タニウムが提案する、「ハイジーン」を前提としたセキュリティ対策そろそろセキュリティの世界にも「KPI」を

今やサイバーリスクはビジネスリスクの一つとなっている。ひとたびセキュリティインシデントが起こったとき、経営層には3つの要素が求められる。なるべくビジネスを止めない「可用性」が一つ、さらに経緯や見通しについての「説明責任」と、事後の「安全宣言」だ。これらを満たすためにはどんな対策が必要だろうか。

» 2019年04月08日 10時00分 公開
[PR/@IT]
PR

 企業ITシステム内の全エンドポイントの情報をリアルタイムに集め、セキュリティリスクを可視化し、スピーディに制御していく「Tanium Platform」。同サービスを提供するTaniumは、2019年2月20日に大手企業向けプライベートセミナーを開催した。その模様をお伝えする。

事件発生時に経営層に求められる「3つの要素」を実現するには?

TaniumのOrion Hindawi氏

 端末の情報収集はもちろん、資産管理や、脆弱(ぜいじゃく)性対応、リモートからの端末の遠隔制御など、一言では表せないほどさまざまな機能を持つTanium Platform。セミナーに合わせて来日した米Tanium共同創業者兼CEOのOrion Hindawi氏によると、同社の日本市場における売り上げはこの1年で300%も成長したという。日本市場にはどの地域よりも素晴らしいサービスを提供したいと強調した。

 続けて登場したTanium合同会社代表取締役社長の古市力氏は、国内で導入エンドポイント数が60万を越えるに至ったこと、さらにリニューアル(更新継続率)では100%超を達成したことを紹介した。サービスへの満足度を示す数字だ。Tanium単独のサービスだけではなく、富士通がTanium Platformを活用したマネージドサービスの提供を発表するなど、パートナーを介した働きかけも広がっているという。

Tanium合同会社の古市力氏

 なぜ、今Tanium Platformの勢いが止まらないのだろうか。古市氏は「最新のセキュリティ動向とサイバー・ハイジーン(衛生管理)」と題するセッションを通じて、その背景を説明した。

 2018年を振り返ってみると、年初から「Spectre/Meltdown」という深刻なCPUの脆弱性が発覚した他、国内の仮想通貨交換事業者が不正アクセスを受け、何百億規模という損害が発生した。2018年後半には、政治的な背景も相まって中国製ネットワーク機器に対する疑いの目が高まるなど、サイバーセキュリティの分野では話題の尽きない1年間だった。

 さて、深刻な脆弱性やセキュリティ事故が明らかになり、メディアで報じられると、多くのIT担当者、セキュリティ担当者は、経営層から軽い感じでこんな風に尋ねられることになるだろう。「うちは大丈夫なのか?」と。

 だが、この問いに即答できる担当者は少数派だ。拠点にあるものも含めて数千、数万台もの機器を調査しようとしても、ただでさえ忙しい現場からは歓迎されないだろうし、即座に調査に取りかかったとしても結果がでるまでに時間がかかる。こうした理由から、経営層の質問に即答できないケースが多いと古市氏は説明した。

 だが、公開される脆弱性の数は、クライアント、サーバ問わず増加の一途をたどっている。2018年には10年前の16倍に当たる1万6000件を越える数の脆弱性が公表された。社内の全資産に対して、これらの脆弱性への対応を固めなければならないのだ。

 脆弱性対応がいかに重要かについて、古市氏は数字を挙げて述べた。米国の主なセキュリティ機関や企業によると、全資産を棚卸しして脆弱性を可視化し、対処する「サイバー・ハイジーン(衛生管理)」さえしっかり実施していれば、大半の脅威は防ぐことができるというのだ。

 米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワークにおける特定と防御のステップにおいて、サイバー・ハイジーンを実施しておけば、米国国土安全保障省のUS-CERTによると脅威全体の85%を防ぐことができる。Center for Internet Security(CIS)によれば97%を、データ侵害レポート(DBIR)で知られるVerizonに至っては99.9%を防げるとしている。

 同氏は続けて、ある半導体メーカーのセキュリティインシデントを例に、セキュリティの観点から経営層に求められる要点は何かを考察した。ランサムウェア「WannaCry」の登場から1年以上たった2018年夏、そのメーカーでは1万台規模のPCがWannaCryの亜種に感染し、工場での操業を停止する事態に陥った。最終的にはCEO自身が記者会見を行い、最大損失額の見通しを語らざるを得なくなったという。

 このことから「セキュリティ事案が発生した際、CEOや経営層に求められる要件は3つある。1つ目はビジネスを止めない『可用性』。2つ目は何が原因で何が起きたかを明らかにし、『説明責任』を果たすことだ。そして最後に、『このような対策を打ったから大丈夫』と経営者自らが『安全宣言』を出さなければならない」(古市氏)

 古市氏はさらに、レジリエンス(回復力)の観点から、サイバーセキュリティを定量的に評価できる「KPI(Key Performance Indicator)」が必要だと述べた。「例えば災害対策の領域では、RPO(Recovery Point Objective)やRTO(Recovery Time Objective)といった指標が定義されている。サイバー攻撃においても、ビジネスがやるべきことは同じだ。金融業界など一部の先進的な企業ではMTTI(Mean Time to Identify)、MTTC(Mean Time to Contain)という指標を使う企業が増え始めている」(古市氏)

 MTTIは、不正侵入を検知するまでの時間、そしてMTTCは脅威に対処し、封じ込めるまでの時間だ。だが、MTTI、MTTCのような時間軸を定義し、達成するには、前提としてサイバー・ハイジーンをきっちり実現していなければ難しい。「見えないものは管理できない」(古市氏)からだ。

 古市氏は、入ってきてしまった脅威の素早い検知と対応を考えることは重要だとした。だが、「その前の段階で、リアルタイムで監視してきちんとハイジーンを実現していなければ、後ろの段階でMTTI/MTTCも設定できない」と述べ、資産の棚卸しに始まり、作業の合理化と第三者によるベンチマーク、そしてMTTI/MTTCの設定と、段階を踏みながら対策の成熟度を高めていってほしいと呼び掛けた。

セキュリティの世界にも求められる「KPI」、設定の前提は「ハイジーン」

 続けて、企業のセキュリティ対策の現場をよく知る三井物産セキュアディレクション(MBSD)のコンサルティングサービス事業本部 事業本部長 関原優氏を招き、Taniumのリード・セキュリティ・アーキテクト 楢原盛史氏とのトークセッションが始まった。

Tanium合同会社の楢原盛史氏

 楢原氏は冒頭、次のように述べた。「恥ずかしながら、企業の経営層からおしかりを受けることがある。ついつい『インシデントがどうこう』『脆弱性の番号がどうこう』と、横文字を連呼してしまい、何を言っているか分からないというわけだ。経営層が知りたいのは『財務へのインパクトはどのくらいか』『ブランドへの影響は』といった事柄であり、それを最も分かりやすく示すのは数字だ。経営戦略を踏まえ、セキュリティリスクを数値にして説明しないと、なかなか理解していただけない」

 これは、古市氏が触れた経営層に求められる3つの責任、事業の継続と説明責任、安全宣言を果たしていくためにも必要な情報だ。

 ただ、現場からするとこのような数字をはじき出すのは大変な作業だ。資産を棚卸しして、脆弱性の有無を可視化、一つひとつつぶす――と口で言うのは簡単だが、調査には時間がかかる。そもそも、どのくらい時間がかかるのかを見積もるだけでも一苦労だ。

左:Tanium合同会社 楢原盛史氏、中:三井物産セキュアディレクション株式会社の関原優氏、右:Tanium合同会社 石鍋洋一氏

 関原氏は企業の現場の苦労について次のように述べた。「システム全体を把握できている企業は、思った以上に少ないというのが実感だ。いろいろなベンダーが入ってシステムを構築することが多いため、全体がどうなっているか、例えばどんなアカウントがどのシステムでどのように利用されているのかなど、システム構築に携わったメンバーが既に異動や退職していて調べないと分からない、あるいはベンダーに聞いても全体を把握するのには時間を要するというような環境も多い」

 つまりハイジーン以前の課題が多いという指摘だ。さらに、ついEDR(Endpoint Detection and Response)やSIEM(Security Information and Event Management)など、ツールの話に陥りがちだが、「しっかりセキュリティのKPIを設定して管理していくためには、ネットワークやシステム全体の状況を把握できるようにしなければならない」と警鐘を鳴らした。

 KPIにしても、インシデント発生時の意思決定にしても、全体の状況が把握できていなければ話にならない。楢原氏は、「インフルエンザが流行したときに学級閉鎖という意思決定を下すことができるのは、どのクラスにどんな生徒が何人いるか学校が全て把握しているからだ」と例えた後、述べ、ITの世界においても同じだと指摘した。

 システム部門の管理下にある約80%の端末はもちろん、残る20%の管理されていない二次的周辺機器も含め、サプライチェーン全体にまたがって全数把握しなければ何もできないと説明した。

検知以前の「特定」や「防御」のプロセスが重要

 全数を把握した上でようやく、KPIを定義できる段階に至る。楢原氏は、NIST SP 800-55 Revision 1の中にある情報セキュリティパフォーマンスガイドを参照しつつ、「リアルタイム性」「網羅性」「連続性」を満たす形で情報を収集できてはじめて、結果として正確性が担保できると説明。さらに、日本政府の「世界最先端IT国家創造宣言」が示す通り、限られた予算を効果的な分野に分配し、運用の合理化を進めていくことも必要だとした。

 ただ、「どうしてもツールベースの話になりがちで、『ハイジーン』という言葉自体がなかなか浸透していないのも正直なところ」(関原氏)。複数のベンダーが提供するさまざまなツールでばらばらに運用しているため、全体を可視化することは難しいというのが実態だと述べた。

 これに対し楢原氏は、対策までの「時間」や人の「ナレッジ」という観点も視野に入れると、NISTのサイバーセキュリティフレームワークにおける「検知」以前のプロセス、具体的には「特定」や「防御」の部分で未然防止できれば、新たなツールを追加したり、人を増やしたりせずとも、リスクの発生を抑止できるのではないかと期待を寄せた。

 関原氏も楢原氏と同じ意見だった。「『検知』に関する相談を受けることが多い。だが、SIEMやサンドボックスなど、投資を重ねていながら、内部の対策にあまり注力せずにいた結果、毎日のようにマルウェアが入ってきては容易に感染拡大し、検知と対処を繰り返す、モグラたたきのような対応をしてしまっているケースもある。これでは投資が非常にもったいない」と述べた。自身はセキュリティサービスを提供する立場でありながら、あえて「ハイジーンの実践が、顧客のセキュリティ対策コスト全体の節約につながる」とコメントした。

 Taniumのプラットフォームは、NISTフレームワークで設けられる要件全てをシングルプラットフォームでカバーし、リアルタイムに、網羅的に、また連続的にシステム内の情報を収集し、制御する。これによりリスクをMTTI/MTTCという数字に表し、上層部が企業の可用性や説明責任、安全宣言という責任を果たせるよう支援していく。

 セッションでは、Taniumの石鍋洋一氏によるデモンストレーションも披露された。数千台、数万台規模のシステムに対し自然言語で検索を行い、情報資産の管理や導入されているアプリケーションの一元把握が可能なこと、さらにはIPアドレスが付与されたプリンタやネットワーク機器、モバイルルーターなども検出可能なことを実画面で示しながら紹介した。

 最後に楢原氏は「今やサイバーリスクはビジネスリスクと同義」と述べ、それを管理していくためにサイバー・ハイジーンの進捗率、MTTI、MTTCといった数値をセキュリティのKPIとして定義し、リアルタイムに、網羅的に、連続的に把握していくことが重要だとした。関原氏は「現状が分からなければ戦えない。日本の企業は、例えば事業継続計画(BCP)の世界では迅速に情報収集を行い、適切に対応できている。従ってサイバーセキュリティの分野でも同じようにできる素地がある」とエールを送った。

 Taniumでは、今後もTanium Platformの上で動作する「Reveal」(GDPRなどで求められるセンシティブデータの存在を特定する)や「Map」(アプリケーションとエンドポイントの関係性を可視化する)といったモジュールを追加して企業ニーズに対応していく計画だ。また、MBSDが取得した特許技術を2つ搭載した自社開発のランサムウェア対策製品である「MBSD Ransomware Defender」とも同時利用可能で、いまだに被害の絶えないランサムウェアへ連携して対策していくソリューションも提供するなど、企業のリスク対応を支援していくという。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:タニウム合同会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2019年5月17日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。