2024年セキュリティの現状:競争が激化するAIの活用
先進的なサイバーセキュリティ対策を推進する組織がどのように課題を克服し、AIを活用してイノベーションを推進し、デジタルレジリエンスを強化しているかをご確認ください。
Splunkは、Forrester、ガートナー、IDCの3社からSIEMのリーダーに選出されました。最新のマジック・クアドラントレポートをダウンロードして、その理由をご確認ください。ダウンロードはこちら→
Splunkのセキュリティ製品とソリューションについて詳しくは、以下の各Webサイトをご覧ください。
サイバーセキュリティの世界では心配事が尽きません。しかし、あれこれと心配する前に、まずはセキュリティにおける「脆弱性」、「脅威」、「リスク」の基本概念をしっかりと押さえておきましょう。
この記事では、セキュリティにおけるこの3つの概念について深く掘り下げるほか、業界エキスパートによる最新の見解をご紹介します。
この3つの用語はよく一緒に使用されますが、サイバーセキュリティにおいては異なる概念を示します。それぞれを1つの領域として考えてみましょう。
このそれぞれについて詳しく説明します。
(関連記事:Splunkのセキュリティに関するブログ)
最初に脆弱性について説明しましょう。脆弱性とは、システム(インフラ、データベース、ソフトウェア)の弱点、欠陥、その他の不備を指します。脆弱性はプロセス、コントロール、実装またはデプロイ方法の中に存在することもあります。
脆弱性にはさまざまな種類がありますが、一般的には次の2つに分けられます。
脆弱性の中には日常的に発生するものもあります。何かをリリースしたらすぐにパッチを公開して、その脆弱性を解消します。「弱点」は、それが検出または認識されていない場合に「問題」になります。弱点を放置すると、攻撃や脅威に対して脆弱になります。例えるなら、玄関の鍵を一晩中開けたままにするようなものです。それ自体は問題ではありませんが、誰かが家に侵入して悪さをする可能性があることが問題です。
脆弱性が増えるほど、脅威が発生する可能性が高まり、リスクが上がります。
それは当たり前のことですが、問題は、規模が大きくなるほど影響も大きくなることです。英国のサーバー/ドメインプロバイダーであるFasthosts社によると、組織によってはサーバーやドメインを数万、場合によっては数百万単位で運用しています。つまり、それだけ脆弱性が生じる可能性があるということです。
IBM社が公開している「2023年データ侵害のコストに関する調査レポート」によると、データ侵害の平均コストは過去最高となる445万ドルに達し、前年比で2.2%増、過去3年間で15%増加していることがわかりました。問題は、攻撃自体が被害を与えるだけでなく、その影響が波及する可能性があることです。たとえばProgress Software社は、2023年に見つかったMOVEit Transferの脆弱性への対応とそこからの回復に今でも取り組んでいます。この脆弱性は、9,400万以上のユーザーに影響を及ぼし、被害総額は150億ドルを超え、現在も増え続けています。
最近話題になった脆弱性には以下のものがあります。
ご興味のある方は、CVEをご覧ください。CVEは、公開された脆弱性やエクスポージャーがまとめられた、セキュリティに関する重要な情報源の1つです。
(関連記事:脆弱性管理のプラクティス(英語))
サイバーセキュリティの世界で最も一般的な「脅威」の定義では、脆弱性を悪用し、システム、データ、人などの機密性、完全性、可用性に影響を与える可能性のある事象を指します。
(機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)は、3つの頭文字を取って「CIA」とも略され、これもサイバーセキュリティの基本概念です)
脅威をさらに他の言葉で定義すると、敵対者または攻撃者が、組織の業務、資産、従業員、顧客に悪影響を及ぼす機会、能力、および意図を持っている状態と言えます。この例としては、マルウェア、ランサムウェア、フィッシング攻撃などが該当します。すでに蔓延しているこれらの脅威は今後も進化し続けるでしょう。
GreyNoise Intelligence社のデータサイエンス担当バイスプレジデントであるBob Rudis氏によると、重要なのは、すべての脅威が同じではないということです。そこで活躍するのが脅威インテリジェンスです。Rudis氏は次のように指摘しています。
「攻撃者に危害を加える意図と能力があっても、機会があるとは限りません」
たとえば、堅固なパッチ管理プログラムやネットワークの強力なセグメント化ポリシーを運用して重要なシステムへの不正アクセスを防止している場合、脆弱性が悪用される可能性は低くなります。しかし現実には、脆弱性が存在する可能性は非常に高いと言えます。そこで次はリスクについて考えてみましょう。
リスクとは、悪質(有害)な事象が発生する可能性と、その被害の潜在的な規模を指します。組織のリスクは、内部要因と外部要因の両方により、時間とともに、場合によっては日単位で変動します。
もう少し技術的に言うと、Open FAIR Body of Knowledgeでは、サイバーリスクを「損失の起こり得る頻度と規模」と定義しています。複雑に聞こえますが、細かく見ていけばわかります。Rudis氏は次のように説明しています。「第1に、抽象的なリスクというものはありません。リスクは、システム、デバイス、ビジネスプロセス、銀行口座、組織の評判、人命など、何か具体的なものが危険にさらされている状態を指します」
そうだとすれば、サイバーセキュリティチームは以下のようにリスクを測定することができます。
最初の定義に従えば、リスクは「結果×可能性」の式で表すことができますが、セキュリティチームがプロセスとインテリジェンスを進化させた場合、導入済みのセキュリティ対策も要因として考慮する必要があります。
少し単純化していますが、リスクを次のように見ることもできます。
脆弱性 x 脅威 = リスク
それぞれの概念を当てはめると、この式が示すのは、1つの脆弱性に、考えられる脅威(頻度、既存のセキュリティ対策、考えられる価値損失)を掛け合わせることで、関連するリスクを推定できるということです。リスクの緩和とリスク管理に取り組むときは、まず、現在抱えている脆弱性とそれらの脆弱性に対する脅威を理解する必要があります。それは簡単なことではありません。
(関連記事:サイバーセキュリティのリスク管理(英語)、リスク管理フレームワーク(英語))
組織としては、データの暗号化などの方法ですべてのデータを保護したいと考えるかもしれません。しかし、そのアプローチは非常にコストがかかるため、本当に保護する必要があるデータのみに対象を絞り込む必要があります。
特定のデータを保護するための方法に何らかの欠陥が見つかった場合は、脆弱性が1つ以上あるというリスクを考えることができます。その脆弱性に気づいて悪用する攻撃者が現れたら、脅威が現実のものとなります。
ここでのリスクは、そのデータを攻撃者に奪われたときに失う価値の大きさということになります。
リスクに関する問題の1つは、どれほど高度なシステムでも、すべての脅威を排除したり、データを完璧に保護することはできないということです。そこで重要になるのがリスク管理のベストプラクティスです。特定の脅威が発生する可能性を最小限に抑えるために、適切な担当者が定期的にリスクを見直す作業を日常業務として継続的に行う必要があります。
リスク管理戦略を策定して脅威に先手を打つための第一歩は、リスクを完全に排除することはできないと認めることです。この点を理解したら、次の5つの重要なステップを含むリスク評価プロセスを構築します。
組織のIT環境とインフラを調査して、業務に影響を与える可能性のある脆弱性を探します。同時に次の作業も行います。
(関連記事:ガバナンス、リスク、コンプライアンス(GRC)(英語))
洗い出したリスクが組織とその業務や目標に及ぼす可能性のある潜在的な影響を評価します。リスクを判断するには、脆弱性が発見、悪用、再現される可能性を中心に、脆弱性が組織に与え得るあらゆる影響を評価する必要があります。
前のステップの結果に基づいて、リスクを軽減するために取り入れるべき最善の対策やアプローチを定義します。リスクの影響に応じて、次のアプローチを選択できます。
このステップでは、発生する可能性のあるリスクを管理および緩和するためのコントロールを設定して、リスクを排除または大幅に軽減します。コントロールには、ファイアウォールの設定、パスワード、多要素認証、暗号化などがあります。実際、2023年には、コントロール対策を実施していた組織は、実施していない組織と比べてコストを約176万ドル節約できたことが明らかになっています。
このステップでは、NIST CSFやFAIR Frameworkなどのフレームワークも役立ちます。
発生した侵害を定期的に文書化してレビューすれば、経験から学びを得て、リスクの評価とコントロールの改善につなげることができます。
脆弱性と脅威を無視すると膨大なコストにつながります。そのため、対策は必須です。リスクを完全に排除することはできず、リスク管理は常に見直しが必要な継続的なプロセスであることを念頭に、効果的なリスク管理評価を定義しましょう。
このブログはこちらの英語ブログの翻訳です。
この記事について誤りがある場合やご提案がございましたら、ssg-blogs@splunk.comまでメールでお知らせください。
この記事は必ずしもSplunkの姿勢、戦略、見解を代弁するものではなく、いただいたご連絡に必ず返信をさせていただくものではございません。
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。