第2回 - サイバーハイジーン評価サービスのコンセプト

2022-06-16

前回のコラムで解説した通り、高度化・巧妙化が進むサイバー攻撃に対して適切に対応するには、サイバーハイジーンに基づくセキュリティの堅牢化が不可欠と言えます。
では、サイバーハイジーンはどのように行うべきなのでしょうか。

本コラムでは、PwCあらた有限責任監査法人が提供するサイバーハイジーン評価サービス（以下、「本サービス」と略記）におけるコンセプトを示し、皆さまがサイバーハイジーンを実施していくなかで重要だと思われるポイントを解説したいと思います。

サイバーリスクの考え方

本サービスにおけるサイバーリスクの考え方は、守るべき情報資産の重要度に応じて技術的な対策を講じるといった、一般的な考え方には基づきません。サイバー攻撃が激しさを増す中、本来守るべきものが「守れない」という考え方を前提とします。（図1）

例えば、境界防御型のサイバーセキュリティ対策では、外部からの攻撃をファイアウォールやIDS/IPSなどで水際防御することに力点が置かれがちです。

しかしながら、直近の国内における新型コロナウイルスの感染拡大状況を見ても分かる通り、組織のシステム・ネットワーク環境が常に外部と接続しているかぎり、ウイルス感染を水際で防御する対策にはそもそも限界があると言えます。

多層防御における、システム内部対策の重要性

もう少し分かりやすく説明するため、昨今流行している、二重脅迫型のランサムウェアの攻撃を事例に取ってみましょう。

既存の水際対策で防御できない新種の暗号化型ランサムウェアの攻撃を受けた場合、システム自体の技術的な堅牢性が十分でなければ、組織内部のネットワーク・システムへの攻撃は容易に実行されてしまいます。（図2）

仮に外部の悪意あるサーバとの通信を遮断する製品を導入していたとしても、システム内部の対策を突破された時点で、既に感染被害は発生しています。つまり、境界型防御のサイバーセキュリティでよく言われる多層防御では、システム内部の対策が極めて重要だと言えます。

そのため、サイバーハイジーンを行う際には、いかにシステム内部の技術対策の堅牢性を確保するかという観点が重要です。

本来考えるべきシステム内部の対策のスコープとは

システム内部の対策とは、組織内ネットワークに接続しているシステムのみに限定されるものではありません。外部からの攻撃を防御する製品にも同じ考え方が求められます。

例えば、外部からの不正な攻撃を防御するファイアウォール製品は、当該製品を操作・管理する内部の運用管理環境・端末のセキュリティが確保されてこそ、その信頼性を担保することができます。逆にいえば、どれほど高機能な製品を導入していたとしても、それを操作・管理する運用管理水準でのセキュリティが脆弱であれば、そこから各種設定を改ざんされるなどのリスクがあります。

これは境界型防御モデルでセキュリティ運用をしている組織に見られる共通的な課題と言えます。こうした考え方に基づき、製品の内部対策の堅牢化も含めたサイバーハイジーンを検討することが重要です。この考え方は、外部との不審な通信を遮断する製品などに対しても同様に言えるものです。（図3）

高機能な製品を導入することで、セキュリティは万全だと満足してしまっていないでしょうか。昨今では、そのような製品自体に潜む脆弱性リスクが適切に検出されず、それを起点にサイバーインシデントが発生していることに留意が必要です。

優先的に対策すべき範囲の考え方

上述した観点より、本サービスでは、システム内部対策のうち、「守れないこと」を前提にサイバーインシデントの被害が特に大きくなる範囲を対象とします。その上でシステム内部対策の技術的な堅牢性を評価し、改善対応するべき諸事項を洗い出します。

一般的に、システムは情報セキュリティの3要素、つまり機密性・完全性・可用性（CIA）の観点より、重要度評価が行われることが多いです。この枠組みの中で、対象システムにおけるサイバーセキュリティ対策の必要度も考えるのが通例です。しかし、重要度の高いシステムへのアクセスを管理する認証管理システム、あるいは内部ネットワークにおける不正な通信を検知する監視システムの重要度はどのように定義すべきでしょうか。「顧客情報など機微性の高い情報を取り扱わない」「対顧客的な業務への影響が低い」などの理由により、こうしたシステムの重要度は低く見積もられる傾向があります。

自組織のシステム・ネットワーク環境を踏まえ、サイバーセキュリティを優先的に講じるべき範囲を検討しようとする際、従来のCIAに基づく枠組みでは、実態に適した検討が不十分になる可能性があると言えます。例えば認証管理システムが機能不全に陥れば各種システムへのアクセスは困難になります。監視システムが想定通り機能しなければ、不正なアクセスを適時に捉えることが難しくなります。

こうした観点も含め、優先的にサイバーハイジーンを実施すべき範囲を考えなければなりません。

限られたリソースを前提とした改善対策提示

本サービスでは、検出された改善推奨事項の重要度/対応優先度を、公知のガイドラインに基づく一般的な観点からのみ整理することはしません。限られたリソースを前提として、優先的に低減すべき脆弱性リスクが何であるかという俯瞰的な目線で提言することが困難になるからです。

本サービスでは、内部対策が侵害され、脆弱性リスクが顕在化したというリスクシナリオに基づき、組織のシステム・ビジネスプロファイルにおいて優先的に対応すべき領域を識別します。その際、さまざまなインダストリーの諸企業において同等の取り組みがどの程度実施されているかというベンチマーク的な視点も考慮します。さらに、こうした優先対応領域についても、既に実施済みの補完的な諸対策によってその領域のリスクがどの程度低減されているかをあわせて検討することで、合理的に実施すべき改善対策を整理します。（図４）

これらの改善対策を実施しようにも、さまざまな事情で短期的には対応が困難なケースも想定されます。こうした場合には、対応が困難なことに伴う現状のリスクをいかに組織内部で受容し、中長期的な対応計画とともに、ステークホルダーへ説明していくかという観点も含めて提言します。

サイバーセキュリティ対策は、自組織を取り巻くサイバーリスクを適切に評価し、優先対応すべき領域を見極めて計画的に対応するという「管理責任の観点」のみならず、対策に着手できていないリスクエリアがどの程度あるのかを正確に認識し、組織内外のステークホルダーに対して、そのリスクが顕在化した場合の想定インパクトや対応策も含めて合意形成を行うという「説明責任の観点」からも考える必要があります。

できていないことをあたかもできているかのように見せる姿勢は、問題が発生した場合、ステークホルダーの信頼を裏切る行為になります。「自分たちは何ができていないのか」を正確に認識し、それに対して自組織としてどのような対策を講じ、どの程度までリスクを低減したのかを把握する。それでも残存するリスクがあれば、しっかり関係者と合意形成する。これこそが「つながる世界」の中で求められる、誠実なサイバーセキュリティの取り組みと言えるのではないでしょうか。

最後に

日々高度化・巧妙化するサイバーリスクへの対策に終わりはありません。組織としてどこまで対策を講じるべきか、費用面も含めて難しい判断を迫られていると考えられます。

このような状況に対して、「守れない」ことを前提としたサイバーリスクシナリオに基づき、足元で実施すべきサイバーセキュリティ対策を管理責任の観点より提言するとともに、カバーしきれないリスクに対してステークホルダーへの説明責任も考慮した対応助言を行うことが本サービスの特徴です。

CSIRTやセキュリティ部門がサイバーセキュリティへの対応を積極的に行っていたとしても、従来の境界防御型の考え方に縛られていては、現在のサイバーリスクへの対応は十分と言えない可能性があります。外部からの攻撃を水際で阻止することに力点を置いた管理態勢の構築を優先させていたため、実はシステム内部対策への対応が劣後していたなど、想定外の脆弱性リスクが未だ残存している企業も存在するのではないでしょうか。

では、具体的に本サービスではどのような脆弱性リスクが検出されるのでしょうか。次回コラムでは、そうした事例の紹介も含めて、今後サイバーハイジーンを考える皆様に参考となる情報をお届けしたいと思います。

本稿における意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点をあらかじめお断りしておきます。