「いきなり100件ものアラートが飛んできた！」 パニックになる前にすべきこととは：可視化し、優先順位付けを行う、RSAが提唱する「リスクベースのアプローチ」の真意（1/2 ページ）

これからのセキュリティ対策は、「自社のビジネス」にとって何が最も重要で、何が最も大きなリスクなのかを把握し、優先順位を付けた上で取り組むことが重要だとされている。このRSAが提唱する「リスクベース」のアプローチの真意に迫る。

[高橋睦美，＠IT]

　「企業の存続」をも脅かす近年のサイバー脅威に対し、CSIRT（Computer Security Incident Response Team）やSOC（Security Operation Center）を設け、対処に取り組み始めた企業が増えている。ただ、設けただけでは決して安心できない。そこに、また新たな課題が浮上している。

　それは、「マルウェアを検知した」「いつもと異なる異常なアクティビティーが見られる」といった多過ぎるアラートに振り回され、運用の現場が疲弊してしまうというものだ。

　こんな状況に、EMCのセキュリティ事業部門であるRSAでは「ビジネスドリブンセキュリティ」と呼ばれる考え方を提唱し、企業がより効率的にセキュリティ対策を実践できるように支援している。ビジネスドリブンセキュリティとは、自社のビジネスにとって最も重要な資産は何で、最も大きなリスクは何かを整理し、優先順位を付けて対策に取り組む「リスクベース」のアプローチのことを差す。NIST（アメリカ国立標準技術研究所：National Institute of Standards and Technology）が示す「サイバーセキュリティフレームワーク」とも共通する考え方だ。

RSA Conference 2017 Asia Pacific & Japanのブースで紹介された「RSA NetWitness」の新バージョン

　この考え方に沿ってRSAは、ログやネットワークパケット、ネットフローを収集して現在の状況やインシデントを可視化するモニタリング製品の新バージョン「RSA NetWitness Logs & Packets 11」と、エンドポイントの状況を監視し、脅威を検出する「RSA NetWitness Endpoint 4.4」を2017年7月18日に発表。両製品は2017年7月26日〜28日にシンガポールで開催された「RSA Conference 2017 Asia Pacific & Japan」でもお披露目され、日本では2017年秋にリリースされる予定だ。

　新バージョンのポイントは、インシデント対応の第一画面となる管理ツールのユーザーインタフェースを改良し、ログなどの相関分析の結果から得られた情報を分かりやすく表示するようにしたことだ。また、解析から得られた痕跡（IoC：Indicator of Compromise）とエンドポイントの挙動を過去にさかのぼって把握できる「ストーリーライン」機能を組み合わせることで、「どんなURLや添付ファイルが原因で感染したのか」「過去、同じURLにアクセスした端末はどれか」「そのIPアドレスは、他にどのような攻撃に悪用されたか」「その影響を受けた恐れのある端末はどれか」といったことも把握できる。具体的に原因を突き止め、素早く対策調査ができるようになるという。

　さらにもう1つ、RSAのリスク管理・コンプライアンス対応プラットフォーム「Archer」のモジュールの1つである「Archer SecOps」と連携し、資産情報やリスク情報を加味して重み付けを行えることも特長だ。

　例えばアラートがいきなり100件上がってきたら、どれから手を付ければ良いかに迷うはずだ。具体的には、重要な情報を扱う役員のPCや、事業の存続に欠かせない会計システムなどを先に対処するといった優先順位付けが必要だが、それを把握するのにも時間がかかる。RSA NetWitnessでは、「何がクリティカルなのか」を判別して自動的に優先順位を付けてくれる。「これにより、初期対応のためのアナリストの負荷を減らせる。総じてSOCの運用をシンプルにできるので、CSIRTの迅速な意思決定を支援できる」と、EMCジャパン RSAシステムズ・エンジニアリング部の梅木和年氏は説明した。

「ビジネスへの影響度」に基づいた優先順位付けが重要

RSA アジア太平洋・日本市場担当プレジデントのナイジェル・ウン氏

　新製品におけるRSAの狙いは何か。RSA アジア太平洋・日本市場担当プレジデントのナイジェル・ウン氏は、現地での筆者の問いに対し、「サイバーセキュリティを巡る状況は悪化している。侵害件数は右肩上がりで、組織の対応コストも増加の一途をたどっている。日々新たなマルウェアの亜種が生まれ、攻撃側は次々に新しい手法を模索している。この状況に対してRSAは、新たな脅威に対抗するレジリエントな（復元力のある）セキュリティ戦略の立案を支援していく」と回答した。

　そうといっても、「完璧な防御策」を用意するわけではない。代わりに同社が提唱するのは、セキュリティ業界が完璧な防御を目指してきたこれまでのやり方とは異なるアプローチだ。「100％完璧な防御策、解決策はない。必要なのは、多くの脅威のうち、どれが自社にとって最もクリティカルなのか、どれがビジネスに最も大きなインパクトを与えるかを整理し、優先順位を付けて対応に当たることだ」とウン氏は述べ、リスクベースの対策が必要だと強調した。

　RSAではこのリスクベースの対策に対し、幾つかの施策を既に進めている。シンガポールをはじめ各国でセキュリティ教育カリキュラムを推進し、人材育成に協力していくのもその1つだ。また同時に、ツールの面でもNetWitnessやArcherに加え、「SecurID」を核とするID管理プラットフォームを提供することで、「セキュリティ担当者がより多くの情報を得て、より迅速かつ簡単にインシデントを把握し、管理できるよう支援していく。これらプラットフォームを通じて、SOC運用を減らしていく」（ウン氏）のが狙いだ。専門性を備えた人材を支援するために、運用や対処の「自動化」も視野に入れているという。

　ウン氏によると、既にかなり成熟したSOC運用を実現している企業や組織もあるそうだ。

　「そうした企業は、経営層がセキュリティの必要性に理解を示し、きちんと投資を行っている。それも技術だけでなく、人やプロセスにも相応の投資を行っている。つまり、IT予算の一部ではなく、ビジネスのための独立した予算を確保している」（ウン氏）

　こうした成功例は何がポイントか。経営層がセキュリティ対策の重要性、つまりセキュリティリスクはビジネスリスクであることを理解していなければ始まらない。だからこそセキュリティ担当者は、難しい技術や専門用語を並べて説明して終わり、ではなく、具体的に「自社ビジネスへのインパクトはどのくらいか」「保護やリスク管理は可能か、不可能か。可能ならば何が必要か」を経営層に分かる言葉で伝えていくことが本当に重要だという。

　こうした体制作りは、インシデントの防止だけでなく、万が一情報漏えいや侵害が起きてしまった際のメディア対応などにも効いてくる。

　例えば、数千万件の個人情報が漏えいし、CEOの辞任にまで至った米国ディスカウントストア大手のTargetは、被害状況を正確に把握できなかったことから、五月雨式に情報を公開してはメディアに取り上げられ、たたかれた。そして、報道のたびに被害範囲が大きくなっていったことも消費者の強い怒りを買った。

　「この事例とは対照的に、米国金融機関大手のJPMorgan Chaseも情報漏えい事故を起こしたが、再発防止策も含め迅速かつクリアな説明を行ったことから、報道は1週間程度で終息した。何がどのように起こったのか、その結果何にどのような影響があったのか、その対応をどのように行ったかを明確に説明しなければ、顧客の怒りを招き、信頼を失うことになる」（ウン氏）

　そうした対応をスムーズに行うにも、自社がどんな資産を持っており、どの程度重要なのかを日頃から把握し、セキュリティの観点から優先順位を付けておくことが重要だ。それができてはじめて、適切な意思決定が可能になる。

　「あれもこれも、全部を守りきろうなどということは不可能だ。最も大事なものを特定して、そこにフォーカスして対処することが重要だ」（ウン氏）