“攻撃力”と“防御力”の反比例を考察する
最近、大規模組織における年次の統合報告書を見ていると、サイバーセキュリティ(以後、セキュリティ)の重要性を説く報告が多く見られるようになりました。また、経済産業省からは経営向けのサイバーセキュリティ経営ガイドラインも発行されるなど、経営サイドにおけるセキュリティ対策の重要性、すなわち“セキュリティ投資”の重要性も理解が大分進んできたと思います。それは、ESGの観点においてもステークホルダーから注目を浴びることと重なり、経営サイドにおけるセキュリティ投資のハードルは以前よりも低くなってきたと実感されている方も多いかと思います。しかし、このセキュリテイ投資に対して、実際に発生しているセキュリティ事案(インシデント)はひたすら増加の一途を辿っている事はあまり知られていません。今回はこのセキュリティ事案(攻撃力)と実際に発生しているセキュリティ投資(防御力)の実態について解説します。
セキュリティに携わる方であればよくご存知のJPCERTコーディネーションセンター(以後、JPCERT/CC)が日本国内の各組織から収集したインシデント件数を見てみると、2019年の10月〜12月と2020年の10月〜12月の同時期で対比すると、なんと“3倍以上”のインシデント件数が報告されていることがわかります。また、最新のレポートでは2020年と2021年の同時期対比でもさらにインシデント件数が増加しています。
実はこのレポートをご覧になったとある大規模組織の経営層から、「セキュリティ投資は毎年増加し続けているのに、なぜ、インシデント件数が減少に推移しないのか?」といった素朴なご質問をいただきました。皆さんがもしこの質問を受けた時、どのように経営層にセキュリティ投資の重要性を説明しますか?
・サイバー攻撃の技術力が上がった?
・サイバー犯罪組織の力が強まった?
・自社で採用しているセキュリティツールの防御力が弱い(投資額が少ない)?
或いは、ITやセキュリティ、リスクコンプライアンス部隊が縦割り(サイロ化)されている、などなど色々な理由が思い浮かぶと思います。しかし、これらの回答をした場合、経営層はこの説明に納得できるでしょうか?残念ながら多少の理解はされたとしても、さらなる投資の増額といった理解を得ることは、非常に難しいのが実情だと思います。所謂、説明に腹落ちしないという状況に陥ることが想像出来ます。
実はこの質問を受けたとあるお客様から、JPCERT/CCが証明した“防御力の実態”に対して、どのように説明すべきかと相談を受け、以下のように回答しました。
・攻撃力に対する防御力の反比例には根本要因がある。
・一般的に想定される、犯罪者の技術力や組織力の向上、或いは導入ツールの課題、といった要因は根本要因ではない。
という回答です。実は根本要因は昨今、さまざまなインシデント報道が指し示すように、組織が管理出来ていないPCやサーバ、或いは管理は出来ているものの、攻撃者によって悪用される脆弱性(パッチ未適用等)が野放しになっている点です。
著名な国内の大規模インシデントを例に取ると、経営層が説明責任をステークホルダーから問われるガバナンス管轄範囲ではあったものの、本社が管理出来ていない野放しのサーバ(非管理サーバ)の脆弱性を悪用されて、段階的に組織のアクセス権限を窃取され、最終的にはADサーバが乗っ取られ、組織のシステムが掌握されてしまいました。システムを掌握された以降は、数多くの報道があるようにさまざまなインシデント発生が結末となります。
確かに世の中にはさまざまな高機能なセキュリティツールも多種多様に存在しますが、忘れてならないのは、もし攻撃者が組織の管理者の権限を奪った場合に、それらのセキュリティツールも無力化される、というのが常套手段である点です。防御側として期待していたツールやサービスが無力化(停止等)されてしまうと、仮にツールに数千万、数億を投資していても防御効果を期待することは極めて難しくなります。
この例は特殊な事例でなく、昨今のインシデント事案ではごくごく一般的な攻撃プロセスであり、これらの攻撃プロセスを鑑みた時に、組織が優先して取り組むべきは、組織が守らなければならない情報資産やサービスにアクセスする端末群(PC /サーバ/モバイル)は常に可視化し続け、攻撃者がまず狙う脆弱性(公開されている既知の脆弱性)は連続的にゼロに近づける、この極めて地味で大変な業務を永遠に実施し続けないと根本要因を解決することが困難な点は理解いただけると思います。
これらの業務は近年、“サイバー・ハイジーン”と言われ、今、大規模組織を特に震撼とさせるApache Log4j対応でも上述したサイバー・ハイジーンを最優先で実施することは、先進諸外国では緊急勧告として発令されているのもその重要性の裏付けです。サイバーインシデントを地震に例えれば、基礎を徹底的に強化し、強い屋台骨を作ることが原理・原則であるように、改めてサイバー・ハイジーンがセキュリティ投資の原理・原則になる点もご理解いただけたと思います。
是非、攻撃力と防御力は“反比例”ではなく、“比例”するようなアプローチをご検討いただければと思います。サイバー・ハイジーンが実現できた上で、初めて高機能なセキュリティツールやサービスは最大のポテンシャルを発揮することが出来ます。これが投資対効果の最大化につながる点も最後に付け加えさせていただきます。
タニウムへのお問い合わせはこちら
ブログ記事に関してご質問やご要望がございましたらこちらからお問い合わせください。