【資料公開】進化し続けるサイバーセキュリティ脅威を防ぐSaaSソリューション – Showcase Security 2023
2023年2月28日に開催したクラスメソッド社イベント Showcase Security 2023 のセッション 「進化し続けるサイバーセキュリティ脅威を防ぐSaaSソリューション」 に登壇しました。その時にお話させていただいた資料の公開と、ポイントについてブログで紹介させていただきます。
登壇資料
登壇資料目次
- データで見るサイバー攻撃
- サイバーセキュリティ戦略をたてるには
- お客さまにおけるセキュリティ課題
最近のサイバー攻撃の状況
IPAやIBMセキュリティのレポートを基にサイバーセキュリティの攻撃の種類毎の被害額や、件数の多い侵入経路を調べてみると、以下のような結果になりました。
被害額の多い攻撃の種類
- ランサムウェア
- サーバーアクセス
- BEC(ビジネスメール詐欺)
件数の多い侵入経路
- フィッシング
- 脆弱性の悪用
- 資格情報の盗用
参考元のレポート(IPA 情報セキュリティ白書2022 、IBMセキュリティ 2022年データ侵害のコスト 、IBMセキュリティ X-Force脅威インテリジェンス・インデックス2022)
ランサムウェアの脅迫タイプも凶悪性が増し、以前はデータの暗号化によるサービス停止やデータの損失に対して身代金を要求する単一脅迫が主流だったものが、それに加え情報を暴露することに対して身代金を要求する二重脅迫、さらにDDoS攻撃に対して身代金を要求する三重脅迫、被害者の顧客や利害関係に対しても情報暴露を脅迫する四重脅迫のような手口に変化しています。
これらの調査結果のように、サイバー攻撃を受けた時の被害はビジネスの存続に直結して関わるケースもあり、セキュリティリスクはビジネスリスクとして捉え、企業にとって必要なサイバーセキュリティ戦略をたてる必要があるといえます。
NIST CSF(サイバーセキュリティフレームワーク)を活用したサイバーセキュリティ戦略
NIST(アメリカ国立標準研究所)は情報技術に関する研究を行い、セキュリティに関するガイドラインや標準規格の文書を発行しています。日本でも多く参考にされており、様々な団体が翻訳活動をしたり、IPAでは一部の文書をウェブページで公開しています。
このガイドラインの中の一つに、サイバーセキュリティ上のリスクマネジメントの改善と効果的なサイバーセキュリティ戦略を立てるためのフレームワークとして NIST CSF(サイバーセキュリティフレームワーク)があります。NIST CSF では3つの要素から成り立っています。
- フレームワークコア
- フレームワークインプリメンテーションティア
- フレームワークプロファイル
フレームワークコア
フレームワークコアは、すべての分野の共通となるサイバーセキュリティ対策、対策によって期待される成果、適用可能な参考情報をまとめたものです。5つの機能を総合的に考慮することによって、サイバーセキュリティのリスク管理を高度かつ戦略的にとらえることができるようになる利点があります。
| 機能 | 説明 |
|---|---|
| 識別 ID | システム、人員、資産、データ、機能に関するサイバーセキュリティリスクの管理状況を把握し、どこにどのようなリスクがあるかを識別 |
| 防御 PR | ID管理やアクセス制御、データセキュリティ、トレーニング、保守、保護技術に関するセキュリティ対策 |
| 検知 DE | 異常とイベント、セキュリティの継続的なモニタリング、検知プロセスなどセキュリティイベントの発生と識別 |
| 対応 RS | 検知したサイバーセキュリティインシデントへの対策(対応計画、コミュニケーション、分析、低減、改善など) |
| 復旧 RC | 検知したサイバーセキュリティインシデントで阻害された機能やサービスを元に戻すための復旧計画や手順、改善、コミュニケーションに関する対策 |
フレームワークコアはさらに細かく3〜6個のカテゴリーに分かれていて、そのカテゴリー内でも3〜6個のサブカテゴリーに分かれていきます。
| 機能 | カテゴリー | サブカテゴリー |
|---|---|---|
| 識別 ID | 資産管理 AM | ID.AM-1: 組織内の物理デバイスとシステムの一覧を作成している |
| ID.AM-2: 組織内のソフトウェアプラットフォームとアプリケーションの一覧を作成している | ||
| ・・・ | ||
| ビジネス環境 BE | ID.BE-1: サプライチェーンにおける自組織の役割が、識別され、周知されている。 | |
| ・・・ | ||
| ガバナンス GV | ||
| ・・・ | ||
| ・・・ |
フレームワークの実装レベル(フレームワークインプリメンテーションティア)
フレームワークインプリメンテーションティアは組織がサイバーセキュリティリスクをどのようにとらえているか、フレームワークで定義されている特性をどの程度まで達成できているかを定義することができます。ティアの選択には、組織ごとの現在の対策状況、法律やビジネス上の要求事項、事業目的・ミッションを考慮して決定していきます。
フレームワークプロファイル
フレームワークプロファイルは、フレームワークコアのカテゴリー及びサブカテゴリーのうち選択した対応すべき項目に対して、現状のセキュリティ状態と目標となるセキュリティ状態をまとめていく作業をしていきます。
NIST CSF ではフレームワークプロファイルの考え方についての記述はありますが、特定のテンプレートは用意されていません。理由としては組織によって環境、特性、戦略が異なり、プロファイル作成方法に柔軟性を保つためとしています。プロファイル作成の一例として、フレームワークの各項目を基に現状の取り組み状況と目標のセキュリティ状態を書き込み、ビジネス上のミッションや費用対効果を考慮して、各項目の優先度づけを記入したものが考えられます。目標のセキュリティ状態を決定していくための具体的な対策方法については、フレームワークの参考情報を活用することができます。参考情報の参照先には、CIS CSC(CISコントロールズ)、ISO 27001、NIST SP 800-53(セキュリティおよびプライバシー管理の管理策)があります。各標準規格の参照するべき項目が示してあるのでそちらを参考に具体的な対策内容に落とし込んでいくことができます。
| 機能 | カテゴリー/サブカテゴリー | 現状のプロファイル | 目標のプロファイル | 優先度 |
|---|---|---|---|---|
| 識別 ID | AM-1 | (ティア2): 資産管理ツールは内部・外部のネットワーク機器の資産を識別。PC、仮想デバイス、プリンターの製造元、端末種別・モデルを識別 | (ティア3): 資産管理ポリシーを文書化して、自動化ツールを有効的に使いながら資産の棚卸しを実施。全ての資産に対して十分な情報で管理(物理、仮想、設置場所、機密レベル等) | 中 |
| AM-2 | 高 | |||
| ・・・ | ||||
| 防御 PR | ・・・ | |||
| 検知 DE | ・・・ | |||
| 対応 RS | ・・・ | |||
| 復旧 RC | ・・・ |
お客さまにおけるセキュリティ課題 〜 ECサイトのセキュリティだった場合(一例)
今回取り上げたサイバー攻撃の調査結果からなぞって、ECサイトを運営する組織に対する攻撃パターンを一例としてあげてみました。
調査結果では、侵入経路の上位に脆弱性の悪用・資格情報悪用・設定ミスの悪用がありました。
脆弱性の悪用ではOS・アプリケーション・コード・コンテナなど、さまざまなところに存在している脆弱性をついて侵害されてしまいます。
盗まれた資格情報の悪用では、最もケースとして多いのが過去に漏洩したパスワード情報が闇サイトで取引され、そのパスワードを使って侵害されることです。更に悪いことにパスワードの使いまわしや脆弱なパスーワードを設定していた場合、侵害される可能性は高くなってしまいます。
設定ミスでは、特にクラウドサービスでの過大なパーミッションが原因で侵害されることがあります。(例:S3アクセスがパブリックで公開されている、APIの権限が過剰に設定されているなど)
これらの侵入経路が最終的にランサムウェア被害などの甚大な被害を引き起こすインシデントにつながっていく可能性があります。また、DDoSによるサービス停止もビジネス損失に大きくつながります。
NIST CSF のそれぞれの機能を強化するセキュリティSaaSを紹介
Snyk
Snyk では主に識別・検知の機能を提供しています。Snyk はソースコードを静的解析することによって、コード自体のセキュリティ欠陥やコード内のオープンソースライブラリ(Python、Ruby、.Netなど言語ごとのライブラリ)の脆弱性を検知し修正することができます。
Snykをもっと知りたい方はこちらも
CGPM (Cloud Guard Posture Management)(旧Dome9)
CGPM では主に識別、防御、検知の機能を提供しています。この製品は CSPM(Cloud Security Posture Management)というクラウド上の設定ミスを検知・管理するソリューションを主軸にサービスが拡張されています。AWSだけでなく、Azure、Google Cloudを対象に組織が定めるコンプライアンス・セキュリティポリシーに準拠しているかを一元的に管理することができたり、複雑になりがちなクラウド上の権限とエンティティ間の結びつきを、可視化して、より把握しやすいようセキュリティ管理を助けてくれます。
CGPMをもっと知りたい方はこちらも
イエラエセキュリティ
イエラエセキュリティ は主に識別、検知、対応の機能を提供しています。イエラエセキュリティ は有人による各種診断サービスを提供しており、診断対象はプラットフォーム問わず、アプリケーション・コンテナ・コードなど様々な脆弱性診断をヒヤリングシートベースでお客さまとやりとりし、定期またはスポットで実施することができるサービスです。
その他、実践型のペネトレーションテストによる組織全体のセキュリティ上の弱点のあぶり出しや、インシデント発生後のフォレンジック調査対応も行っております。
イエラエセキュリティをもっと知りたい方はこちらも
Okta CIC(Customer Identity Cloud)(旧Auth0)
Okta CIC(旧 Auth0)は、主に防御機能を提供しています。ECサイトや会員ページなど顧客向けログイン認証機能をノーコードで実装することができます。Okta CIC は多彩な認証オプションによるセキュリティ強化やUI画面のカスタマイズ性も高く、エンタープライズが必要とする顧客向けの認証機能を簡単に導入することができます。認証オプションではパスワード侵害の検出、ボットやブルートフォースを検知した際の CAPTCHA 機能、デバイス認証、リスクベース認証など幅広く実装することができます。
Okta CIC をもっと知りたい方はこちら
WafCharm
WafCharm は、主に検知の機能を提供しています。AWS WAF などのマネージドWAFの支援ツールとして、WafCharmは OWASPトップ10 対応のマネージドルールを提供しています。また 24/365 による電話でのサポート体制や誤検知チューニング、ルールの設定代行を行います。Azure、Google Cloud のWAFサービスにも対応しています。
WafCharm をもっと知りたい方はこちらも
TrendMicro CloudOne
TrendMicro CloudOne は、主に検知と対応の機能を提供しています。CloudOne Workload Security ではホスト型のIPSソリューションを提供しています。ルールベースのIPS機能に加え、機械学習型による不正プログラム検出、仮想パッチによる応急的な脆弱性への対応を行うことができます。またアプリケーション層のDDoS攻撃を検知したり、ホスト内の不審なプログラムの駆除を行うことができます。
TrendMicro CloudOne をもっと知りたい方はこちらも
Sumo Logic
Sumo Logic は一元的なログの記録と分析のための機能を提供しています。他のさまざまなセキュリティサービスやシステムのログを統合し、攻撃の全体像を把握する包括的な分析を行うことで、防御〜復旧までの機能を支援することができます。
Sumo Logic をもっと知りたい方はこちらも
PagerDuty
PagerDuty はオンコール管理のSaaSサービスとして主に対応・復旧の機能を提供しています。対応・復旧ではインシデントの際に必要な各関係者との円滑なコミュニケーションが重要な役割として位置づけられています。大量に発生するセキュリティアラートの自動仕分けや、階層的なエスカレーションの自動化、様々なインシデント対応に含まれるコミュニケーション機能を支援することができます。
PagerDuty をもっと知りたい方はこちらも
お客さまにおけるセキュリティ課題 〜 リモートワークのセキュリティだった場合(一例)
今回取り上げたサイバー攻撃の調査結果からリモートワークのセキュリティを考えると、フィッシングメールやBEC(ビジネスメール詐欺)、VPNなどの脆弱性の悪用に対する攻撃が考えられます。
またフィッシングには、インターネット上の改ざんされたウェブサイトや、組織が利用しているSaaSサービスへの不正アクセスなどによって巧妙に誘導されていくことが考えられます。
こういった攻撃に対して、セキュリティSaaSサービスではどう守っていくか見ていきたいと思います。
Cloudflare / Cloudflare Zero Trust
Cloudflare / Cloudflare Zero Trust では主に識別、防御、検知の機能を提供しています。
Cloudflare Zero Trust では、ゼロトラストアーキテクチャの考えのもと、リモートワーク環境や、ビジネスで利用しているSaaSサービスのセキュリティを守ることができます。シャドーITを識別する機能や、インターネットへの接続や社内外問わないロケーションから自社サイトへのアクセスを、ユーザー認証だけでなくデバイスのセキュリティ状態や接続元のロケーションなど複数の条件によって厳密なアクセス制御をかけることを可能とします。
また、メールセキュリティソリューションである Cloudflare Area 1 では、メールフィルタをはじめBECに対するセキュリティを高めることが可能となっています。
その他 Cloudflare は CDN や WAF、DNS市場においても大きなシェアを持っています。イメージ図としては先程のECサイトの例が合っているが、DDoSやボットへの対策、ウェブアプリケーションへの脆弱性をついた攻撃に対してセキュリティを高めることができます。
Cloudflare をもっと知りたい方はこちらも
Cloudflare Zero Trust をもっと知りたい方はこちらも
SaaS活用に関するまとめ
高度化するサイバー攻撃が増える中で、費用対効果が高いサイバーセキュリティ戦略を立てることが必要となってきています。NIST CSF を参考にすることで網羅的に自組織のセキュリティ取り組みの状態を把握して、自身のビジネス優先度に照らし合わせて、最も取り組むべきセキュリティ対策を選んでいくことが可能となります。
今回様々なセキュリティSaaSサービスをご紹介しましたが、全てを導入する必要はありません。
自社のビジネスを基にリスクが引き起こすインパクトと可能性から優先度を考え、適材適所のサービスを導入検討されるヒントにしていただければと思います。
![[情報セキュリティ白書2024] 2023年度に観測されたインシデント状況-世界における情報セキュリティ インシデント状況 を読んでみた](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-d04d6559902b029dfcc7208ba2118f4e/bb1510ea9d4b513cc920cd8f24107f4a/Security-1200x630-1.jpg)
![[レポート]NGate:NFCを中継してATMから不正引き出しを行う新型Androidマルウェア – CODE BLUE 2024 #codeblue_jp](https://images.ctfassets.net/ct0aopd36mqt/Zons7RQD2xcZVq9pUY8Dp/4d05341e17a1eb3ccf108b25f8044b03/eyecatch_codeblue_2024_1200x630.png)
