セキュリティ投資が実際に効果的かどうかを見極める方法
メリッサ・マイケル
今日のサイバーセキュリティへの要求は時間とともに変化している。現実を受け入れよう。組織のセキュリティが100%万全である瞬間というものは、まったくなくなっている。
どのような新しい防御策が施されても、攻撃者はそれを回避する戦術を絶えず開発し、適応させる。あなたの組織は、かなりよい状態だと言えるところまで到達しているかもしれないが、それでもやはり、自信を持ち過ぎてはいけない。
そう言うと、不安を煽られるかもしれない。あなたの会社はサイバーセキュリティに多額の投資を行ってきた。経営陣も最優先事項と考えてくれている。けれども、新たにSIEMやIDSを導入しても、まだ安心はできない。攻撃者が次にどのような戦術をとってきそうなのか、どうしたら分かるのだろう。どこを重点的に対処したらよいのか、脆弱な場所はどこなのか、どうしたら知ることができるのだろう。評価が難しいもの、あるいはこれまで評価したことのないものを、どのようにして改善させるのだろう。これまで行ってきたセキュリティ投資が期待に応える成果を出しているかどうか、把握しているだろうか。
これらは簡単な質問でないが、答えのある質問である。そして、その答えはレッドチームテストを実施することで見つけることができる。
レッドチーム演習では、組織に対して侵入経路を探る総攻撃に倫理的ハッカーが参加する。レッドチーム演習という言葉は軍事用語に由来し、軍の演習ではレッドチーム(攻撃者)をブルーチーム(防御者)に挑ませる。攻撃者側の物の見方に立って、ブルーチームの防御に挑むことがその狙いである。サイバーセキュリティでは、レッドチーム演習は、組織の全体的なセキュリティを向上させるために用いられる重要な手法となっている。
レッドチーム演習の大きな利点は、視点が変わることである。会社は、どうしても防御者側の立場に立ち、防御者側の物の見方になる。レッドチームを用いることにより、攻撃者側の考え方についての識見や、とあるどこかの会社でなく、特にあなたの会社を侵害するために攻撃者が使用するかもしれない戦術についての識見が得られる。よいレッドチーム分析から得られる識見からは、あなたの会社のセキュリティ現状の全体像をつかむことができる。
そして、それに含まれるのは、単に電子的な情報セキュリティだけでない。包括的なサイバーセキュリティは、物理的空間や、その中にいる人々もその対象になる。サイバー攻撃者は、物理的空間や従業員の弱点をかなり細かいところまで悪用することができる。レッドチーム演習は、組織のセキュリティのすべての面、つまりターゲットにアクセスするために攻撃者が同じように利用するだろうさまざまな側面を検討対象にする。
受付係は、IDカードを持っていないあのイケ面男性をすんなり入構させてしまうだろうか。従業員は、あの悪意のある添付ファイルを開くだろうか。従業員は、あのフィッシングメールを信じ込むだろうか。廊下のごみ箱に捨てて共有できるようにした情報にはどのようなものがあるだろうか。社内のIT資産、たとえば、ウェブサイト、メールサーバ、VoIPに対して暗号化を利用しているか。社内ネットワークは「フラット」で、オフィス内の誰にもアクセスできるようになっているのでは?レッドチームは、あなたの会社の中に存在する弱点(これまで考えたことさえなかったもの)を、攻撃者だったらそうするだろう方法で利用する。
場合によっては、耳の痛い結果になるかもしれない。テスト結果のプレゼンテーションの際、最も多い反応は、「もう少しマシだと思っていた」、あるいは「前に社内でテストしたときは問題なかった」というものだ。極端なケースでは、当社のレッドチームの専門家は、怒鳴りつけられ、物を投げられ、ドアをバタンと閉めて出て行かれたりすることもある。うまくいっていると思っていたものが実際そうでないと聞かされてうれしい人はいない。
けれども、学べることはたくさんある。そして、おそらく、学ぶことができる最も重要なことの1つは、行ってきたセキュリティ投資が実際のところ効果的だったのかどうかという点である。会社のセキュリティ管理が、保護しなければならない資産に対して実際にどの程度、見合ったものになっているかを評価できるため、それらの値札と価値を見比べて査定することができる。
実際のところ完全にセキュアなものは何もない。決してない。しかし、レッドチーム演習は、セキュアであるという感覚が実際に正しいかどうか、そして、セキュアでないかもしれないところがどこなのかを確認するのに役に立てることができる。
カテゴリ