導入しているツールの数ではなく、ツールによる成果が重要です
私たちはインシデントレスポンス(IR)チームとしても活動しており、毎週のようにニュースで報じられているセキュリティー侵害の発生後に、その対応を要請されることがあります。その場合は、こうした侵害の実態や組織の欠陥、弱点を確認した後、次回の攻撃を防止するためにより良いアプローチを取れるようお客様を支援します。たいていのケースでは、基本的なセキュリティー機能が導入されていません。組織への入口は豊富な機能を備えた認証システムで施錠されていますが、攻撃者は基本的な問題がある安全性の低いアプリケーションから盗み出した正当な資格情報を使用して、裏窓から侵入しています。アンチスパムフィルタをすり抜けたフィッシングメールやパッチが当てられていない管理対象外の資産が使用されることもあります。
このような状況を知って、自社のインシデントレスポンスの準備は十分だろうかと不安を感じますか?それとも、幅広いセキュリティーテクノロジーを導入しているから安心ですか?自分たちは、こうした侵害の原因と同じ基本的なエラーは犯さないと確信していますか?では確信されている皆さんは、なぜ確信を持てるのでしょうか。
私たちが接触した組織の大半はインシデントレスポンスの対策を立てており、その多くは高額な費用をかけて第三者機関のコンサルタントによって立案されています。インシデントレスポンスは、一般的には理論的なシナリオに対して評価されますが、リハーサルや実世界でのテストは行われません。また、こうした企業はセキュリティーテクノロジーを過剰に導入していることが多いのですが、脆弱性やデータ侵害の根本的な原因の特定やその対応はできません。セキュリティーの取り組みに対する成果の測定基準がなければ、セキュリティーニーズへの対応に必要とされた投資を正当化することは難しくなります。結果として、予算が承認されず、セキュリティープログラムの一部が完成されないまま放置されてしまいます。
私たちがお客様に使用しているインシデントレスポンス評価ツールの1つは、1970年代に登場した能力成熟度モデルの概念から派生したものです。成熟度とは、モデルを利用している長さではなく、手順の管理や最適化のレベルのことです。セキュリティーアーキテクチャやフレームワークでは、必要なプロセスとテクノロジーは規定できますが、具体性に欠けるためどの組織にとっても最適とは言えません。
一方、成熟度モデルでは、さまざまな責任領域を3~4レベルに分け、段階的な能力と測定の指標を定義しています。たとえば、エンタープライズセキュリティーでは、こうしたレベルは事後対応(レベル0)、コンプライアンス確保、事前対応、最適化(レベル3)と呼ぶことができ、指標、ユーザー認識、インフラストラクチャ、アプリケーション、インシデントレスポンス、戦略などの領域が網羅されます。
上記のようなモデルを使用すると、各領域における成熟度レベルを評価し、組織の許容リスクに一致するレベルに到達するために調整や投資が必要なプロセスやテクノロジーを特定することができます。
最近発見されたBASH bug(英文)について検証してみましょう。これは広く導入されているUnixコマンドラインシェルの脆弱性です。このインシデントに対応するには、すべての脆弱なデバイスを特定し、リスクレベルをランク付けし、適切なパッチを取得し、パッチを適用する必要があります。
事後対応のセキュリティーグループは、この脆弱性にその場しのぎのアプローチで対応します。(一般的なニュースレポートなどから)最新の脅威情報を入手したら、セキュリティーグループはチームを編成し、ネットワーク全体の脆弱な可能性があるシステムを調査します。システムの所有者を特定したら、労力をかけて各システムのソフトウェアバージョンを確認し、アップグレードやパッチを行う必要があります。しかしこの手法では、すべての脆弱なシステムを発見できない場合、企業はリスクにさらされてしまいます。
コンプライアンスを確保しているセキュリティーグループは、年に1回資産リストを作成しています。しかしこのリストは更新が必要で、構成についての詳細情報が含まれていないため、リスクレベルを正確に分類することができません。したがって、このグループも1台ずつシステムを評価してパッチを適用する必要があり、すべての脆弱なシステムが見つけられなければリスクに直面することになります。
事前対応のセキュリティーグループは、資産リストを四半期ごとに更新しています。このリストには各マシンの構成管理情報も含まれています。この企業は実際のリスク管理を開始しています。事前対応体制を整えている場合は、見逃すシステム数がはるかに少なくなり、重要なシステムへの対応を優先することができます。インシデントレスポンスチームは、リスクレベルに基づいてシステムをすばやくランク付けし、可能なシステムにはリモートからパッチを適用し、それ以外のシステムに対しては手作業の更新をスケジューリングします。
最適化されたセキュリティーグループは、ほとんど脅威の影響を受けません。最新の資産情報を活用しており、即座に脆弱性スキャンを実行できます。またパッチ管理システムによって、セキュリティーパッチが提供されるとすぐに最もリスクが高いシステムが更新されます。環境自体は、徹底的な防御対策によって保護されています。このインシデントレスポンスチームは、通常の作業プロセスでインシデント対応を継続して実施することができます。
セキュリティー体制の成熟度に関する会話を始めると、大半の企業は自社のセキュリティー体制を把握しておらず、評価の結果に驚きを隠せないようです。大多数の企業は、取れるとしても「C」評価にとどまり、特定の領域でいくつかの「A'」評価を獲得できるだけです。「C」はコンプライアンスを意味しており、今日のセキュリティーにとっては十分ではありません。機密性が高いデータや規制対象のデータを扱う企業は、少なくとも「事前対応」を目指し、最終的には2~3年以内に「最適化」という高い目標を達成できるように取り組む必要があります。
※本ページの内容は、以下でご覧いただけます。
原文: Drag Your Adolescent Incident-Response Program Into Adulthood
著者: Carric Dooley
関連情報
・McAfee® Active Response特集
前編:「インシデントレスポンスはつらいよ」を解消するMcAfee® Active Response
後編:インシデント時の状況把握を効率化するMcAfee Active Responseの働き
・第10回:今だから学ぶ! セキュリティの頻出用語 : インシデントレスポンスとは?
・What you need to know about the Bash Bug aka Shellshock(BASH bug:英文)
関連製品
■関連サイト
・マカフィーblogのエントリー
・マカフィー