[レポート][日本電気株式会社]今、改めて考えるサイバーレジリエンス – CODE BLUE 2021 #codeblue_jp

CODE BLUE 2021で行われた「[日本電気株式会社]今、改めて考えるサイバーレジリエンス」というセッションのレポートです。
2021.10.20

こんにちは、臼田です。

今回はCODE BLUE 2021で行われた以下のセッションのレポートです。

[日本電気株式会社]今、改めて考えるサイバーレジリエンス

NIST SP 800-160 volume 2改訂版のドラフトが公開されました。改めてその背景から振り返り、昨今の脅威とも照らし合わせながら、サイバーレジリエンスエンジニアリングフレームワークの意義について考えていきたいと思います。

Presented by : 角丸貴洋  日本電気株式会社 マネージャ

レポート

  • 普段は脅威インテリジェンスの収集などを行っている
  • 海外の動向調査の一環でサイバーレジリエンスの話をする
  • セキュリティバイデザインと関連が深いNIST SP8000-160 Vol.2 Rev.1 (Draft)について
    • 2019年11月に発行されたものの改定
    • 敵対者が与える被害に歯止めをかける方法を提示したガイドライン
    • これを元にサイバーレジリエンスを検討
  • 言葉の意味から考えるレジリエンス
    • 弾力性
      • 物性として
    • 回復力
      • 情報システム
    • 適応力
      • 心理学
      • 困難な状況でもしなやかに生き延びる力
  • サイバーレジリエンスとはなんなのか
    • どのようなイメージがあるか
    • 組織のリスク管理戦略の1つ
    • 目指すべき姿
      • より信頼できるシステム
      • 様々なアプローチで目指す
      • セキュリティ以外にも信頼性・回復性・生存性など
      • 利害関係者や何を重視するか、戦略方針で優先度など変わる
      • 外乱・危険・脅威などの環境にも耐えうるように
    • サイバーレジリエンスも信頼性を高める考え
      • 既存の枠組みと一緒に使う
      • ISO/IEC/IEEE 15288:2015
        • システムライフサイクルプロセス
      • NIST SP800-160 Vol.1
        • システム・セキュリティエンジニアリング
        • どうやって折り合いをつけてセキュリティを実装するか
      • NIST SP800-37 Rev.2
        • リスクマネジメントフレームワーク
        • 組織のリスク管理戦略の基礎となる
  • サイバーセキュリティの動向
    • 北米石油パイプラインのランサムウェア攻撃による移送停止
    • ランサムウェアのビジネス化
    • あらゆる攻撃が今後も仕組み化されると思われる
  • リスクとの関係
    • リスクを脅威・脆弱性・資産の考え方に当てはめる
    • APTによる影響を想定する
      • 気づかれずに長期間入られていると想定する
    • 敵対者は悪用、侵害してくることを前提とする
    • サイバーレジリエンスは特に資産にフォーカスを当てていそう
    • ミッションやビジネス機能
  • サイバーレジリエンスとリスクの関係性を深堀り
    • オペレーションを遂行してミッションやビジネス機能を達成する
    • サイバー資産がシステムやインフラでつながる
    • システムがビジネス機能とつながりミッションの完遂
  • 組織のリスク管理戦略
    • 800-39の3つのレベルと当てはめる
    • 全体に当てはめてサイバーレジリエンスも考える
  • サイバーレジリエンスが重きをおいているのはビジネス機能やミッションの完遂
    • これらを高めてリスク管理
    • ミッション保証の最大化
    • 達成すべきミッションを起点にしてビジネス機能を保護することがサイバーレジリエンスのアプローチ
    • 能力を守るためにシステムにどのような機能を入れるかをこのガイドラインを参考にする
  • サイバーレジリエンスとセキュリティの関係はどう考えればいいのか
    • セキュリティでサイバーレジリエンスがカバーできている?
    • サイバーレジリエンスのアプローチ
      • 能力をサポートする
        • 機能を強化してリスクを低減
      • 影響を抑える
        • 脅威は押さえられないので被害の程度、発生の可能性、被害をもたらす可能性を低減し、リスク低減する
      • システムではなくビジネス機能の視点であることが興味深い
  • サイバーレジリエンスソリューション
    • 能力をサポートはビジネス機能の維持にあたる
    • 影響を抑えるはシステム部分
  • セキュリティのアプローチはどうか
    • 800-160 Vol.1
      • システム保護能力
      • 情報資産の保護
  • サイバーレジリエンスちおセキュリティを並べる
    • 重複しているが包含していない
    • 視点が違う
    • サイバーレジリエンスの視点で既存の資産を異なる活用ができるかも
  • どのような特性や行動が不可欠であるか
    • サイバーレジリエンスの定義
    • サイバーシステムを有効に活用しつつ、どうリスク管理するか
    • 4つの能力
      • 予測力
        • 情報に基づいた準備状態を維持する
        • 攻撃を低減するための計画など
      • 抵抗力
        • 重要なミッションやビジネス機能を継続
        • 必要性は時間や能力で変更する
      • 回復力
        • ミッションまたはビジネス機能を回復する能力
        • 機能の復旧は段階的にできる
        • 復旧したデータをどれだけ信頼できるか
        • APTは復旧の混乱に乗じて新たな足場を築こうとする
      • 適応力
        • 技術環境、運用環境または脅威環境の予測
        • 技術環境の変化
        • 運用環境の変更
    • これらの能力を実現する8つの目標
      • 予測回避
        • 攻撃成功や不利な条件の実現を防ぐ
      • 準備
      • 継続
      • 抑制
      • 再構築
        • 逆境の後可能な限り機能を回復させる
      • 理解
      • 変形
        • 逆境に対処し県境の変化に効果的に対応するためにミッションやビジネス機能とプロセスを変更する
      • 再設計
      • 攻撃を守ること以外も多い
      • 脅威としてAPTを想定している
        • ダイレクトに攻撃者が悪さをするだけではなく、騙したりする間接的なものも意識している
    • 目的目標を実現するための14の技術
      • 適応的対応
      • 分析的監視
      • 協調的保護
      • 文脈の認識
      • 多様性
      • 動的な位置決め
      • などなど
    • その後50のアプローチもある
    • それぞれガイドラインで確認する
    • これらをサイバーレジリエンスフレームワークと呼んでいる
  • サイバーレジリエンスとは何なのか
    • APTを強く想定し、ビジネス機能を維持する能力にフォーカスしたリスク管理のアプローチ
  • まだまだこれからの領域である

感想

サイバーレジリエンスとは何なのかよく理解できる内容でした。

単純なセキュリティという領域ではないことを踏まえて、フレームワークをよく確認します。