経営层?セキュリティ责任者?インシデントレスポンス担当3者の立场で考えるセキュリティインシデント
セキュリティインシデントが発生した际には、経営层?セキュリティ责任者?インシデントレスポンス担当など、组织の様々な立场の関係者がそれぞれの制约や责任の中で连携しながらも、组织全体として意思决定を行っていく必要があります。组织内の复数の立场からセキュリティインシデント时の课题について考察し、ボトルネックとなる部分を探ります。
Save to Folio
トレンドマイクロは、2024年4月25日「第33回Japan IT Week 春」のセミナーに登壇し、約300名の方に参加をいただきました。講演の中ではセキュリティインシデント下における様々な課題について、経営層?セキュリティ責任者?インシデントレスポンス担当など複数の立場から議論を行うことで、组织がとるべきセキュリティ戦略について言及しました。本稿では、講演の様子を振り返りつつ、議論された”组织がとるべきセキュリティ戦略”について解説します。
なお、讲演では当社から3名が登坛し、経営层?セキュリティ责任者?インシデントレスポンス担当の立场で议论しました。
経営层:トレンドマイクロ取缔役副社长 大叁川
セキュリティ责任者:トレンドマイクロセキュリティエバンジェリスト 冈本
インシデントレスポンス担当:トレンドマイクロインシデントレスポンスコンサルタント 田中
上図の通り、攻撃カテゴリ别で见た际にはランサムウェアを起点とした当社のインシデント対応サービスへの相谈が最も多く、これはランサムウェアの攻撃频度が多い、またはランサムウェアが被害に繋がりやすい倾向にあることを示しています。
インシデント対応サービスに相谈を顶く时点で、お客様ではすでに何らかの被害を认识されている状况ということから、サイバー攻撃の被害低减に向けてはランサムウェア攻撃対策の优先度が高いことがわかります。
被害のあったランサムウェア攻撃は、内部活动を伴う高度な标的型ランサムウェア攻撃がほとんど
ランサムウェア自体にもばらまき型や内部活动を伴う标的型などの种类がある中、当社のインシデント対応サービスで支援したランサムウェア事案の内95%が「标的型ランサムウェア」攻撃でした。标的型ランサムウェア攻撃は、攻撃者が被害组织の端末を操作をしながら环境内に侵入し、侵害先を広げ、最后に组织全体を暗号化するといった一连の流れを行います。
讲演の中では当社の田中から、「标的型ランサムウェアの攻撃者は夜中12时くらいに侵入してきて、翌朝5时くらいには感染活动を终了することが多い」というコメントもありました。标的型攻撃の被害を低减するためには365日24时间の监视体制や迅速な検知といった技术が不可欠となっている现状が示されました。
ランサムウェアの侵入経路は、痴笔狈/笔顿笔/脆弱性を悪用した直接侵入にシフトしてきた
上図からわかる通り、2019-2020年の期间よりも2021年-2024年3月までの期间の方が痴笔狈/搁顿笔/脆弱性を悪用した侵入が増加しています。これはつまり、従来のメール等を使った配布によってマルウェアをばらまき侵害するよりも、攻撃者自身が外部との接点となる痴笔狈などの机器から人的な操作を伴って组织内に侵入するケースが増えているということです。このことからランサムウェアへの対策を强化する為には、アタックサーフェス(攻撃対象领域)となり得る外部との接点や组织内に残存している脆弱性に対して适切にセキュリティ対策を施すことが必要であることが分かります。
ここまで记载してきた通り当社インシデント対応サービスの集计から、现在の胁威の状况、手法、倾向が読み取れています。组织としては标的型ランサムウェアへの対応优先度が向上していることがわかりました。これらの前提情报を踏まえて、讲演の中ではセキュリティインシデント発生时の各立场における役割、使命感、所感などを议论することで、组织全体としての课题がどこにあるのかを探りました。
セキュリティインシデント発生时の课题
セキュリティインシデントが発生した际の课题について、よりボトルネックとなっている部分を明らかにする為、讲演の中では、経営层?セキュリティ责任者?インシデントレスポンス担当の视点で议论しました。
「インシデントが発生したら、経営者はまず何を考えるか?」
最初に大叁川から、経営层がインシデント発生时に感じる点について下记のようにコメントがありました。
大叁川「まずインシデントが起きた际に、最初に思い浮かぶのは、适切に対策もしてきたし予算も当てて来たのに、なぜ?ということ。また合わせて顾客や関连公司にどんな影响があるか报告したい、という思いも强い。その结果担当者や责任者に报告を求めます」
経営者としては対策を行っていたもののインシデントに繋がってしまったことに対するショックと、そこから少しでも早く他社や顾客への影响を抑えたい、または説明したいという気持ちが强いようでした。
これに対し、现场のインシデントレスポンス担当が感じる本音については田中から下记のコメントがありました。
田中「最初に行うことは、インシデントの原因や影响范囲の调査の準备。どこのセキュリティ会社に调査を依頼するのかなどを検讨する必要がある。ただ一方でこの対応は経営层から求められる报告のスピード感とは大きなギャップがある為、一旦报告等は待ってほしいというのが本音だと思われる。」
现场としては、调査一つ取ってみても慎重に顺を追って进めたいという意思があるものの、すばやい报告を求められることがプレッシャーになるようです。この2者の意见から、インシデント発生时における1つの课题として现场と経営层の间の报告のスピード感に差があることが浮かび上がりました。
では、セキュリティ责任者の意见はどうでしょうか。
冈本「そもそも多くのセキュリティ责任者にとって大きなインシデントは初めてのことである為、スムーズな対応は难しい。さらにランサムウェアのような事业を停止させてしまう攻撃は、セキュリティ责任者の责任に直结する被害の為、素早い復旧を行わなければならないという使命感に追われる。一方でインシデントの原因を正确に把握しなければ、感染が再発する恐れもあり、正确性の担保と时间的制约への対応の板挟みになる。」
インシデント下においては、セキュリティ责任者はインシデントレスポンス担当と経営层の中间に挟まれ、さきほどのスピード感の骋础笔に最も翻弄される立场となります。
ここまで経営者?セキュリティ责任者?インシデントレスポンス担当それぞれが感じたことはどれも事业の再开や継続を进める上で重要な点であり、それぞれの対応优先度が异なる為、こうした时间间隔に対する认识の误差という课题に直面することとなります。
これに対して组织としてはどのような改善策が必要でしょうか、それについて冈本から追加でコメントがありました。
冈本「インシデント対応は事前にどれだけ準备ができているか、が肝要。セキュリティ责任者は事前にこのようなスピード间の差を理解し、现场と経営层の间の意识合わせや全体的なタイムラインの决定を行っておく必要がある。」
被害発生后の急を要する対応に追われる中で、组织内部の认识合わせに时间を取られてしまうと、より復旧にかかる时间が长期化してしまいます。ある程度事前に準备を行っておくことで全体の连携をスムーズにすることが重要ということがコメントから示唆されました。
図:セキュリティ成熟度と业务停止期间の関係(より)
図にある通り、トレンドマイクロの过去の调査からセキュリティ成熟度が高いほど、復旧にかかる时间が短い倾向が见られており、平时のセキュリティ準备が有意にインシデント復旧にかかる时间(いわゆるMTTR)に影响していることがわかります。
セキュリティ成熟度に影响するのは経営层の関わりの大きさ
セキュリティ成熟度と経営层の関わりの関係(より)
同様に过去の调査から、経営层の関わりが大きい组织ほどセキュリティ成熟度が高い倾向もみられています。
これらの情报を踏まえて、讲演の中では経営者である大叁川に次のような质问が投げられました。
「経営者とセキュリティの関わりについてどのように考えているか?」
大叁川「もちろん事业継続性の観点からリスクマネジメントの一部としてセキュリティを考えなければいけないことはわかっているし、强く意识している。ただ実际にどう守ればいいのか、の技术的な部分はよくわからない。また自社をとりまくサプライチェーンを含めると、セキュリティの领域は大きく広がってしまう為、自分の立场だけではカバーしきれないと感じる。そうした点を踏まえると、セキュリティは特に现场のメンバーの力を借りる必要があり、そことの连携がスムーズにいけば成熟度も自然に上がっていくと思われる」。
重要であることはわかっているものの、具体的な対策には现场侧の支援が必要になる、ということが述べられました。
これに対し、现场侧からの経営层に求める事项について质问が投げられました。
「インシデントの现场から経営层向けに求める事项はあるか?」
田中「予算関连がやはり大きい。対策に必要なサービスやソリューションなどの费用感について、こういったリスクを抑える為にこれくらいの费用が必要だ、という観点での共感や理解が得られると动きやすいと感じる。また合わせて他社との交流の机会があることで他社のセキュリティ状况やトレンドに関する情报が得られるため、トップ层の人脉を生かした场づくりの机会があるとよりよい」。
现场としては、予算を投入することの意义を含めて経営层に対する理解を求めていました。同时にセキュリティを轴とした、同じ立场の他社とのコミュニティづくりの机会にも飢えていることにも言及がありました。サプライチェーンの観点からも他社との协力はよりセキュリティレベル向上に寄与する点と言えます。
合わせてセキュリティ责任者からの要望についても质问が投げられました。
「セキュリティ责任者の立场から経営层向けに求める事项はあるか?」
冈本「基本的には现场侧の要望が通るように调整をしたいという意识がある。その上で、経営层に対しては现场侧での活动がよりスムーズに行えるようセキュリティに関するメッセージを発信してほしいと感じる。事業部門はどうしてもセキュリティ部門に任せておけばいい、という意識になりがちなので、何かあった際にセキュリティ部門を中心に一丸となって取り組めるよう、社内向けのメッセージの発信を活発に行ってほしい。実際に2024年初旬に更新されたNIST CSF2.0においても統制(ガバナンス)が追加されたことからも、経営層の旗振りがいかに重要な役割をもっているかということが伺える。」
田中「対応をスムーズに进めるために重要な点として、1つ目はログが必要な期间、端末だけでなく関连するネットワークなどにおいても取得できており、保存?整理されていることがあります。2つ目はネットワーク构成に関する论理的な构成図を含めて资产が可视化されていて、今回のインシデントがどの范囲で起きているのか、ということが参照できるとかなりスムーズ。3つ目はインシデント発生时の役割分担がしっかり事前に决まっていて、どこまで调査したら専门のベンダーにどういった依頼をしよう、といったところがタイムラインと合わせて整备されている组织は対応が素早く復旧までの时间も短くなる倾向にあります。」
この事前情报を踏まえて経営者?セキュリティ责任者に次の质问が投げられました。
「どのようなセキュリティ戦略が重要だと思うか」
大叁川「インシデントには被害は少ないが数が多いものと、数が少ないが壊灭的な被害につながるものの2种类が存在すると考えている。ランサムウェアなどは后者にあたる。それぞれのリスクに合わせて戦略を分けて考えることが重要だと思う」
冈本:「被害は少ないが数が多いもの、については冒头に田中からも説明があったような痴笔狈や脆弱性など组织内の弱点やアタックサーフェスとなり得る部分をしっかりつぶしていくことが重要であり、これらは础厂惭(アタックサーフェスマネジメント)などの技术を用いて主に平时に実行できることだと考える。同时に壊灭的な被害に繋がるものについては素早く攻撃を検知することによって被害の规模を低减することが重要であり、これは有事の际に実行すべきことだと考える。このように平时と有事を切り分けた取り组みが重要」。
最后に全体のまとめを含めて、大叁川が质问に回答しました。
「ずばり组织が取るべきセキュリティ戦略とは何か?」
大叁川「まず経営者も事业部门も全ての関係者が自社の存在意义や生业を改めて确认すること。その上でセキュリティを事业継続の観点で重要な要素の1つとして位置づけた上で、平时と有事に分けて対策事项を整理し、优先顺位をつけて取り组むこと、と言える。具体的な组织の体制としては3线モデルを採用するといい」。
※3线モデルとは、COSO(トレッドウェイ委員会支援組織委員会)が提唱するリスクマネジメント体制で、リスクに対峙する第一線(フロントライン)にビジネス?チームが、第二線にはビジネス?チームを支える専門家チーム(リスク管理チームやセキュリティ?チームが相当)、そして第3線には、第一線、第二線での活動の合理性を客観的に評価するための監査チームを配置するというものです。
改めて自社の事业の価値を见なおしつつ、その継続性を守る為に平时と有事の2种类の対策を施していくことの重要性が示されました。
会场での质问
今回の讲演では、讲演中にシステムを用いてリアルタイムに质问を収集していました。かなり多数の质问が寄せられたものの、时间の制限もあり、下记の2问について质疑応答が行われました。
「インシデント対応に必要な事前準备はどのようなものがあるか?」
田中「ある程度自社に侵入されるシナリオを想定しておけるとよい。インシデントの侵入経路はメールや痴笔狈など外部との接点からの侵入がほとんどなので、外部接点となる资产を把握しておき、いざインシデントが起きた际に侵入场所の予测が立てられると非常に良い。なお、委託先のシステムなどから侵入されるケースもあるので、そちらも外部接点の1つと见なし、彻底的に洗い出しておく必要がある」。
「インシデント対応の専门部署がない场合の対応のコツは?」
田中「社内へのトレーニングなどインシデントに関连する业务を平时の仕事として実施しておくことがおすすめ」。
大叁川「例えば当社のお客様は、を使って机上训练を行っている。ゲーム感覚でもよいので、繰り返しインシデントが起きた际の动きについてシミュレーションを行っておくこともインシデント対応を円滑にする方法の1つ。」
质问ではインシデント対応に向けて、各组织が持つ课题を踏まえた上で、どのような点がポイントになるか、といった点について质问が多数集まりました。ご质问を顶いた参加者の皆様、ありがとうございました。
质疑応答の内容から、多くの公司がインシデント対応の重要性をわかりつつも、実行には复数の课题があり十分に取り组めていないと认识されているようです。
トレンドマイクロでは、今回の讲演のような组织のセキュリティ担当者の意思决定の判断材料となり得る情报を可能な限り発信していきます。
<関连记事>
?2024年のセキュリティトレンドを解説 ~第21回情报セキュリティ贰齿笔翱~
?CIO Loungeとの共同調査から見えたサイバー攻撃被害に遭いやすい組織の特徴とは?
