コロナ禍と頻発するランサムウェア攻撃により、エンタープライズセキュリティと「サプライファブリック」の保護に新たなアプローチが必要であることが明らかになりました。

2020年3月以前なら、企業のセキュリティ専任者がこの世の終わりのような状況を想定して対策を立てることは一度もなかったと言えます。しかし、コロナ禍によって、それがほぼ現実のものとなりました。

オフィスから従業員の姿が消えても、データセンターと ネットワークは正常に稼働していました。変化が生じたのは人間だけです。人的機能の一部が失われ、機能が稼働していても人々がそれを利用できないという状況が生まれました。私たちが、そうした観点から、ものごとを考える必要があったのはこれが初めてでした。

その後すぐに、巧妙化したランサムウェア攻撃が頻発するようになり、これまでとは異なる包括的なセキュリティ対策が急務となりました。

その結果登場したのが「サイバーレジリエンス」という概念です。

サイバーレジリエンスを確保するには、これまでとは異なるアプローチで脅威を捉え、攻撃の処理と対応をより俊敏に行う必要があります。

分野間の連携による相乗効果

Ponemon Instituteは、サイバーレジリエンスを、サイバー攻撃に直面しても基本目的と完全性を維持する企業の能力と定義しています。古い広告のキャッチフレーズを引用して簡単に言えば、サイバーレジリエンスとは「to take a licking and keep on ticking (厳しい状況下でも機能する)」ことを意味します。

サイバーレジリエンスの確保では、以前は個別の分野であった、情報セキュリティ、事業継続と災害対応 (BC/DR)、組織的レジリエンスを統合して、共通の目標に取り組みます。従来、これらの分野では他分野との連携が行われない傾向がありました。しかし、コロナ禍とランサムウェアが事業に及ぼした破壊的な影響によって、そうしたサイロ化したアプローチの脆弱性が明らかになりました。

サイバーレジリエンスは、エンタープライズセキュリティのコミュニティにおける新しいコンセンサスの現れと言えます。つまり、エンタープライズセキュリティの効果を最大化するには、こうした個別の分野間で連携して、戦略、戦術、計画を調整し、どのような事態もあらゆる逆境も乗り越える必要があるという大多数の考えを示しています。分野間で協力し合えば、それぞれのチームを足し合わせたとき以上の効果を得られるという共通の理解を表しているのです。

サイバーレジリエンスの大きな利点の1つは、ハッカーの優位性を組織的に認識できるようになることです。これは、文化的な変化と言えます。セキュリティの確保をフルタイムの仕事と捉え、セキュリティのベストプラクティスを日々の業務に取り入れるようになるからです。

NISTは、「Developing Cyber Resilient Systems: A Systems Security Engineering Approach」(SP 800-160 Vol. 2) で、サイバーレジリエンスを「サイバーリソースを使用するシステム、またはそうしたリソースによって有効になるシステムで生じる逆境、重圧、攻撃、侵害を予測して、そのような状況への抵抗、そこからの回復、それらへの適応を行う能力」と定義しています。成熟度を高めるという観点からこの定義を考えると、サイバーレジリエンスが従来のBC/DRモデルに続くもっともな能力であることがわかります。従来のBC/DRとサイバーレジリエンスの主な違いは、前者では回復可能性に、後者では持続可能性に、重点を置いている点です。

ゼロデイ攻撃に対処する場合、次の4つのステップで計画を立てると、レジリエンスを改善できます。

• 予測: サイバーレジリエンス計画フェーズの一環としてまず行うべき重要なステップは、組織の全資産に総合的なリスクアセスメントを行い、どのようなリスクが存在するのかを把握することです。これによりサイバーレジリエンスが高まり、どのような逆境にも対処できるようになります。リスクアセスメントはコントロールベースで実施できます。たとえば、既存のアーキテクチャードキュメントに注目することも、より技術的に、自社開発したアプリケーションの脆弱性を評価することも可能です。
  
  
• 抵抗: ゼロデイ攻撃の発生中に、ビジネスクリティカルな機能を維持できるかどうかは、適切なサイバーセキュリティアーキテクチャーが導入済みかどうかにかかっています。サイバーレジリエンスを確保している組織であれば、インフラストラクチャセグメンテーションでのゼロトラストといった原則に従い、セキュリティハイジーンの成熟度を高めてゼロデイ攻撃の影響を効率的に低減できるようにしています。ここで、重要なのは、差し迫った災害に対処する事業継続計画があることです。また、試行錯誤を行ったうえで、サイバーインシデント発生時の役割と責任を詳細に記したインシデント対応計画があることも重要です。
  
  
• 回復: サイバーレジリエンスの目的は、回復よりも事業継続にあります。しかし、サイバーレジリエンスでは、ディザスタリカバリ戦略を整え、ゼロデイ攻撃の影響を軽減するために従うべき手順を明確にしておく必要があります。
  
  
• 適応: サイバーレジリエンス計画の最終目標は、発生した状況から知識を蓄えて、運用環境または脅威の状況に生じた変化を基にアーキテクチャーの機能を適応させ、将来の出来事への抵抗力を高めることです。適切に実施された適応フェーズであれば、それを、継続的改善というアジャイルの概念に従った継続的脅威モデルと見なすことができます。

想像できないものに立ち向かう

では、サイバーレジリエンスの確保はどのように進めればよいのでしょう。まず、社内を調査して、現在実践している対策と、業務に支障を来す要因を詳細に確認します。この調査で必要なのは、企業に影響を与えるあらゆる要因に加え、機能喪失とデータ侵害を防ぐ能力をすべて確認することです。たとえば、電力、冷却、機器、人、高速道路、建物、環境などの要因に目を向けます。それらすべてにストレステストを行い、どのテストでも、一連のイベントとその後生じる可能性のあるイベントを論理的に追跡しなければなりません。これまで誰も想像しなかった出来事が発生するようになったからです。調査対象には、疑わしさの度合いにかかわらず、人為的 (意図的かどうかは問わない) 脅威、環境上の脅威、地理的脅威なども含まれる可能性があります。

サイバーレジリエンスの確保では、社内調査のプロセス以外で多くの課題を抱えることになります。たとえば、機能しないと思われるセキュリティコントロールの変更という基本的な課題があります。最悪のシナリオから最良のシナリオへの復旧を計画するうえで問題やコストが発生します。国などの地理的境界によるデータ主権の問題や、法律と規制上の障壁もあります。とりわけデータレジデンシーを考慮して、緊急時でもデータを地理的地域内にとどめる必要があります。

要するに、サイバーレジリエンスの確保では、他の企業プログラムと同じような手順を取ります。コストと優先順位によって、どう取り組むかが決まります。ハイリスクハイリターンのアプローチを取ることも、保守的なアプローチを取ることもあります。絶対確実なセキュリティ対策は存在しません。エクスプロイトできる脆弱なリンクがどこかに必ず存在します。

ロードマップとベストプラクティス

サイバーレジリエンスの評価と改善に役立つ手段がいくつかあります。連邦レベルで言うと、米国国土安全保障省がCyber Resilience Review (CRR) を提供しています。この無料の自己評価ツールを使用すると、自社の能力を評価して、サイバーレジリエンスがどの程度備わっているかを測定できます。CRRの能力リストは、NISTが発行したCybersecurity Framework (サイバーセキュリティを管理するための標準規格、ガイドライン、ベストプラクティスで構成される) のカテゴリと一致しています。

CRRでは、42の目標と、10の側面 (企業が機能する「ドメイン」と表記) を対象にした141の特定のプラクティスが概説されています。ドメインには、資産管理、構成と変更、リスク管理、トレーニングと状況認識などの分野が含まれます。サイバーレジリエンス向上に取り組めるベストプラクティスのリストも注目に値します。

広範な推奨事項が記載されており、不均一なIT環境を構築する方法から、侵害されたデータセンターをマイクロセグメンテーションの技術で切り離すといったきわめて詳細で具体的な方法まで多岐にわたります。

これまでにない未知なる未知の脅威が発生する可能性は常にあります。今こそ、サイバーレジリエンスを確保すべきときです。コロナ禍とランサムウェアは、旧来のセキュリティ対策では不十分であるという認識を促すものとなりました。自社のリスクアセスメントにすぐに着手しましょう。「to take a licking and keep on ticking (厳しい状況下でも機能する)」サイバーレジリエンスは備わっているでしょうか。