組織が抱えるサイバー対応のギャップを埋める

WithSecure_expert_dataroom

    Published

  • 06/2023
Ben Tudor

この記事では、対応 (Response) におけるギャップを定義し、組織が自身のギャップを見極める際に直面する問題を取り上げ、基本的なアプローチを提案し、そのプロセス全体を簡素化するために新規開発された無償ツールへのリンクを提供します。

当社の専門家である Tuomas Miettinen、Peter Page、Harri Ruusinenの3名に、多くの組織にとって課題であり、当社のSPHERE 23イベントにおけるプレゼンテーション「組織の検知と対応能力を強化する」で議論された対応のギャップへの取り組み方について尋ねました。 

対応のギャップとは?

対応は、どの組織にも共通して認められる5つの効果的なサイバーセキュリティ機能(特定、防御、検知、対応、復旧)の1つとして、NISTのサイバーセキュリティフレームワークにも反映されています。

対応とは、攻撃者の攻撃が成功する前に排除することを目的に、インシデントを検知した瞬ら即時に開始できるように計画されたプロアクティブなアクションです。対応のギャップとは、対応の成果達成を阻む、組織内に存在する障害点のことです。以下にその例を示します。

  • 検知技術は備わっているが、そのアウトプットを監視できる有能な人材が不足している。
  • 対応のスキルまたは経験の欠如 - 計画やそれを実行する自信の欠如を含む。
  • 既存のセキュリティコントロールが「対応の準備完了」に設定されていない。
  • 予算に余裕がないために対応機能の導入が遅れている。

サイバー攻撃に対処できるツールが市場で不足しているわけではありません。もちろん効果的なものもあります。しかし、ツール、スキル、計画、人材を適切に組み合わせてデータ侵害やセキュリティインシデントを回避することは、たとえ十分なリソースを備えた組織であっても困難な課題です。対応のギャップが見つかること自体は恥ずべきことではありませんが、それを是正するための措置を講じていなければ非難されるでしょう。

Identify Your Response Gap Assessment Tool

現状:アラートへの反応

対応は、計画的かつプロアクティブに実施し、インシデントが検知された瞬間から開始し、封じ込めに至るまで一貫して処理することができます。これを攻撃が成功した後の処理である復旧と混同しないでください。攻撃が成功してしまうと、対応はあまり有効ではありません。

ほとんどの組織は、データを収集し、システムからのアラートに反応する計画から始めています。それ自体は問題ありません。誰もが実行すべき基本的なステップだからです。そのための優れたツールやプロセスはふんだんにあります。サイバーセキュリティに携わったことのある人なら誰でも、アラート不足やデータへのアクセス不足は通常は問題にならないことを知っています。アラートを受取った際に、何らかの措置を講じることは基本的な行動です。

データとアラートの収集(および解釈)が軌道に乗ると、次のステップでは企業の文化と能力に取り組みます。

次に進む:プロアクティブな反応

これもよく知られていることですが、何かが起きていることを特定し、どのように反応するか、あるいは対応するかを網羅した計画を策定します。

「反応(Reaction)」という言葉は、協調性のない反射神経的なアクションを連想させるかもしれませんが、サイバー攻撃への対応の場合、反応は通常、周到に計画されたものであり、決してパニックに陥ることのない対応の一環と捉えられます。

反応のメリットについては、すでにご存知かもしれませんが、今年初めに当社がForrester社に委託して行った調査では、5社中3社の企業が、個々のサイバーセキュリティ問題が発生したときに反応していると回答しています。

強調したいのは、運用での反射神経を研ぎ澄ますことです。組織のレジリエンスを向上させ、明確な役割と責任を定義して合意し、反応/対応計画を構築してテストし、実際に混乱の最中に活用することです。

チーム内および組織内の個人やチームの役割と責任について合意し、文書化します。その後、反応/対応計画を策定します(または既存の計画を修正し、テストし、定期的に反復することで、組織が直面する脅威ランドスケープの新たな変化に合わせて計画を最新の状態に保ちます)。

こうしたアプローチによって、攻撃に直面したときに電光石火の反射神経で脅威を理解し、対応を準備し、それを慎重に適用することができるようになります。解決適切に対応することは、無計画に行動を急ぐとするどころかさらに多くの問題を引き起こすことになるのとは対照的です。最近、私たちはインシデント対応チームとともにこの考えを文書にまとめました。

 

プロアクティブに検知・対応する

社内か社外に委託するかに関わらず、問題になる前に脅威を見つけることができれば、リスクは軽減されます。私たちが対応の再考と対応のギャップについて語るとき、中心になるテーマは強力な脅威ハンティング能力です。

通常、脅威ハンティングは、インシデントや危機的状況の重圧から解放された平時の穏やかな環境下で、体系立てた方法で行うのが最も効果的です。

このアプローチは、インシデント対応チームと最近文書化した「アクティブな検知と対応の実践」と組み合わせる必要があります。

それでは、なぜこれらの方法が役に立つのか、また、対応のギャップを見つけるにはどうすればよいのか、つまり攻撃を受けたときの対応を改善するために微調整を行うポイントについて説明します。

では対応のギャップはどうするのか?

攻撃の検知と対応は複雑な処理であり、効果を発揮するためには複数のツールとさまざまなスキルが必要になります。これに加えて、組織、チーム、脅威も非常に多様であり、それぞれに長所と短所があるため、その都度独自のギャップ評価が行われることになります。

基本的な部分をしっかり評価することから始めて、それらが正しく行われていることを確認したうえで、ベースラインを設定します。これにより、現在の立ち位置と、現在のセットアップがどの程度堅牢かを鋭い目で確認することができます。

私たちの経験では、組織はテクノロジーには過大投資して、それを活用するために必要なスキルには過小投資する傾向があります。特に、スキルの需要が高く、スタッフを維持することが困難な環境では、トレーニングへの投資は貴重な維持手段となり、昇給を正当化することにもつながります。

優れた状態とはどのような姿か?

  1. フレームワークを使用して、チーム (および組織全体) の準備状況を評価し、サイバー攻撃が成功するのを阻止します。それは、リソースを豊富に持つ組織に向けた脅威ハンティングやインシデント対応能力の開発から、社内の全員を対象とした意識向上トレーニングに至るまでのあらゆるもので、ほとんどの組織にとって達成可能であるべきです。
  2. 準備とトレーニング: インシデントへの準備、組織のレジリエンスの開発、危機管理やパープルチーム演習を含む定期的な演習を含みます。
  3. 脅威インテリジェンスを収集し処理する手段を構築します。自社業界の脅威アクターに関する研究者の発言を把握するために、OSINTリストのような単純なものから始めてもよいでしょう。
  4. 先ほど触れた脅威ハンティングについては、社内チームを通じて実施するか、あるいはEDR、MDR、およびWithSecureの平時における価値評価手法に投資することも効果的です。

次のステップ

現在のチームを強化し、保有しているリソースを最大限に活用できるツールに投資します。そして、欠けている機能を補うために、専門的なスキルと関連ツールでチームを増強または拡張することを検討します。

レジリエントな組織を構築することは、ビジネスを成長させるための基盤にもなります。これを達成する方法は、組織の能力やリソースによっても異なります。

多くの場合、テクノロジー、人材、プロセスを最適に組み合わせる手助けをしてくれるようなパートナーの協力が有効です。たとえば、WithSecure Elements EDRのようなエンドポイントにおける検知と対応機能を提供するだけでなく、自社で対応できない場合にアラートをトリアージするための監視機能を提供できるパートナーとの連携が考えられます。あるいは、WithSecure CounterceptのようなManaged Detection and Responseサービスを利用することもできます。このサービスでは、積極的に資産全体を脅威ハンティングするための人員と機能も提供されます。

最初に何が不足しているのかを理解し、開発のための初期ステップを踏むことで、将来のインシデントへの対応がはるかに改善されます。難しいことではありませんが、今すぐ準備作業をする時間を優先的に確保するのは厳しいかもしれません。インタラクティブなツールを活用することで、自分のチームや組織の状況を素早く把握しましょう。

短時間のリスク評価を実施する

Find out more in episode 79 of the Cyber Security Sauna podcast

Further reading

SIEM、EDR、MDR – 自社運用か外部委託か?

SIEM、EDR、MDRなどを選定の際、当社が考えるお客様のニーズに最適なソリューションを探す方法をご一読ください。

Read more
Read more

Book a consultation with our expert

Book a call with one of our experts to discuss in more detail how you can develop your organisation’s detection and response capabilities. Complete the form and we’ll be in touch with you shortly!