【侵入前提の対策へ】サイバーレジリエンスとは?【現状にすばやく戻す】
スポンサーリンク
こんにちは、えもんです。
今日はサイバーレジリエンスについて説明したいと思います。
サイバーレジリエンスとは
レジリエンスとは直訳すると「回復力」、「復元力」となります。
サイバーレジリエンスとはサイバーセキュリティにおける考え方の一つで、サイバー攻撃を受けた時にいかに早く元の状態に戻せるか、被害を極小化できるかという考え方を指します。
組織として攻撃を早く検知し、被害個所を早期に特定、攻撃を受ける前の状態に戻す能力が高いと「サイバーレジリエンスが高い」と言われます。
一方、攻撃されている事に気付かず、元の状態に戻す能力が無い場合は「サイバーレジリエンスが低い」と言われます。
サイバーレジリエンスがなぜ必要なのか
企業のセキュリティではこれまでFWなど、境界防御を中心とした脅威への対策が考えられてきました。
しかし、近年のサイバー攻撃の高度化、巧妙化に伴い、境界防御のみでは脅威に対応することが難しくなってきており、組織内への脅威の侵入は止められないといった考え方が一般的になってきました。
さらに、最近では、ランサムウェアの侵入によって、工場の生産ラインが止まったように、サイバー攻撃による事業そのものへのインパクトが大きくなってきています。
そのような背景から、サイバーレジリエンスは早期に検知し対処する。事業を止めない。といった事業の継続性を重視しています。
サイバー攻撃についてのBCP(事業継続計画)を組み立てるイメージでしょうか。
サイバーレジリエンスを実現するセキュリティ対策
それでは、サイバーレジリエンスを実現するセキュリティ対策とはどのようなものでしょう。
「侵入をさせない対策」から「侵入前提の対策」へ
企業におけるセキュリティ対策として代表的なFWやIPS、IDS、サンドボックス型の検知システム、ウィルス対策ソフトなどは侵入させない対策でした。
これら対策は基本的な攻撃(バラマキ型のメール攻撃など)には有効な対策のため、引き続き残っていきます。
そこに加えて「侵入前提の対策」を整備する必要があります。
侵入された事を早期に把握するためには組織内の不審な動きに気づく仕組みが必要です。具体的には、組織のネットワーク、エンドポイントの状況を可視化、監視し、異常な振る舞いがあればアラートを上げるような仕組みのことを指します。
可視化についてはエンドポイント、プロキシ、FWなど各種ログ収集が一般的になってきています。それらログを相関分析して異常があればアラートを出すSIEMという仕組みもあります。
エンドポイントにおける振る舞い検知といえばEDRなどが一般的になってきました。
ネットワークにおいても振る舞い検知をベースとした対策機器が増えてきています。
一番守らなければならないものは何か
脅威の侵入を把握した際に重要なのは、対応の優先順位です。
優先順位を決めるには組織にとって重要な情報を定義する必要があります。
組織内の情報すべてを対象にしてしまうと、全てに対して対策を施す必要が出てきてしまい、かえって防御力の低下に繋がりかねません。
重要な情報とは、その企業における価値となる部分。コアコンピタンスを構成する情報というべきでしょうか。
組織にとって重要な情報を定義し、侵害が疑われる場合は早急に対応し、事業が中断されることを最小限に抑えるようにすることもサイバーレジリエンスのポイントとなります。
重要な情報に対応を絞ることで、やるべき対策が明確になりコストも抑えることができます。
従業員・経営層の理解
サイバーレジリエンスを構成するのはシステムだけではありません。
組織に所属する人の考え方も重要です。
従業員目線からすれば、自分がきっかけでウィルス感染・拡大した場合に責任を感じてしまい、セキュリティ部門への報告が遅れてしまうということはあるでしょう。
しかし、早期に把握し対処することが肝となるサイバーレジリエンスの考え方ではこの状況は致命的です。
社内教育などを通して、授業員が迅速にエスカレーションする文化を醸成していく必要性があります。
経営層の理解はさらに重要です。CISOが設置されている企業では経営層の理解が進んでいる所が多いと思いますが、これは一部の企業に限られます。
組織内に脅威が侵入しているという事実に拒否反応を示す経営層もいると思います。経営層にはサイバーレジリエンスという考え方を理解してもらい、「侵入前提の対策」を推進してもらう必要があります。
