サイバーハイジーン基礎の基礎　第5回 攻撃力と防御力の反比例から紐解くサイバーハイジーン

大規模組織における年次の統合報告書を見ていると、サイバーセキュリティ（以下、セキュリティ）の重要性を説く報告が最近多く見られるようになりました。また、経済産業省からは「サイバーセキュリティ経営ガイドライン」が発行されるなど、経営サイドからのセキュリティ対策の重要性、すなわち“セキュリティ投資”にも理解が大分進んできたと思います。それは、ESGの観点においてもステークホルダーから注目を浴びることと重なり、経営サイドにおけるセキュリティ投資のハードルが以前より低くなってきたと実感される方も多いでしょう。しかし、このセキュリティ投資に対して、実際に発生しているセキュリティ事案（インシデント）はひたすら増加の一途を辿っていることはあまり知られていません。今回はこのセキュリティ事案（攻撃力）と実際のセキュリティ投資（防御力）の実態について解説します。

セキュリティ投資をしても、インシデントが減少しない理由

セキュリティに携わる方であれば、JPCERTコーディネーションセンター(以下、JPCERT/CC)はよくご存知でしょう。このJPCERT/CCが国内の各組織から収集したインシデント件数を見ると、2019年の10月〜12月と2020年の10月〜12月の同時期における比較では、なんと“３倍以上”のインシデント件数が報告されていることがわかります。また最新レポートの2020年と2021年の同時期対比でも、さらにインシデント件数が増加しています。

実は、このレポートをご覧になった大規模組織の経営層から、「セキュリティ投資は毎年増加し続けているのに、なぜインシデント件数が減少に推移しないのか？」といった素朴なご質問をいただきました。もし皆さんがこの質問を受けたとき、どのように経営層にセキュリティ投資の重要性を説明しますか？

 ・サイバー攻撃の技術力が上がった
 ・サイバー犯罪組織の力が強まった
 ・自社で採用しているセキュリティツールの防御力が弱い（投資額が少ない）
・あるいは、ITやセキュリティ、リスクコンプライアンス部隊が縦割り（サイロ化）されている
など、いろいろな理由が思い浮かぶと思います。

しかし、経営層はこれらの回答で納得できるでしょうか？　残念ながら多少の理解はされても、さらなる投資の増額といった理解を得ることは、非常に難しいのが実情だと思います。いわゆる、「説明に腹落ちしない」という状況に陥ることが容易に想像できます。

実は、この質問を受けたお客様から、JPCERT/CCが証明した“防御力の実態”に対して、どのように説明すべきか？　との相談を受け、以下のように回答しました。
 
 ・攻撃力に対する防御力の反比例には根本要因がある。
 ・一般的に想定される、犯罪者の技術力や組織力の向上、あるいは導入ツールの課題、といった要因は根本要因ではない。

この根本要因とは、昨今さまざまなインシデント報道が指し示すように、組織が管理できていないPCやサーバーがあったり、あるいは管理はできているものの、攻撃者によって悪用される脆弱性（パッチ未適用など）が野放しになっている点です。

サイバーハイジーンが実現できないと、セキュリティツールは無力に

国内の著名な大規模インシデントを例に取ると、経営層が説明責任をステークホルダーから問われるガバナンス管轄範囲ではあったものの、本社が管理できていない野放しのサーバ（非管理サーバー）の脆弱性を悪用されて、段階的に組織のアクセス権限を窃取され、最終的にはAD（Active Directory）サーバーが乗っ取られ、組織のシステムが掌握されてしまいました。それ以降、数多くの報道があるように、さまざまなインシデントが発生したという結末になりました。

確かに世の中には、高機能なセキュリティツールも多種多様に存在します。しかし、忘れてならないのは、「もし組織の管理者の権限を攻撃者に奪われた場合、それらのセキュリティツールが無力化される」という点です。防御側として期待していたツールやサービスが無力化（停止など）されてしまうと、仮にツールに数千万円、数億円を投資していても、防御効果を期待することは極めて難しくなります。

この例は特殊な事例でなく、昨今のインシデント事案ではごくごく一般的な攻撃プロセスであり、これらを鑑みたとき組織が優先して取り組むべき点は、組織が守らなければならない情報資産や、サービスにアクセスする端末群（PC/サーバー/モバイル）を常に可視化し続け、まず攻撃者が狙う脆弱性（公開されている既知の脆弱性）を連続的にゼロに近づけるということです。この極めて地味で大変な業務を永遠に実施し続けないと、根本要因を解決することが困難であることは理解いただけると思います。

これらの業務が、本連載の主要テーマである“サイバーハイジーン”なのです。いま大規模組織を特に震撼させているApache Log4j対応でも、サイバーハイジーンが最優先で実施されています。先進諸外国では緊急勧告として発令されていることからもサイバーハイジーンの重要性が裏付けられています。サイバーインシデントを地震にたとえれば、原理・原則として基礎を徹底的に強化し、崩れない屋台骨を作ることです。改めてサイバーハイジーンがセキュリティ投資の原理・原則になる点もご理解いただけたと思います。 ぜひ攻撃力と防御力が“反比例”ではなく、“比例”するようなアプローチをご検討いただければと思います。サイバーハイジーンが実現できた上で、初めて高機能なセキュリティツールやサービスが最大のポテンシャルを発揮できます。これが投資対効果の最大化につながる点も最後に付け加えさせていただきたい点です。

＜参考＞第1～4回も合わせてお読みください
第1回 なぜパッチ適用のプロセスに苦慮するのか？　その課題と解決策
第2回 裸の王様とKPIについて
第3回 ガバナンス実現に求められる共通の物差し（KPI）
第4回 サイバーハイジーンの評価指標となるサイバーセキュリティ「KPI」について考察

タニウム合同会社
Chief IT Architect
CISSP, CISA
楢原 盛史(ならはら もりふみ)

タニウム合同会社のチーフ・IT・アーキテクトである楢原盛史は、トレンドマイクロ社、シスコシステムズ社、ヴイエムウェア社のセキュリティ営業、コンサルタント、アーキテクトを歴任し、特に経営層向けにセキュリティ対策のあり方から実装、運用までを包含した、「現場」目線における鋭い視点は多くのファンを持つ。また、2022年からはデジタル庁が主導する次世代セキュリティアーキテクチャ検討会の有識者としても活躍中。

サイバーハイジーン基礎の基礎の最新話は、メールマガジンにてもご案内致しています。是非JAPANSecuritySummit Updateのメールマガジンにご登録ください。
メールマガジンの登録はこちらからお願いします。