をいつでも探し出すソリューションを導入する必要があります。 最終的には、保険会社によるこれらの変更により、サイバーセキュリティ保険のコストは上昇し続けるでしょう。だからこそ、最良の保険料率を得ることが、優先事項となります。事前対応的なセキュリティ戦略と事後対応的なセキュリティ戦略を同時に実施することで、企業の地位は向上し、コストを低く維持するだけでなく、重要なデータを包括的に保護することもできます。 写真提供元:Flickr

イシュー(問題点)マネジメント コントロール(問題管理)

「ちょっと待ってください。これは心理学の講座ですか?」 そう思う方もいるかもしれませんが、今回の記事も、いつもと同じくらいわかりやすいものにするよう努力します。 先週、「問題管理」をテーマにした新しいブログ シリーズを開始しました。「問題の落とし穴」という問題を見事に示した、Steveによる本シリーズ最初の記事はこちらからご覧ください。今週は、統制の不備を補うプロセスについてお話しします。これは、問題管理で見逃されがちな側面です。 基本的なリスクと統制の考え方では、リスクに対応する複数の方法が必要になります。一般的にはこれらのリスク対応方法を「統制」と呼んでいます。通常(必ずというわけではありません)、特定のリスクに対して認識できる統制が増えるほど、優れていると考えられます。当然のことながら、一部の統制がその他の統制よりも重要であると見なされます。一部の統制が重要なために、いつでもその統制の準備が求められるようになると、その統制は「鍵となる統制」、「最優先の統制」などといった注目を集める名前で呼ばれるようになります。 統制は失敗する可能性があり、また実際に失敗することもあります。このことは避けられないため、多くの場合、重要な統制に2次的な統制を組み合わせておくと役立ちます。この2次的な統制は、最優先の統制を補い、統制の失敗の影響を低減します。これは、非常に賢明な方法で、ビジネスだけでなく日常生活のほぼすべての側面で行われています (一般的な例として、自動車の速度制限、シートベルト、エアバッグ、チャイルドシートの組み合わせが挙げられます)。 統制の問題が避けられないのであれば、外部の行為者の基準でなく、自分自身の基準でそれらを見つけることが望ましいでしょう。予想外の危機ほど、組織を急速にパニックに陥れるものはありません。また、ほとんどの事後分析で、統制の失敗が要因や根本原因として指摘されます。つまり、統制を日常的に試し、それらが正しく機能することを確認しなければなりません。このことが、コンプライアンスの基本原則を支えます。統制の問題(不備)を発見したら、これらの問題に対応する改善プロセスも用意する必要があります。残念なことに、このようなプロセスを用意せず、問題にうまく対処していると信じている組織が、気づかない間に運任せにしているケースがあります。 たとえば、ある企業が新しいテクノロジーに投資した結果、重要な統制の問題が発生し、そのテクノロジー以外にも新しい高額なシステムを導入することだけが、改善案として提案されているとします。その場合に、定量的な判断基準が単なるコストだけだとしたら、その企業のリーダーは十分な情報に基づく意思決定を行う準備ができているとはいえません。つまり、このリーダーは身動きがとれないまま、よりよい情報がより多く集まることを期待します。この企業は借り入れをして、測定不可能なメリットのために多額の予算を費やすというリスクを冒すべきでしょうか? それとも、立ち止まってもう少し検討すべきでしょうか?もしかすると、新しいデータが魔法のように現れて、意思決定が容易になるかもしれません。しかし、このことが購入を大幅に遅らせる可能性を高め、プロセス自体に内在するリスクの度合いを高めるのです。 こうした状況こそ、GRCプログラムの価値が本当に発揮される場面です。統制の不備が引き起こすリスクに対して、リーダーが信頼できる指標を持ち、リスクのコストと解決策のコスト(価値)を比較できればどうでしょうか?この企業がすでに所有している他のリソースを利用してリスクを部分的に低減できればどうでしょうか? より少ない投資で残りの不備を十分に補うことができるかもしれません。測定できる程度にまでリスクを低減できるだけでなく、その他の投資自体に内在する価値の上限も高まり、ROIを引き上げる可能性もあります。どちらにしても、経営陣はその他多くの戦略上の選択肢と意思決定とのバランスを取る、より優れた枠組みを持つことになります。選択肢があれば、意思決定を引き出す優れたインテリジェンスがあるときに、盲目的に推測しようとする経営陣はいません。 ビジネスと市場が変動し、セキュリティの脅威が高度化するにつれて、このようなリスク、統制およびエクスポージャーの組み合わせは常に変化しています。健全な問題管理プログラムには、強固な復旧戦略が統制の代替案を迅速に探し出す機能とともに盛り込まれています。こうした統制の代替案が、窮地で優先的な統制を補足したり、あるいは完全に補ったりします。このような統制の補足関係と内在的な制限を特定し、これらすべてを統合する基準を理解するには、リスク、資産、統制をすべて洗い出し、強力なレコード体系で管理することが欠かせません。GRCの機能はこの領域にも最適で、プロセスの実現、効率化、リスクの低減を通して価値を提供することができます。 以前に、組織がその潜在的な競争優位性を活用するには、GRCプロセスの成熟が必要であるというお話をしました。皆さんの組織が健全なビジネス プロセスを通じてコンプライアンスの体制をすでに確立し、監査をまったく恐れなくなった状況を思い浮かべてみてください。コンプライアンスはもちろん、リスクを伴う成長戦略に対して、推測ではなく、情報に基づく、リスクが合理化された意思決定を下せる能力を備えることで、組織のリーダーは自信を深めてビジネスを先導することができます。世界的に競争が激化し、セキュリティ侵害が大きなニュースとなる今日において、組織のリーダーにとって、これほどの価値をもたらす安心材料はありません。 こちらのショート ビデオでは、RSA Archerを問題管理プロセスに役立てる方法の詳細をご紹介しています。ぜひご覧ください。

動作分析:すばやい検出と対応の鍵

セキュリティ プロフェッショナルがNeedle-in-a-Haystack(見つかりそうもないものを探す)の問題に直面する機会が増えたため、現在では動作分析の使用が中心的なセキュリティ アーキテクチャとなっています。 システム、アプリケーション、インフラストラクチャに加えてセキュリティ ツール(特にルール ベースのツール)によって、非常に多くのデータが生成されるため、本当の攻撃の兆候を見つけるのは非常に困難です。分析ツールは、それらのシステムにより生成される大量のデータを理解するのに役立ちます。 UEBA(User and Entity Behavior Analytics)テクノロジーは、これらの分析ツールの1つのタイプです。  UEBAベースの分析システムは、原因が外部の攻撃者、悪質な内部関係者、マルウェアや他のプロセスのどれであるかにかかわらず、異常な動作や変則的な動作を示すアクティビティ パターンを検索します。Gartnerによると、「UEBAは、セキュリティ監視に機械学習と統計分析を利用し、評価されたイベントやエンティティのリスク スコアを生成します。これらのスコアは、データ脆弱性、セキュリティ侵害、他の不正な動作の可能性を示し、ルールにより生成されるバイナリ型の「yes」、「no」出力とはまったく対照的です」。UEBAの成果には、予防分析の成果よりも高い効果があります。攻撃者がシステムに侵入するのは防げないかもしれませんが、アクティビティをすばやく検出し、迅速な対応を可能にすることで損害を最小限に抑えます。 実際の脅威は自分自身を公然と宣伝したりはしません。むしろ、複雑になっていることの多い現在のIT環境で発生する他のアクティビティの中に自身のアクティビティを隠す傾向があります。しかし、攻撃者は最終的に通常のアクティビティの範囲外で物事を行うことになります。したがって、通常が何かを理解できれば、リスクの高いアクティビティがすぐに表面化します。TTP(戦術、手法、処理手順)のプロファイリングとマシン ベースの分析を通じてユーザー、エンティティ、攻撃者のアクティビティを評価すると、静的なルールを評価するだけではなく、動作に焦点を当てることによって既知の脅威と未知の脅威を識別することができます。このタイプの分析は、組織が動作パターンの可視性を得やすくし、リスクの高い異常を検出して最終的に悪質な攻撃者を検出することで、セキュリティ オペレーションのプラクティスを変革します。 この「新しい」市場の鍵は、機械学習や他の高度な分析機能を広範で膨大なデータ セットの上に適用することです(ヒント:ログだけをはるかに超えて適切なデータへのアクセスが必要)。組織がログ、ネットワーク、エンドポイント、ID、その他のデータを適切なデータに組み合わせることができると、既知の攻撃や未知の攻撃の検出を高速化できるだけでなく、リスクに基づいてアクションの優先順位を付けることができるため、調査と対応を高速化できます。 動作ベースの分析と、組織におけるアクティブなセキュリティ侵害をはっきりと示す攻撃者TTPプロファイルを使用して、リスクの高いアクションをすばやく検出することが、前進するための最良の方法です。たとえば、マシン データおよび動作分析手法を使用して、コマンドやコントロールなどの隠れたチャネルの使用を発見することにより、セキュリティ チームは高度な脅威をすばやく発見し、攻撃者が最終的に組織に損害を与える可能性を下げることができます。 この分野におけるRSAとRSA Security Analyticsにご注目ください。EMCでは、独自のデータ、分析エンジン、専門知識、プラットフォームを持っており、それらをすべて組み合わせて、お客様が最も高度な脅威でも検出および対応できるようにしています。

パート3:ゲームの基本を理解すること – 人、プロセス、テクノロジーの調和

「ゲームの基本を理解すること」シリーズの最初の投稿では、成功するSOCを特徴づけるスキル セットを挙げました。ちょうど、バスケットボールや他のスポーツで優秀な選手は、攻撃と防御の基礎的スキルが高いのと同じです。2番目の記事では、それらの基礎的スキルの1つを詳しく取り上げました(SOCとビジネス目標の間で確立された調和)。この新しい記事のテーマは、人、プロセス、テクノロジーの機能的な統合の設計と実行によって表される別の基礎的スキルです。要約すると、セキュリティ オペレーション プログラムの内部で人、プロセス、テクノロジーをどのように調和させるかということです。 「人、プロセス、テクノロジー」という決まり文句は皆さんもよくご存知でしょう。情報セキュリティ プロフェッショナルがブログ、書籍、ホワイト ペーパーを読むとき、これらの3つの名詞が必ず登場します。これらは、どのセキュリティ ベンダーの製品でも考え方の中心になっています。少なくとも、セールス担当者はそう言っています。「人、プロセス、テクノロジー」の3語は、前世紀末にBruce Schneier氏によって情報セキュリティ分野に広まりました。1980年の誕生以来ITILプラクティス セットの中心となったこれら3つの言葉は、1965年に理論化されたHarold Leavittのダイヤモンド モデル(組織のタスクは4つ目のコンポーネントを表していました)と関係があります。おそらく、セキュリティ プログラムを計画および管理する際に、3つのうちどれが最も重要な要素であるか、労力や予算をどのような割合で分配すべきかを論じることができると思います。しかし、それらすべてが必要なコンポーネントであり、完璧に統合しないとセキュリティ プログラムは必ず失敗することは否定できない事実です。 SOCでインシデント検出および対応機能を設計し、実装するとき、これら3つのコンポーネントの次の重要な要素を念頭に置く必要があります。 人材 前の記事で説明したように、組織がSOC機能を定義したら、それを運用する適切な人的資本を見つける必要があります。組織内部のスタッフでも外部のスタッフでもかまいませんが(MSSPなど)、最も重要なのはプログラムの「所有権」を常に組織の内部に保持するという点です。 その後、人材がSOCの役割にマッピングされます。各役割は明確に定義されている必要があり、その定義には少なくともジョブの説明、資格、責任、スキルと経験、トレーニングとキャリアの進行計画が含まれている必要があります。 役割のタイプと数は、組織に厳密に依存します(規模、構造、使命、予算、ビジョンなど)。例として、組織のSOCの成熟度に応じて必要なSOCの役割は次のようになります。セキュリティ アナリスト(さまざまなレベルの専門知識/責任。L1アナリストとL2アナリストなど)、SOCマネージャー、インシデント コーディネーター、シフト コーディネーター、マルウェア アナリスト、フォレンジック アナリスト、コンテンツ エンジニア、脅威インテリジェンス アナリスト、プラットフォーム エンジニア プロセス プロセスは、セキュリティ プログラムが達成しようとする目標と厳密な関係があるため、前に定義したSOC機能と関係があります。各SOC機能には、1つ以上のプロセスを関連づけることができます。 プロセスの定義と同時に、各SOC機能は特定の役割にリンクする必要があります。これは、RACIマトリックスなどの割り当てモデルを採用することで行うことができます。 役割に関しては、プロセスのタイプと数は組織のニーズや、実装するSOCプロセスのタイプ/数によって決まります。例として、次のようなプロセスを定義および作成できます。セキュリティ モニタリング、インシデント優先順位の付加、インシデント分析、インシデント対応、侵害対応、コンテンツ管理、フォレンジック分析、マルウェア分析、脅威インテリジェンス管理、セキュリティ デバイス管理、SOCプログラム管理 テクノロジー テクノロジーにより、SOCインシデント検出および対応機能が強化およびサポートされ、ネットワークとシステム、高度な脅威検出、インシデント分析、調査機能に対する可視性が高まります。 可視性は、ログ(オペレーティング システム、サービス、アプリケーション、データベース、セキュリティ ツール、ネットワーク機器など)、選択されたネットワークの接続点(インターネット ゲートウェイ、信頼レベルの異なるネットワーク間の交換ポイントなど)で収集されたフル パケット キャプチャ、ネットワーク フロー、エンドポイント データにより確保されます。 高度な脅威検出は、収集された環境データ(前述のポイントなどから)を活用するデータ分析と、脅威インテリジェンス、アセット情報(特に重大度)、ビジネス コンテキストの形のコンテキスト データを通じて実現されます。 インシデント分析および調査機能は、脅威検出をトリガーするデータと履歴データの両方に関する単一のパネル ビューを通じて実現されます。 SOCの成熟度が上がると、インシデント処理(優先順位付け、調査、修正)とSOCプログラム管理(KPI、レポート、メトリック)の両方のプロセス自動化にもテクノロジーを活用できます。 人、プロセス、テクノロジーの統合は書類上でも難しく見えるかもしれません。しかし、実際にはもっとずっと困難です。残念ながら、セキュリティ ベンダーがデータ シート上やセキュリティ カンファレンス ブースで顧客にどんな約束をしようとも、完璧な(あるいは、この問題にそれなりに対応できる)統合を実現するための特効薬はありません。この目標を達成するのに効果があるとわかっている唯一の方策は、セキュリティ…

E4:地平線上の嵐 – 技術的な話題

Defend the Kingdomのエピソード4「地平線上の嵐」では、王国は一見すると、概して平穏で安全なように見えます。  エピソード3「ゲートに群がる人々」の大規模な一斉攻撃には何とか耐え抜きました。新しい通商相手との協定は実現の兆しを見せており、ハンターはセキュリティ ログの確認という日常的なタスクに没頭しています。  しかし、その穏やかな水面の下では、真の脅威が差し迫っています。ギルドの執念深いサイレンが、さらに多くの情報を集めているのです。  サイレンはついに王国を去りますが、そのときには、王国の最も貴重なリソースの多くにフルアクセスできる認証情報を収集していました。  このエピソードは国王評議会の会議で終了します。国王評議会は、拡大する脅威にも、それに伴うギルドの結集にも気付いていません。そうした中、ギルドは王国の不倶戴天の敵であるナショスタシアとの協力を発表します。 エピソード4の大部分では、外部パーティとの関係を構築する組織がますます増えている中で企業が現在直面している、拡大するリスクの1つに焦点が当てられています。  サード パーティ リスクは、複雑なサプライ チェーン、入り組んだ取引関係、アウトソーシング型のサービス プロバイダーがビジネス戦略の基盤になっている中で、最も切迫した問題の1つになっています。   サード パーティと関係を築くことには、プラス、マイナス両方の効果があります。  プラスの効果としては、新しい市場の開拓、革新的な製品やサービスの活用、パフォーマンスの向上などがあります。これは、組織がビジネス パートナーのエコシステムを利用できるようになるためです。  しかし、サード パーティに依存することで、コンプライアンス、セキュリティ、復元性などのリスクもすべて共有されます。 このエピソードでは、サード パーティと共同でリスクを管理することに関するさまざまな要素が検討されています。   財務面の有効性:サード パーティが組織に財務的なメリットをもたらしてくれるかどうか、および外部パーティとしての強みと有効性を備え、ビジネス戦略に積極的に貢献し続けてくれるかどうかを詳しく調べる必要があります。   フォース パーティ:どの企業も外部パーティをいくつか利用しています。そのため、1つの関係が構築されると、複雑なビジネス サービス網により、他のパーティとの関係がそのまま継承されます。1つのリスクがベンダー関係の迷路をたどり、2つ、3つ、4つの契約へと広がっていく可能性があるのです。     契約合意書/委任契約書:外部パーティとの連携には、それぞれ固有のリスクが伴います。そのため、企業間の関係が拡大するにつれ、リスク管理フレームワークの継続的かつ有効な要素として、リスクを分類して評価するプロセスを取り入れる必要があります。     セキュリティの実践と評価:エピソード4では、セキュリティ機能の評価とセキュリティ チーム間のコラボレーションに焦点が当てられています。ビジネス関係は、当事者が連携してリスクを管理できるよう、組織の運用部分にまで浸透させる必要があります。     エピソード4では、リスク管理とセキュリティに関する基本的な原則にも触れています。   サイレンは、ソーシャル エンジニアリングを利用して守衛(管理者)から情報を入手します。このシーンは、ソーシャル エンジニアリング ユーザーとプリビレッジド ユーザーが知り合いになったときに生じるリスクを示しています。サイレンは認証情報を盗むことができます。これにより、アクセスできる範囲を拡大し、さらに多くの認証情報を入手できるようになります。この悪意に満ちたサイクルは、サイレンが王国に侵入するための鍵を完全に手に入れるまで続きます。   今日では、組織間でコミュニケーションおよび脅威インテリジェンスを共有することが極めて重要になっています。このエピソードでは、管理ツールの使用状況に関する情報をvNextGenチームとマーティが共有します。マーティは、以前の攻撃から得た不正なIPアドレスを伝えます。  このようなコミュニケーションは極めて重要です。物語の中では、目立たずゆっくりとした潜在的な脅威をハンターが突き止めることになります。     このエピソードでは、サイレンが特権認証情報を使用します。単に許可されたユーザーのように振る舞うことで、誰にも気付かれずにセキュリティをバイパスできるのです。このストーリー展開は、ハッキング事件の多くが管理ツールや一般的なツールを使用してひそかに行われるという事実を示すことを目的としています。     このエピソードの最後の部分では、国王評議会が新しい協定/ビジネス パートナーに関するあらゆるリスクを調査する様子が描かれています。リスク管理に関するすべての要素がこの議論に含まれていることに注意してください。国王評議会のメンバーは、リスク管理に携わる重要人物をすべて示すことができるように設定されています。…

インシデント対応 コミュニケーション プランの導入

皆さんもご存じのように、たいていのセキュリティ インシデントは、不意を突くように発覚します。社内の知恵を寄せ合ってアクション プランを固め、重要なシステムがハッキングされていないことを確認し、ほっと一息ついたのもつかの間、次の瞬間には重要なシステムがすでにハッカーの魔の手にかかっていることに気付かされ、愕然とすることになります。 熟練した情報セキュリティ チームの多くは、こうしたインシデントを技術側面から予防するために、診断、パッチの適用、修正、詳細な分析、フォレンジックなどの、洗練されたプロセスを採用しています。また、ポリシーとプロセスの更新および修正を行い、経営幹部と主要関係者に最新情報を報告することも重要です。 昨年起こったセキュリティ インシデントを見ると、従来の対応策を抜本的に変えなければならないことが分かります。つまり、従業員とお客様に対するコミュニケーション戦略の作成が必要となっているのです。セキュリティ インシデントがニュースになると、クレジット カードや銀行のお客様からコンタクト センターに脆弱性に関する問い合わせが殺到しますが、こうした例からも分かるように、カスタマー エクスペリエンスは多くの企業にとって重要な差別化要因となります。また、危機発生時にお客様からの問い合わせに回答できるよう、必要な情報を用意しておくことが肝心です。 ほとんどのCSOおよびCISOは、効果的なコミュニケーション プランが必要であることには同意しているものの、具体的な手順やその実践方法について明確化している企業はごくわずかです。ではここで、効果的なコミュニケーション プランを構築するためのポイントをご紹介しましょう。   まず、2つの重要なグループであるカスタマー サービス部門、広報部門との連携体制を作りましょう。さらに各グループで、情報セキュリティ チームと定期的に連絡をとりあう担当者を決め、緊急時にすぐに対応できるよう情報セキュリティの手順を定めます。同時に情報セキュリティ チームにも、これらのグループとの連絡窓口となる担当者を用意しましょう。可能であれば、法務部門、人事部門とも連携することをお勧めします。   インシデントの重大度、従業員やお客様への潜在的な影響、メッセージングを考慮しながら、コミュニケーション プロセスを構築します。たとえば、コンタクト センターの従業員は次のようなシンプルな回答を準備できます。「この問題については現在調査中です。現時点では、お客様への影響はないものと思われますが、最終的な確認にはさらに詳しく分析する必要があります。詳細が分かり次第、速やかにお知らせします。」 また、「何か起こる前にパスワードを変更しておくべきですか」というようなシンプルな質問にも回答できるようにしておくとよいでしょう。さらに人事部門でも同様に、記者やメディアからの質問に回答できるように準備しておく必要があります。     法務部門とIR部門に導入されているプロセスを確認しましょう。次に、懸念事項を予測し、これらのグループと連携しながら障害となっている問題点を解消します。特に法務部門は、リスクを増やしたくないという理由から、透明性よりも秘密保持を重んじる傾向が強いため、情報セキュリティ チームは、十分な根拠を用意した上で、透明性によってもたらされるリスクよりも秘密保持によるリスクの方が大きいことを、こうした部門に説明する必要があります。     情報を伝達するためのプロセスと、その情報に基づき実行するためのプロセスを、社内のグループごとに用意しましょう。たとえば、カスタマー エクスペリエンス担当副社長には、必要に応じてお客様に通知するための独自の社内プロセスが必要です。     コミュニケーションのプロセス自体は、関係者の責務にどのような影響が及ぶのかに重点を置いて、要点を迅速に伝えることを考慮しましょう。たとえば侵害が発見された場合、情報セキュリティ チームはカスタマー エクスペリエンス部門に連絡し、その旨を通達するといいでしょう。お客様への影響が不明な場合は、その旨も通知し、詳細が分かり次第通知すると伝えましょう。また、その時点で詳細が分かっていなくても、最新情報を提供できるように準備しておく必要があります。侵害の範囲が判明したら、情報セキュリティ チームの担当者は、お客様への潜在的な影響についてカスタマー エクスペリエンス担当副社長に報告し、この副社長と協力してカスタマー サービス担当者へのメッセージを作成します。     このプロセスは、侵害の重大度が深刻な場合にのみ実行するようにしましょう。初期の段階で、プロセスを実行しなければならないほどの重大な侵害かどうかを判断するのはなかなか難しいことですが、侵害が重大と判断したら、ただちにコミュニケーションを開始する必要があります。     効果的な危機管理プロセスと同様に、バックアップ体制を整えておくことも大切です。情報セキュリティ チームは、同僚が休暇や出張などで連絡不能になった場合の対処方法を明確にしておく必要があります。また、年に1回はインシデント対応のプロセスをテストする必要があります。   セキュリティ侵害の発生件数は、かつてないほどの勢いで増加しています。会社とお客様の双方を保護するためにも、綿密なコミュニケーション プランを用意しておくことが大切です。こうしたプランがあれば、情報を各部門に漏れなく伝達できる上、お客様やメディアからの質問にも確実に回答できます。