*本記事は2021年7月26日にNTT Ltd. 社 Dirk Hodgson が同社ブログに投稿した記事の抄訳です。
元記事:https://hello.global.ntt/ja-jp/insights/blog/cyber-defence-cyber-fitness-is-just-the-beginning/
2020年、わずか2ラウンドで、オーストラリアのナショナル・ラグビー・リーグ(NRL)はロックダウンに突入し、その2カ月後に再開されました。それまでは、ブリスベン・ブロンコス(私が20年以上も追いかけているチーム)が2試合とも勝利しており、首位に近い位置にいました。しかしその後の14試合中の13試合で敗れ、チームの歴史上初めて最下位でシーズンを終えました。ロックダウンによって新ルールが導入され、ゲームが変わり、長年ファイナルを争っていたブロンコスはすぐに適応できず、取り残されてしまったのです。
誰かがフィットネスに励むとき、「5kg痩せる」や「10kmを1時間以内に走る」、場合によっては「腕立て伏せを100回休まずに行う」という目標を立てることがあります。これに対して、スポーツチームは、「グランドファイナルで優勝する」や「リーグで最高のディフェンダーになる」などの目標を立てます。フィットネスの目標は通常、絶対的な目標であり、個人がコントロールできる許容を把握しています。スポーツの目標は通常、相対的なもので、競争の中で他のチームを打ち負かすことを目指しています。簡単に言えば、もしブロンコスが2021年に90%のトレーニングをしていたら、体重を減らしたり、長距離を走ったり、腕立て伏せをたくさんできるかもしれませんが、他のチームが95%のトレーニングをしていたら、試合当日は負けてしまうでしょう。
NRLと同じように、サイバーセキュリティも意志、スキル、戦術の勝負です。サイバーディフェンダーは、サイバー攻撃者を打ち負かすために、これらの要素をすべて組み合わせなければなりません。フィットネスだけでは戦いの半分に過ぎませんーサイバー空間で安全でいるためには、フィットネスは必要ですが、それだけでは十分でないのです。サイバーフィットネスとは、NISTなどの認知されたサイバー基準に照らし合わせて、定期的かつ段階的に改善するための目標を設定することです。これは決して悪いことではありません。また、AlgoSecやPalo Alto NetworksのBPAのようなツールを使ってファイアウォールの定期的なルールチェックを行ったり、Qualys VMDRを使って脆弱性のスキャンと修正を行ったりすることも、侵害を回避するのに役立ちます。
基本を怠ることの危険性が示された優れた例は、2016年に起きたドナルド・トランプ氏のツイッターアカウントのハッキングです。単純で推測しやすいパスワード「you’refired」を複数のアカウントで使用し、少なくとも4年間は変更しないというのは、情報漏えいが起こるのを待っていたのではないかとも考えられます。
サイバーフィットネスは、組織を現在の環境ではなく、24時間以内にすべての重要なCVEにパッチを当てるなどの基準に基づいた目標に沿った専門性のみに集中させることができます。デビッド・エプスタイン氏は、2019年に出版された著書『Range』の中で、ロジャー・フェデラーが最終的にテニスに落ち着き、偉大な選手になるまで、サッカーやバスケットボールなど、多くのスポーツに手を出していたことを紹介しています。エプスタイン氏は、多くのスポーツに手を出したことがロジャーを偉大にしたのだと主張しています。フェデラーが偉大である理由は、それぞれのスポーツのスキルの幅広さにあり、どんな競技にも対応できるようになっていたからだと言います。この論理に基づけば、フェデラーは幼少期に練習していたどのスポーツでも世界チャンピオンになることができたはずです。エプスタイン氏は、これを3歳からゴルフが好きで、10歳になるまでに何千回もゴルフクラブを振っていたタイガー・ウッズと対比させています。彼はテニスの世界チャンピオンになれたのでしょうか?
サイバーセキュリティの分野では、企業はどのようにしてサイバーフィットネスに取り組むべき分野を選ぶのでしょうか。もし、合理的で静的な目標だけに基づいて行うのであれば、やるかやられるかのテニスゲームの中で、優れたゴルファーになれるかもしれません。ビジネスの推進要因や潜在的な脅威について、企業全体を俯瞰して考えた場合、ビジネスの進展と脅威の急速な進化に合わせて、セキュリティ態勢を頻繁に変更する必要があるでしょう。しかし、そうすることで、防衛者は「範囲」を広げ、明日のサイバー敵対者が何を投げてきても対応できるようになります。
サイバー脅威は急速に変化し、少なくとも特定の攻撃タイプの普及率と量は変化します。ランサムウェアは新しい脅威ではありませんが、この1年半の間に、比較的少ない量から極めて多い量へと急速に変化していることは確かです。その例に、とあるサイバー保険会社はこう言っています。「2020年上半期だけで、当社の契約者の間でランサムウェア攻撃の頻度が260%増加し、平均身代金要求額が47%増加したことが確認されました」(Ransomware accounted for 41% of all cyber insurance claims in H1 2020|ZDNet)。サイバーフィットネスに注力している組織はこのような変化にも備えられなければなりません。実際、NISTやEssential 8に対する高い成熟度があれば、大いに役立つでしょう!しかし、組織の成熟度が低い状態からスタートした場合、純粋に標準に基づいたアプローチでは、短期的には間違ったコントロールに焦点を当て、時間をかけて適合性を高め、その時々で最も可能性の高い、あるいは最も危険な脅威から守るために必要な重点の移行を見落とす可能性があります。
サイバーフィットネスを考える上でのより良い方法は、サイバースパーリングです。例えば、ASDのトップ4、またはEssential 8を実行すれば、脅威の85%以上を軽減できることがわかっています。しかし、それで満足はできません。定期的なインシデント対応演習や継続的な侵害シミュレーション(Mandiant Security Validationなどのツールがこれに役立ちます)、タイムリーで質の高い脅威情報に基づくリスクプロファイルの継続的な更新などを通じて、差し迫った攻撃にもしっかりと焦点を当てていきましょう。言い換えれば、敵の動向に目を配り、それに応じた訓練を行い、サイバー攻撃で「顔面パンチ」を食らうのは、現実世界ではなく、練習用のスパーリングマッチだけで済むようにしましょう。
NTT Com DDが提供するセキュリティソリューション
当社では、Secure by Designをコンセプトに様々なセキュリティ ソリューションをご提供できます。当社のセキュリティソリューションの詳細はこちらをご覧ください。
また、ご質問やお問合せなどはお気軽に下記からご連絡ください。
