前回 の記事では、最近のサイバー攻撃の傾向として、既知の脆弱性が存在し、容易に侵入できる企業が狙われることをお伝えしました。その結果、対策の手薄な海外子会社が侵入を受け、そこからグループ全体に被害が広がり、企業の業務継続はもちろん、社会的に大きな影響をもたらす恐れがあります。
こうした事態を避けるには、グローバル水準で求められつつある脆弱性対策を、経営層のコミットの元で進めていく必要があります。次のステップは、脆弱性対策の必要性を理解したとして、具体的に何からどのように進めていくかです。前回に続き、KPMGコンサルティング(以下、KPMG)のサイバーセキュリティ担当パートナーである澤田 智輝とテナブル・ネットワーク・セキュリティ社(以下、テナブル社)のカントリーマネージャーである貴島 直也氏のコメントを踏まえながら、脆弱性管理に取り組む上で必要なプロセスやポイントを紹介していきます。
リスクアセスメントと資産の洗い出しが対策の第一歩
CISOやセキュリティマネージャーはこれまで、ファイアウォールやプロキシサーバーなどさまざまなセキュリティソリューションを導入し、企業とインターネットの出入口の守りを固めることに腐心してきました。
しかしサイバー攻撃者は、わざわざ守りの堅い部分から押し入るとは限りません。守りの手薄な裏口や薄い壁があればそこから入り込み、少ない労力で情報を盗み取る方が断然楽であることは、言うまでもないことです。実際、昨今のサイバー攻撃は、既知の、しかし修正されていない脆弱性をグローバル規模で探し出し、そこからあっさりと侵入してくるケースが目立ちます。こうした実情を踏まえ、日本企業の水準に合わせて満足するのではなく、グローバルな目線に合わせた対策が求められています。
対策の第一歩は、リスクアセスメントです。もちろん、すでにCISOや情報セキュリティ担当者が音頭を取って、セキュリティアセスメントに取り組んできた企業もあるでしょう。しかし、何らかの標準規格に則り、「アクセス制御をしていますか、していませんか」「鍵をかけていますか、いませんか」という問いに機械的に答え、チェックリストを満たすこと自体が目的化してしまっているケースが少なくありませんでした。
「このような状況が変わってきています。今求められるアセスメントとは、まず攻撃シナリオを想定し、そのシナリオに沿ってどういった対策が取られているかを問うものです。単に監視カメラがあるかないか、あるとすれば何台あるかを確認するのではなく、侵入経路になりそうな場所にきちんと監視カメラが置かれているかを評価していくことが必要とされています。」(KPMG 澤田)
それにはまず、自社にはどんな「資産」があり、それらがどこに置かれているかを棚卸しし、可視化していく作業が不可欠です。また、それらの資産にどのような脆弱性があるかをしっかり理解し対策を取っていくことで、グローバル水準に沿った対策を実現でき、攻撃者にみすみす入り込まれるような事態を防ぐことができるでしょう。
手作業頼りは非現実的、ツールの活用で頻度と質の高い脆弱性検査を
ただ、これを現実の作業として進めていく際には、いくつか留意すべき点があります。
1つは、どうしてもインターネットに公開されている入口にばかり目が行ってしまい、それ以外の裏口や内側の脆弱性管理がおろそかになってしまうことです。
また、年に1回行う脆弱性診断で十分だと判断してしまうことも危険です。「今や、1年間で1万8000件もの脆弱性が公表されています。1日当たり約50件もの脆弱性が明らかになる中、年に1回の検査では不十分です。グローバルスタンダードに近づく観点でも、毎日チェックしていくことが必要です。」(テナブル社 貴島氏)
※数値は、National Vulnerability Database(米国国立標準技術研究所)2020年の件数より
もちろん、これだけの数の脆弱性をセキュリティ担当者が手作業で、毎日チェックしていくのは非現実的です。そこで注目したいのが、脆弱性をチェックするツールの力です。セキュリティ人材の単価が高くなり、マニュアルでの対応がますます難しくなる中、「ツールを導入してダッシュボード化していくことが、グローバルでも進められています」とKPMGの澤田は語ります。
「建物でいえば鍵や壁を定期的に点検し、壁が薄くなっていないか、鍵が陳腐化していないかをチェックするのと同じことを、サイバーセキュリティの世界で実現するツールが提供されています。こうしたツールを活用することで、飛躍的に可視化が容易になるでしょう。」(テナブル社 貴島氏)
その際のポイントは、多様な環境に対応できるツールを選択することです。デジタルトランスフォーメーションやアフター・コロナの多様な働き方を目指す戦略の中で、企業のIT環境は大きく変化しました。昔のようにすべてオンプレミスで完結するのではなく、分散化、複雑化の一途をたどっています。
それを踏まえ、クラウドだけでもなく、オンプレミスだけでもなく、またエージェントを使っても使わなくてもしっかり情報を収集し、管理できるツールの活用は有効な手段だと言えます。
「当社の導入実績からも、グローバル水準に沿った脆弱性管理の実現には、ツール活用は有効だと感じています。」(テナブル社 貴島氏)
第三者のアドバイスも生かしながら社内のコンセンサス作りを
ただ、それでも立ち塞がるのが、現場の運用との衝突です。セキュリティ担当者がいくら「リスクの高い脆弱性だからパッチを適用すべき」と主張しても、システムや業務を止めてしまう恐れのある作業は歓迎されません。社内の力関係に左右される可能性もあります。
そこで、経営層のセキュリティへの参画と連携が重要となります。経営層とCISOが協力し、どのような場合にはパッチ適用を優先するかという基準や方針を定め、共通のコンセンサスを作り上げる、いわば「錦の御旗」を持つことが不可欠になるでしょう。
その錦の御旗に客観的な裏付けを与えてくれるのが、第三者によるリスク評価です。グローバルスタンダードやトレンドに基づいて取組みを評価し、どのような方針を立てるべきかのアドバイスはもちろん、しばしば悩みの種となる「いったいどの程度投資を行えばいいのか」についても、国内はもちろんグローバルの動向を踏まえながら、自社にとって適正なレベルについて示唆を得ることができるでしょう。
もう1つ、日本企業の長所でもあり、スピードが求められるこの時代では欠点にもなりかねない部分が、最初から完璧なレベルを目指しがちなことです。リスクアセスメントと資産管理、脆弱性管理においても、ついつい「まずすべての資産・リスクを完璧に洗い出してから判断を下そう」と考えてしまいがちです。
しかし、前述のように、企業を取り巻くビジネス環境もIT環境もどんどん変化し、脅威・リスクも常に変動しています。その中で完璧を期していては、いつまで経っても先へは進めません。リスクアセスメントや脆弱性管理についてもアジャイル的な考え方を取り入れ、まずは大雑把な分類からでも、できるところから始め、改善しながら進めていくことも、成功を収める上で重要なポイントになるでしょう。