GRC、ホーム、セキュリティ オペレーション

E5:蠅の群れとスズメバチ – スズメバチの一刺し

ゴーストは城を見下ろす丘の上で辛抱強く待ちながら、ここ数日を振り返った。  国境からの旅にはいろいろな出来事があった。  王国に初めて足を踏み入れて以来、物陰から物陰へと隠れ、あれこれ考えながら過剰に警戒しつつ道を進んできた。  打ち捨てられた狩猟用の掘建て小屋、古い洞窟、荒れ果てた納屋、人けのない寂れた小道、これらはすべて、用心深く野山を旅するゴーストに隠れる場所を与えてくれた。 ゴーストは検問所を通るたびに新たな身分証明書を使わざるをえなかった。  同じものは二度と使わず、身分証明書を焼き捨てた痕跡もまったく残さなかった。  城に近づくにつれ、危険がせまっているのを感じた。  護衛の数は多かった。  警戒体制はやっかいだったが、ゴーストの技量をもってすれば問題ではなかった。  護衛たちの注意はほかに向けられていた。  王国の住民はゴーストを気にも留めずにやり過ごした。  ゴーストは住民の中に一瞬にして紛れ込むことができた。 ゴーストには、一つの動機を持ち続けるという強みがあった。  ゴーストは辛抱強く、粘り強く、目的の達成に向けて燃え上がる野望を持っていた。  物陰に隠れる術を知り、  複雑な地形ではあらゆる窪地や割れ目を見つけ出した。  ゴーストこそ、盗みの天才であり、社会にとって真の脅威であった。 ゴーストはときどき、単なる護衛ではない何か違うものの存在を感じることがあった。  何かが忍び寄ってくる。  ゴーストはそれを感じた。  別の眼差しが自分の影を横切るのを感じた。  その眼差しはゴーストの存在を察知しなかったが、その存在は確かなものであった。  その眼差しは探索し、  綿密に調査していた。  ゴーストはハンターの存在を感じた。  この脅威は一歩ずつゴーストを追い詰めていたが、ゴーストはこれを試練の一部と受け止めた。  ハンターを打ち負かすことはスリルの一部であり、  ゴーストはこれを楽しんだ。 ゴーストは城を取り囲む巨大なモミの木の暗がりでうずくまり、次の一手を考えていた。  門のざわめきがゴーストを現実に引き戻した。 門のそばにいた兵士たちは警護の交代のために疲れた表情で集まっていた。   城の中からカツカツという靴音が鳴り響いた。  ゴーストは木陰で身構えた。  新しい軍団の一行が城を出て巨大な跳ね橋の前に集合した。   兵士らが集まっている間に、灰色のマントで闇夜に溶け込み、ゴーストは草むらを横切った。  軍団長が点検を終えるまでに、ゴーストはすでに壁を伝わり開かれた門へとせまっていた。   軍団長は新たにやってきた兵士たちに最後の指示を出した。  瞬間、幻のようなものがその門を通りすぎた。嵐のなかの囁きほどの音も立てなかった。すでにゴーストは門の中に侵入し、国王の住まいの奥深くにあっという間に身を潜めた。 ***** マーティは靴紐を結ぶために腰をかがめた。  すでに長時間働き詰めのマーティは、とっておきの切り札を使おうとしていた。幸運をよぶConverseのスニーカーだ。  それは履き古しのスニーカーだった。  キャンバス地は擦り切れて色があせ、灰色や青色や緑色が混じった名状しがたい色に変わっていた。靴ひもを通すハトメのいくつかは、年月とともに失われていた。  ゴム底はすりへり履き古されていたが、まだかろうじて無事だった。  マーティは器用な指先で靴紐をしっかり締めた。  が、紐はぷっつりと切れてしまった。  マーティはうめいた。  これは悪い前兆だ。 マーティは靴をいたわりながら、グレッグのブースに向かってゆっくりと歩を進めた。 「単語は何?」 と聞きながらグレッグはマーティを迎えた。 「鳥」とマーティは返した。 「鳥?」 「単語は鳥だ…」 いぶかしげに眉をひそめたグレッグの顔つきが険しい表情に変わった。 「気にするな。  冗談だよ」と言いながらマーティは隅にある椅子に沈みこんだ。 「冗談を言っている場合じゃないぞ、マーティ」 とグレッグは諭した。 「はい先生。 以後気をつけます。  靴の紐が切れただけなんだ」 「そういう意味じゃないことぐらい、わかっているだろ。  招かれざる客に関して何か新しいことを掴んだかい?」 「サインを探し続けているんだ。  変なログインとか、 …

苦悩の悪循環:将来に悔いを残さないために

不具合。欠陥。呼び方はさまざまですが、組織におけるセキュリティへの取り組みはそうしたものに満ちています。RSAでは「Issues Management(問題管理)」という言葉を包括的に使っています。組織の多くが、自らの脆弱性、構成の不具合、管理の不備、ポリシーやプロセスのギャップに対して、同じやり方で対処しています。つまり「難しい方法」です。「難しい方法」とは、受け身的な方法、場当たり的な方法、問題を先送りにする方法ということです。 「現在」のあなたは、常に仕事で後れを取ってしまうというリスクを背負いながら、自分が合理的だと信じている方法でこうした不具合や欠陥に対処しています。「ときには問題を先送りにしなきゃいけないときもあるんだ」そう自分に言い聞かせながら、毎日の仕事を進めています。しかし、時間が経つにつれ、先送りにしてきたものが溜まってきて、「未来」のあなたにたくさんのストレスを引き起こしたり、夜間や週末の自由時間が奪われる、というパターンを繰り返すでしょう。そのたびに、「未来」のあなたは心から後悔するのです。 「そんなこと言われなくてもわかっているよ。」 おっしゃるとおりです。こんな話は何度もお聞きになったでしょうし、皆さん自身よくご存知のことでしょう。今私はあえて「言うは易く行うは難し」というアドバイスをしているだけです。私が仕事を始めたばかりでまだ貧乏だった頃、保険代理店の人に、どうすれば補償範囲を削って掛け金を安くできるかをたずねたことがあります。すると彼は「あなたには十分な保険に「入らない」でいられる余裕はない」と言いました。財務のプロたちも、緊急時の備えや老後の備えについて同じようなアドバイスをします。「「備えない」でいられる余裕はない」と。当時は反対に考えていました。もともと十分なお金がないのに、それ以上毎月の給料をつぎ込んで何の助けになるのか?と。なかなか認めたくない、向き合いたくないことではありますが、しかし、彼らの言うとおりだというのが厳しい現実なのです。こうした教訓を受け入れるためには人間的な成長が必要です。そして、私たち個人とまったく同様に、組織もまた成長して厳しい教訓を学ぶことができます。 では、「「備えない」でいられる余裕はない」という同じ教訓を組織にどう適用すればよいでしょうか。問題管理の場合には、いくつかの方法があります。担当者全員が少ない労力で各自の役割を果たせるように、問題管理のプロセスを効率化する必要があります。また、情報を簡単に共有して互いに多くのことを学べるように、担当者のデータやツールをまとめる必要もあります。そうすることで、新しいインサイトが生み出されます。新しいインサイトや指標をもとに、問題の優先順位を決めて、最も大きなセキュリティの改善をもたらす作業に取り組むことができます。可視性から対処能力が生まれます。また、問題のあらゆる側面にわたって傾向や指標を可視化することで、根本原因の分析が促され、最終的には、将来同じ不具合の発見が繰り返されるのを減らすことになります。 こうした取り組みによって悪循環が断ち切られ、「未来」のあなたの状況が改善されていきます。東洋の哲学にも似たような考えがあります。苦悩が循環することを「輪廻(りんね)」、また「業(ごう)」と呼びますが、未来の苦悩を増やす原因になるとわかっている行いを止めるよう説いています。そういえば、Andrew Jaquithもかつて「苦しみの回し車からハムスターを救う」みたいな話をしていましたし、同僚のPatrick Potterも最近映画「Groundhog Day(邦題「恋はデジャ・ブ」)」のたとえ話をしていました。 今は、少々の苦しみに耐えることです。ほんの少しばかり余分に頑張って、RSA ArcherのIssues Managementのような正しいツールを使うことです。そうすれば、「未来」のあなたに幸せが訪れます。 お読み頂き、ありがとうございました! ご意見やご質問がありましたら遠慮なく私宛にメールしてください。    

E5:蠅の群れとスズメバチ – 蠅退治

「なにしてるんだい?」と言いながら、マーティがエリンのオフィスにいきなり入ってきた。  互いのデスクとオフィスとの間を数え切れないほど行ったり来たりしているこの二人の間では、形式的なあいさつなど不要だった。 エリンはモニターから顔を上げると、  うんざりした調子で「蠅退治」と言った。 セキュリティ侵害を受けたアカウントとシステムを調査し、何が起こっているかを突き止める「蠅退治」は、彼らのスローガンになっていた。  エリンとその少数精鋭チームは、アクセス ログと休暇予定表やカレンダーなどとを突き合わせて、ユーザーによるあらゆる異常なアクティビティを特定する仕事で大忙しだった。   彼らは通常より多くの時間をかけて、必要な範囲を超えてユーザーにアクセス権が付与されている事例(すなわち、攻撃者が自身の権限を増大させている可能性を示すもの)を探していた。   これは退屈で時間のかかる作業だった。  彼らが使用するIdentity Governanceソリューションは大きな助けになったが、まだ多くの調査すべきデータが残っていた。 マーティとグレッグは、デスクトップやその他のシステムに対するフォレンジックで忙殺されていた。  彼らはあらゆるマルウェア感染を分析しなければならなかった。しかし、より重要な仕事は、攻撃者が戻ってくるときに利用できるバックドアが残されていないか確認することだった。  どちらのチームも、あらゆる可能性を検討するために、昼夜を問わず長時間働いていた。 「やっぱり、全部のアカウントを閉じちゃうの?」 エリンが尋ねた。  「アカウントを2~3個残しておいて、あちらが何をやらかすか監視するっていうのはどう?  それで犯人を見つけられるかも」 「君はいつまで蠅退治をやるつもりなんだ?」とマーティが答えた。  「ネットワーク制限で今でも業務に支障が出ているんだよ。  それから、システムの再イメージングもしたし。  それから、フォレンジックのためにファイル サーバーを一時的にオフラインにしたし。  それから…」 「ああ、はいはい」エリンが遮った。  「わかったわよ。  ただ、まだ本当にいらいらしてるのよ、今回の件では」 「それは、こっちも同じさ」マーティは同意し、マウンテンデューの残りを飲み干した。 ***** 門番は、王国の辺境で岩場を縫うように走る、ひっそりとした小道の持ち場を離れ、しゃがんで焚き火にあたっていた。  彼は、フロンティアに続く小道の曲がり角を曲がって、こちらにやって来る人影に気付いた。  この見知らぬ人物は馬にまたがり、急ぐ様子もなく近づいてきた。  この人物に特に疑わしい様子はなかったが、門番は注意を怠らず、小道をさえぎるように立つ門のところに戻った。   見知らぬ人物は門のところで止まり、革張りの小さなフォルダーをさっと取り出した。  そして、尊大な態度で門番に身分証を手渡した。  馬は落ち着かない様子で、早く先に進みたいと言わんばかりに、蹄で地面を蹴った。 門番は身分証を眺めた。  彼は盛り上がった印章の上に指を滑らせた。それは、持ち主が城の高位の参謀であることを示していた。 見知らぬ人物は馬上から門番を見下ろし、横柄な笑みを浮かべた。 門番は騎手を見上げて、笑みを返した。   次の瞬間、門番は革張りの身分証を火の中に投げ入れると、刀を抜いた。 見知らぬ人物が大声で何か叫ぶのと同時に馬が後ろ足で立ち上がり、門番に向かって前足を突き上げた。  突然、馬と騎手は荒々しく向きを変えると、危険なひづめから身を守ろうと防御の姿勢をとる門番を残して走り去っていった。 「止まれ!」と門番は叫んだ。 興奮した馬は、王国への入口を後に土煙を上げながら、フロンティアに向かって石ころだらけの街道を疾走していった。 *****…

オバマ大統領のCNAP(サイバーセキュリティ米国行動計画)に賛同する

「サイバーセキュリティ業界は基本的に破綻しています…しかし、それはテクノロジーの問題ではなく、考え方の問題なのです。」 RSAプレジデントのAmit Yoranが最近このように発言しました。このコメントは全国を駆け巡っただけでなく、米政府に対する深刻なデータ侵害の発生を受けて、政府内でも深刻に受け止められています。昨年のOPM(米政府人事管理局)へのセキュリティ侵害から、先週のFBIとDHS(米国土安全保障局)を揺るがした侵害までを振り返り、米政府のITシステムを保護するうえでの考え方を刷新する必要があるのではないかという懸念が生まれています。 こうした経緯から、RSAはオバマ大統領のCNAP(サイバーセキュリティ米国行動計画)に賛同します。この行動計画は今日午前に発表されたもので、RSAも様々な面で関わっていきます。しかし、同時に、米政府のこの取り組みにおいて、本当に透明性が実現されるかどうか、いくつかの点について注視していきたいとも考えています。第1に、米政府のCISOの役割がうまく機能するかどうかに注目しています。従来の大統領特別補佐官やサイバーセキュリティ補佐官では不可能だった権威、アカウンタビリティ、責任能力を、この新しい職責では達成できるのでしょうか。第2に、DHS(米国国土安全保障省)の役割は、明示的/暗黙的にどのように変わるのでしょうか。 米政府を攻撃者から保護するためのこの新しいアプローチは、従来の有効性に欠けたサイバーセキュリティの考え方に対する挑戦と言えるでしょう。RSAは、この行動計画の主要な要素の1つに対して、公に支持を表明しています。それは、電子メールなど重要なアプリケーションおよびシステムにおける、多要素認証の広範な導入の促進です。私は、この重要な問題に対するRSAの取り組みを誇りに思っています。多要素認証(しかも、米政府のCAC/PIVインフラストラクチャすら上回るレベルのもの)は、セキュリティを強化するために不可欠です。National Cyber Security Allianceなど多くの組織では、この問題をITセキュリティに関わる人々に強く印象づけるための努力を続けてきました。 今日の発表には、その他にも非常に重要な点がいくつか含まれていました。   サイバーセキュリティへの支出の増加。   米政府のIT防御をモダナイズするための広範な計画。     米政府のCISO職の新設(文民、国防総省、情報機関などの間のサイロ化をなくす)。     NISTサイバーセキュリティ フレームワークの導入を促進するアクティビティ(特に重要なインフラストラクチャ コミュニティに対して)。     連邦サイバー ワークフォースの人員数と機能を強化する取り組み。     今日の発表でもう一つ注目されるのは、官民の壁を越えた委託関係です。民間セクタからの情報を取り入れながら、最も重要なサイバー脅威の課題に対処できるソリューションの開発に注力します。RSAは、この委託関係に積極的に関与していきます。オバマ大統領は、ウォール ストリート ジャーナルの論説欄で次のように述べています。「政府にはまだ多くの必要なツールが不足しています。その中には、多くの企業で日常的に使用されているものも含まれます。」 今日の高度な脅威に対抗するための最も重要な機能に予算を重点的に配分し、取り組みを加速することが重要です。米政府のセキュリティを強化するための構想は、大きな3つの柱によって構成されます。   米政府のCISOレベル、政府機関レベル、プログラム レベルでの、重要なインフラストラクチャ全体への脅威に対する、完全なリアルタイムの可視性。   クラウドとモバイルの時代に合わせてネイティブに設計された、新しいID保証システムとアクセス ガバナンス テクノロジーの導入。     リスクの識別と、リスク軽減への取り組みを優先する、企業における成熟したリスク管理アプローチ。     今日はインターネット安心デーです。「サイバー世界の状況が一変したのに、古い地図を使って旅をする」ような習慣はやめなければなりません。 今日のオバマ大統領の声明と、これまでのさまざまな議会の取り組みは、米国の立法府と行政府が新たな目的意識を持って「サイバーセキュリティ作戦」に取り組もうとしていることを示しています。私たちITセキュリティ業界の人間も、この作戦の中で自分たちの役割を果たさなくてはなりません。この問題は、今年のRSA Conferenceで主要なトピックとなるでしょう。この「戦い」に負けることは絶対に許されません。

継続的な資産モニタリングの新たな価値

果たして、資産モニタリングを継続的に行う必要はあるのでしょうか?RSAブログに最近掲載された「Security GRC Fundamentals: Creating and Utilizing a Business Context(セキュリティGRCの基礎:ビジネス コンテキストの作成と利用)」というタイトルの記事では、正確なインベントリによるビジネス コンテキストの提供と、情報システムやデータに対する優先順位の設定がなければ、脅威と脆弱性に関する世界中のインテリジェンスはすべて無意味である、という主張がなされていました。そして、RSAの「Security GRC Fundamentals: Monitoring Assets(セキュリティGRCの基礎:資産モニタリング)」という記事では、確認されたデータ侵害の半数近くが、企業が完全には把握していなかった資産やデータに対して行われているという証拠を挙げて、この議論をさらに掘り下げました。 これを定量化して論じるために、シンプルなITインフラストラクチャに関する次の前提条件に基づいた例を考えてみましょう。 ある中堅企業には1,000名のユーザーがいます。 各ユーザーは、エンタープライズ インフラストラクチャに接続するデバイスを1~3台持っています(たとえば、コンピューター、スマートフォン、タブレットの組み合わせです)。 ユーザーは、デバイスのシステム ソフトウェアを含めて、デバイスあたり25~100種類のアプリケーションをインストールしています。 毎月、すべてのアプリケーションに0~3件の変更(パッチ、アップデート、構成の変更、インストール、アンインストールなど)が行われます。 例を単純化するために、従業員の入社や退社、デバイスの紛失、盗難、アップグレードや、あるエンタープライズ インフラストラクチャから別のネットワークにアクセスするユーザーなど、複雑な追加要因については無視します。わずか1か月の間に、組織のITインフラストラクチャのこの1つのサブセットが変更される可能性は、何通りあるでしょうか? 単純なモンテカルロ法の計算により、いささか衝撃的な答えが導き出されます。このシンプルな環境に対して行われる変更は、90パーセントの確率で50,000件を上回り、10パーセントの確率で480,000件を上回ることになります。合計変更件数の中央値はおよそ250,000件です。つまり、ある月の初日から月末にかけて、組織の資産のこの一部分が変更される方法は250,000通りもあるということになります。しかもこれは、ユーザー数がわずか1,000名の場合です。より大きく、複雑なIT環境で行われる変更の規模を想像してみてください。 こうした現実に対する1つの対応として考えられるのは、すべてに制限をかけて、標準構成のみのシステムを厳格にプロビジョニングすることです。ソフトウェアを追加したり変更したりする権限はなく、厳格な管理下に置いて、事前に検査され承認されたアプリケーションのみを実行できるようにするのです。この対応方法は、多くの点で、Aberdeen Groupのブログ「DSD Top 4(DSDの4つの推奨事項)」に似ています。これは、指揮統制の厳格な文化がある特殊な企業においては有効かもしれません。しかし、そのような文化を持たない企業では、この種の制限とコストは何の役にも立たないものと見なされるでしょう。 もう1つの対応方法は、継続的な資産モニタリングに移行することです。この移行によって、ユーザーが1,000名の環境におけるエンドポイント インフラストラクチャで発生する、1か月あたり50,000~500,000件近くの変更による情報ギャップを防止することができます。また、インテリジェンスとは正しいコンテキストがあって初めて意味をなすという点を考えることも重要です。インテリジェンスとコンテキストが不足していると、高い確率で悪い結果を招きます。また、これまで企業が考えていたよりもずっと早く、コンテキストが古くなってしまう点にも注意が必要です。 これらの要素を考慮し、自社のビジネスに取り入れることで、ITリーダー、セキュリティ チーム、ビジネス リーダーは継続的な資産モニタリングの新たな価値を見いだせるでしょう。

サード パーティ リスクの効果的な監視の重要性

Deloitte社によれば、この数年でサード パーティ リスクについて注目が高まっている主な要因は、次の3つです。1つ目は、2008年の景気停滞によって、組織がより多くの事業活動をサード パーティに外部委託することで内部コストの削減を期待するようになったことです。2つ目は、サード パーティ管理に関する違反に課せられる罰金や処罰が厳しくなったことを含め、サード パーティとの関係とその管理に関する規制当局による監視が強化されたことです。3つ目は、サード パーティの怠慢またはセキュリティ違反による影響や、それらの問題が自社の評判に与えうる影響について、組織の懸念が高まっていることです。 しかし、企業の経営幹部の間ではサード パーティ リスクに関する問題への関心が高まっているものの、サード パーティとの関係に関するリスクの説明責任や、監視責任の明確化はいまだに実現していません。サード パーティとの関係に伴うリスクの全体像を把握している企業は、依然としてごく少数です。 効果的なインサイトの必要性 サード パーティ リスクの効果的な監視を確実に実行するためには、組織の最高幹部がサード パーティ管理について十分に認識し、関与する必要があります。主に金融機関向けですが、米国通貨監督庁が2013年に発行した更新版ガイダンスは、サード パーティと関係のあるすべての組織に適用できます。堅牢なリスク評価を採用し、サード パーティとのあらゆる関係を監視することを組織に求めるこのガイダンスでは、サード パーティとの関係について企業の経営幹部や管理職が適切な報告を受けること、またそれをエンタープライズ リスク管理とコンプライアンスのフレームワークに組み込むことを強く推奨しています。 さらに、組織全体の幅広い役割と事業部がサード パーティ管理への責任を負うことが重要です。ただし、これは多くの企業で現在行われているような個別のアプローチではなく、統合された形で行う必要があります。このプロセスには、調達およびサプライヤー管理に責任を負う担当者のほか、コンプライアンス、情報セキュリティ、ビジネス継続性リスクに責任を負う担当者、社内外の監査者を含める必要があります。 防御の維持 KPMGは次のような「3つの防御線」モデルを開発しました。これにより組織は、リスクに関する役割と責任をより適切に定義するとともに、より効果的なサード パーティ リスクの監視を実現できます。 1つ目の防御線は、リスク管理のプロセスと手順を遵守し、より適切なリスク管理のための措置を実施し、リスクの特定に責任を負うビジネス オーナーです。 2つ目の防御線は、組織内で監視する立場にある人であり、KPMGはこれを「基準を定める人」と呼んでいます。これらの役割を担う人は、リスク管理に関するポリシーと手順を確立し、組織がどのリスク領域に直面するかに関するインサイトを提供することに責任を負います。サード パーティ リスクの管理を向上させるために、企業のトレンド、相乗効果、変化の機会を特定することにも責任を負います。 3つ目の防御線は、保証を提供する社内外の担当者であり、独立した立場で、リスク管理プロセスが適切であることを評価、立証します。 Aon社による2015年のグローバル リスク管理調査によれば、サード パーティ リスクは、組織が直面する困難なリスクの第8位とされています。この問題が上位10位以内に入ったのは今回が初めてでした。規制当局による監視の強化と、競争の激化により、コスト削減の必要性が増したことが、今回、その重要性が高まった主な要因となっており、今後数年間、サード パーティ リスクへの注目がさらに高まると見られます。個別または断片的な形でリスクを管理する専門家は、逆風にさらされることになるでしょう。サード パーティ リスクの効果的な監視を可能にし、組織全体で統合型のアプローチを確立するリスク管理のフレームワークを開発することによってのみ、企業は競争力を維持し、規制当局による監視の強化を回避することができます。

Looking Behind to Move Forward

In my recent travels around the world, I’ve met with government officials and key critical infrastructure decision-makers. Defining the steps to create a more effective and secure environment is almost always Topic A on their list. This is important to the end users – information, operations, services, responsibilities of many kinds, etc. As it almost…

E4 – Storms on the Horizon – First Winds

The Siren sat demurely in her corner booth at the café watching the patrons with an air of casual indifference.  A closer inspection of her after a few minutes though would reveal the intensity of a predator as her eyes smoothly moved from one customer to the next.  She surveyed every table for a few…

Amit Yoran’s Predictions for 2016

This year marked a strategic shift from a maniacal focus on prevention, toward greater balance on monitoring, detection, and response capabilities. It’s become cliché́ to say that breaches are inevitable and that faster detection and more accurate incident scoping are the way forward. 2015 saw continued acceleration of threat evolution. What was considered an “advanced”…

E4 – Storms on the Horizon – The Calm Before

Marty walked into the executive conference room and felt he had passed through a portal of luxury.  No battered pizza boxes in the trash cans.  No empty soda cans littering the table.  No crazy mess of networking cables running across the floor.  He was used to that type of working environment.  Instead, he saw an…