「いきなり100件ものアラートが飛んできた！」 パニックになる前にすべきこととは：可視化し、優先順位付けを行う、RSAが提唱する「リスクベースのアプローチ」の真意（2/2 ページ）

これからのセキュリティ対策は、「自社のビジネス」にとって何が最も重要で、何が最も大きなリスクなのかを把握し、優先順位を付けた上で取り組むことが重要だとされている。このRSAが提唱する「リスクベース」のアプローチの真意に迫る。

[高橋睦美，＠IT]

サイバーセキュリティフレームワークを情報共有で補完

RSA バイスプレジデント兼グローバルパブリックセクター担当ジェネラルマネジャーのマイク・ブラウン氏

　RSA バイスプレジデント兼グローバルパブリックセクター担当ジェネラルマネジャーのマイク・ブラウン氏は、NISTのサイバーセキュリティフレームワークこそリスクベースの考え方を採用したものであると説明し、以下の対策指針を企業へ提言した。

　「そもそもサイバーセキュリティフレームワークの目的は、組織にとって何がリスクであり、どれが優先順位が高いかを明らかにし、それを踏まえて何を守るかのロードマップを定め、リスクを緩和するための適切なステップを明らかにすることだ。改訂作業もその方向性を踏襲している」（ブラウン氏）

　サイバーセキュリティフレームワークでは、核となるセキュリティ機能として「特定」「防御」「検知」「対応」「復旧」の5つがあり、それぞれのベストプラクティスがまとまっている。RSAでは、SecurID、NetWitness、Archerそれぞれの製品を通じて、これらの機能を実現する手段を具体的に提供していく考えだ。

　サイバーセキュリティフレームワークと並んで、もう1つブラウン氏が重視する取り組みが、「官民にまたがる情報共有体制の整備」だ。

　ブラウン氏は長年にわたって米政府や関連機関のセキュリティ戦略立案を支援してきた他、セキュリティ・脅威情報共有の枠組み作りにも参画してきた。米国では2015年、オバマ大統領（当時）の大統領令によって、米国土安全保障省が官民にまたがる情報共有の「ハブ」の役割を果たすことになった。それを取り巻く形で、15年以上の歴史を持つ金融業界の「FS-ISAC（Financial Services Information Sharing and Analysis Center）」をはじめ、業界ごとに情報共有の枠組みが形成されつつある。同時に、セキュリティベンダー主導で結成された「Cyber Threat Alliance」では、脅威情報を共有し、それぞれの顧客も含めたエコシステムを形成しようとしている。

　こと情報共有に関しては、「自社のデータはあまり出したくない」という意識も根強い。ブラウン氏は一例としてFS-ISACの取り組みを挙げ、「データを匿名化し、特定の組織名と結び付けずに共有することで、まず大手の金融機関が積極的に協力するようになった。政府も後押しし、加わる組織が増えるにつれ、共有の枠組みに参加しないことによる不利益が大きくなっていった」と説明し、一定のルールを設けることで有益な情報共有が可能になるとした。

　また、「自動化」もポイントになる。メールや電話といった人手を介すアナログな方法ではなく、STIX（Structured Threat Information eXpression）やTAXII（Trusted Automated eXchange of Indicator Information）といった標準プロトコルに沿って、セキュリティ監視装置やSIEM（Security Information and Event Management）といった機器がダイレクトに脅威情報、IoCを交換できる仕組みが整いつつある。

　これについてブラウン氏は、「まだこの取り組みは発展途上だ。エコシステムをさらに成長させていかなければならない。コンテキストやビジネス上の優先順位も含め共有したり、リスク緩和策やアクションを自動化したりするといったことも視野に入れている」と述べている。

　最後に、ウン氏、ブラウン氏のいずれも懸念を示していたのが、IoT（Internet of Things）とOT（Operation Technology）分野のセキュリティ対策についてだった。

　「これらは他の分野に比べて情報共有には消極的。しかしそれが攻撃者を利することになっている。よりよい備えを実現するために情報共有を後押ししていきたい」（ウン氏）

　またブラウン氏も「もっと全体をスピードアップしていく必要がある」と述べ、サイバーセキュリティフレームワークの適用やセキュアな設計、脆弱（ぜいじゃく）性修正のための迅速な更新といった取り組みが必要であるとした。