この投稿は当初、Mediumに掲載されたもの転載です。
今日のビジネス環境では、セキュリティインシデントが深刻化すると大抵の場合CEOの責任が言及されます。 Equifax(英語)やYahoo(英語)、FACC(英語)といった企業のCEOは、情報漏洩問題の発生後に取締役会や世論という法定の場でその責任を問われています。そして大抵の場合、サイバー攻撃に対する会社の対応能力についての回答を求められます。また、会社のセキュリティに関する強みと弱み、さらに、自社ブランドへの評判と信頼性への損害を最小限に抑えることができるかへの的確な回答は、インシデント対応プロセスの一部であると言ってもいいでしょう。
エフセキュアのコンサルタントは、企業が実施しているサイバーセキュリティへ投資の約50%は役に立っていないと指摘していますが、残念ながらほとんどの企業では、この50%が何を指しているのか理解していません。前回の投稿では、セキュリティ予算の中で無駄になっている可能性のある50%をCEOや取締役会が認識できるようなアドバイスを行いました。この作業は重要資産の確認から始まります。これには、レッドチーム演習を実施しその結果を基に攻撃対象領域の削減や意識向上、継続的改善文化の醸成に活用することが含まれています。
CEOや取締役会がサイバーセキュリティの成熟度を理解する過程の一環として、セキュリティ侵害にどのように適切に対応するかについても検討する必要があります。深刻な損害が及ぶ前に脅威を検知し、対応することがサイバーセキュリティ対策を向上させるカギです。
簡単な技術的な質問をしてみましょう。最初の3つは検知能力についての質問です。あとの3つは侵害検知後の対応する能力に関する質問です。質問はサイバーセキュリティ全般を対象にしたものでもなく、最も重要な部分のみを対象にしているものでもありません。やるべきことや持つべき機能のリストは長く、2~3質問するだけでは対応できません。しかし、これらの6つの質問は非常に有用で、その回答から多くを知ることができます。各質問に対する明快な肯定からは多くのことが分かります。一方、質問をじっと見て「よく分からない」という回答からも同様に多くのことが分かります。各項目について少し議論し、各領域の周辺で他にどのようなことが行われているのか、または計画されているのかを理解しましょう。
【検知能力を判断する質問】
1. ダミーのプロファイルが(アクティブディレクトリ等の中に)作られていますか、また、それらが標的となった場合、警告メッセージが通知されますか?
解説: 攻撃者はほとんどの場合、最初の侵入後、足掛かりを築くために既存のユーザーアカウントを利用します。社内のIT組織が作成した、通常はアクティビティの全くないこの偽のアカウント内でこのような動きがあると、大変目立ちます。これを効果的なものにするには、これらの偽のアカウントで検知されたアクティビティについて自動的に警告メッセージが通知される必要があります。
2. ラップトップなどのエンドポイントデバイスに対する攻撃が失敗した場合も警告メッセージが通知されますか?
解説: 攻撃者は大抵、足掛かりを得るために、システム内の既知の脆弱性を利用します。システムはITチームによって更新されているため、これらの攻撃は大抵の場合成功しません。そして、攻撃者の標的になっていることを理解するため、これらの失敗した攻撃の試みについても警告メッセージが通知されることが重要です。
3. ワークステーションが互いに通信し合っている場合、セキュリティチームに警告メッセージが通知されますか?
解説: 通常、ワークステーション間でネットワークトラフィック発生しません。トラフィックは、ワークステーションとサーバー間のみ発生します。エンドデバイスが別のデバイスに直接接続を試みている場合、セキュリティチームに警告メッセージが通知される必要があります。
【対応能力を判断するための質問】
1. どのユーザーが “example.pptx” という名前のパワーポイントが添付されたメールを受信したか分かりますか?
解説: 社内ITで実際に発生していることが分かるようにするには、多くの場合ログが必要です。これらのログにアクセスできなかったり、素早くアクセスできなかったりすると、セキュリティチームの対応が遅れる場合があります。
2. ワークステーションからリモートでエビデンスを収集できますか?(たとえばメモリーのイメージ取得)
解説: これは、インシデント発生中のフォレンジック作業における一つの重要な機能です。これによって実際に発生していることを素早く可視化できるからです。
3. どのユーザーが1.2.3.5.e.g. のアドレスに15ヶ月前に接続したか分かりますか?
解説: 最初の2つの質問と同様、この質問に素早く効率的に答えられることは、インシデント発生中に何が起こっているかをどれくらい早く見極められるかを示しています。
このような技術的な質問は、注意を要する内容としてはかなり込み入った詳細なものかもしれません。しかし、経営陣や役員会のメンバーを含む全員が、会社の技術的なセキュリティ能力について一定の知識を持つ必要があります。組織の技術的能力や強みを把握することによって、セキュリティインシデントの状況とその後の対応について正しく理解することができます。自社のITやセキュリティ状況の基本を教わるのではなく、適切な質問をすることができます。この知識によって、より適切な指示を出し、さまざまなステークホルダーが混乱やパニックに陥ることなく協力できるようにします。
効果的な協力は組織の対応能力における重要な要素ではありますが、一方で、個人の責任という一面があり、これによってCEOの役割が固有になっています。CEOは組織のあらゆる側面について管理を維持することが求められます。攻撃は、多くの点において、会社やその資産、人員を支配しようとする攻撃者による試みに過ぎません。DDoS攻撃、恐喝、スパイ行為、盗難はすべて、攻撃者による支配の試みです。そういう意味では、これらの攻撃にCEOが対応することをステークホルダーが求めるのは適切なことです。
最後になりますが、脅威への対応に対して会社の全員がプロアクティブになることが重要です。会社のサイバーセキュリティ状況に関する初めての体験がCISOからのセキュリティ侵害を報告する電話であってはなりません。インシデントを検知し、対応し、そこから復旧する方法を知ることを会社全体の優先事項として扱うことが非常に重要であるということを伝えるために、質問(上記のような)することから始めてください。質問を適切に行うことによって、組織のセキュリティへの意識が向上し、素早く、効率的な対応によって攻撃に備えることができ、損害を最小限に抑え会社を通常の状態に戻すことができます。
組織のセキュリティ状況は筋肉と同じで、維持するためには定期的なトレーニングが不可欠です。つまり、定期的にエクササイズすることによって、攻撃者からの侵害を受けたときに適切な任務を果たすことができます。外部のサイバーセキュリティの専門家は社内のトレーナーのように振る舞い、より適切に行動するよう組織を鍛えてくれます。トレーナーのセキュリティへの全面的な取り組みとは、CEOや社員に提供可能なアドバイス、知識、さらにセキュリティを向上させ攻撃者の一歩先を常にいくモチベーションを提供できるということです。
CEOや会長という仕事は簡単ではありません。常に結果によって評価されます。すべてを知っていて、起こっていることの最先端に常にあることが求められます。サイバーセキュリティは、会社が実際に行う防衛、検知、対応を真に理解するための技術的要件がかなり高いため、難しくなる分野です。
標準的なCEOや会長の視点に立ち、会社における地位を評価できる何等かの指針を提供することを試みました。これらのトピックについてフィードバックをいただき話し合いを始めたいと考えています。企業のトップは、なんでも知っているふりをすることをやめ、サイバーセキュリティについてよりよく知るために質問し始めるべき時を迎えています。
カテゴリ