サイバー攻撃は連日ヘッドラインを賑わせており,重要なインフラやその他の産業組織は,早急に対策を講じなければならない状況にある.
どのようなスピードでもサイバー耐性を構築することは,組織のセキュリティ・チームに大きなプレッシャーを与える.サイバー防衛には専門的な知識が必要であり,その知識習得には時間とトレーニングが必要であるだけでなく,熟練したサイバー専門家の数も十分ではない.
最前線に立つ限られた数のセキュリティ専門家が燃え尽きる危険にさらされているのだろうか.
戦い(と優先事項)を賢く選択する
産業組織向けのサイバーセキュリティソリューションの構築に携わるエンジニアとして,私はセキュリティ担当者のストレスレベルがこの1年で大幅に加速しているのを目の当たりにしてきた.3,000人以上のCISOとセキュリティの意思決定者を対象とした最近の「2019年のサイバーセキュリティ」調査1では,サイバーセキュリティの専門家の37%が現在の仕事量を処理できないと感じ,3分の2がサイバー脅威の重圧のために仕事を辞めることを検討していることが分かった.
状況は複雑なので,この問題についての私の考えと,それに対して何ができるかを分かち合いたい.
サイバーセキュリティの専門家が直面している3つの重要な問題を紹介しよう:
I.サイバー脅威とリスクは日々変化している.残念ながら,オペレーション・テクノロジー(OT)チームには,効果的な対応を効率的に指揮するためのツールやリソースがあるとは限らない.
例えば,ある一般的な活動であるパッチ管理は,グローバルな組織において膨大なリソースを消費している.しかし,私たちは本当に "この対応戦略は持続可能なのか?"と自問する必要がある.私はそうは思わない.まず第一に,システム全体に致命的な脆弱性が数多く残っていることを考えると,その場しのぎのパッチがリスク低減に実質的な影響を与えるかどうかは疑問だ.
II. サイバー脅威はサイバーセキュリティ・スタッフに影響を与えるだけでなく,エンジニアにも産業用制御システムの安全確保やセキュリティ制御の計画・実装の支援が求められている.
問題は,SOCチームとITサポート・スタッフが,IT/OT の融合によって,セキュリティの対象が2倍になったことだ.ますますネットワーク化されるOT 環境を管理し,セキュリティを確保するためのエンジニアリングのスキル・ギャップと組み合わさると,ITとセキュリティの専門家にさらなる負担がかかることになる.
III.リソースは限られ,脅威とリスクは指数関数的に増大し,組織は何が自分たちの至宝であるかが明確になっていない.産業経営者は,短期的,中期的,長期的に最も価値のある資産をどのように確保するかについて,戦略的な視点を持っていないことが多い.
それはなぜか.なぜなら,拡大し続けるセキュリティ・サーフェスを管理するセキュリティ組織は,通常,認識したリスクに基づく反応的な活動に終始しているからです.これは,減速も停止もしないルームランナーのようなものです.立ち止まっているためには,もっと速く走らなければならないと思っているのです.
このサイクルを断ち切ることが,持続可能なサイバーセキュリティプログラムを構築する鍵である.リスクに対処するために管理策を導入する際,企業は一度立ち止まって,リスクを軽減するもっと良い方法はないかと自問すべきである.明日の脅威に対処するために,継続的なセキュリティ管理を提供するためにできることはないだろうか?
組織全体のサイバー・レジリエンスを構築する
1.サイバーセキュリティのベストプラクティスを採用する
リアクティブからプロアクティブに移行するには,NISTサイバーセキュリティフレームワーク,NIS指令,IEC 62443,ISO 27000で概説されているようなベストプラクティスの採用を検討する.NISTは,サイバーリスクに対処するための運用プロセスに組み込むことができる5つのセキュリティフレームワーク機能(特定,保護,検知,対応,復旧)をマッピングしている.特定には資産管理やリスク評価が含まれ,検知には継続的な監視や異常やイベントに対する洞察などが含まれる.
2.サイバーセキュリティ・リスクをスコア化する
組織は,特定の脆弱性や一般的な弱点に対する自分たちの曝露レベルを迅速に把握し,理解することができなければならない.そのためには,CVE(Common Vulnerability and Exposures)手法を用いた効果的なリスクスコアリングが有効である2.これを行うには適切なツールが必要である.なぜなら,OT 環境の奥深くまで見通すことができなければ,CVE スコアリングを各特定環境のコンテキストを反映するように適合させることは本当に難しいからである.Nozomi Networks Guardian ソリューションは,組織全体にリスクベースの決定を明確に伝える能力とともに,この深いレベルの可視性を提供する高度に視覚的なツールである.
3.ガバナンスモデルの確立,セキュリティ人材の育成
サイバーセキュリティには,人,プロセス,テクノロジーが関与していますが,セキュリティ管理プログラムの最大の部分を占めるのは人です.人が生み出す運用リスクの例としては,脆弱なパスワードの使用,デバイスの設定ミス,退社後の契約者のアクセス権の削除忘れなどがある.事故は起こるものであるため,サイバーセキュリティ・ガバナンス・ポリシーとプログラムを日常的な会社生活に組み込むことが極めて重要である.
コーポレート・ガバナンスだけでなく,セキュリティ・チームのサイバー・スキルを常に最新のものに保つことも重要です.残念ながら,多くのセキュリティ担当者は,現在の脅威に対応することに集中しているため,スキルを向上させる時間がありません.
しかし,最近のSANS 2019 Cybersecurity Research Surveyによると,組織の3分の1がIT,OT ,およびハイブリッドIT/OT の担当者のためのサイバーセキュリティ教育とトレーニングへの投資を計画していることがわかった.Nozomi Networks Certified Engineer Trainingコースのようなプログラムは,ITおよびOT 担当者のサイバーセキュリティ知識を向上させるための素晴らしい第一歩となる.
ハッカーは,ゲームの先を行くために,ツール,戦術,手順(TTP)の間を常に移動しており,セキュリティの専門家は,しばしば一歩かそれ以上遅れている.では,最善の解決策は何かというと,週に1日「自己啓発」の時間を取ることだろうか.悲しいことに,これは多くの人にとって選択肢ではありません.そこで次のポイント,テクノロジーを活用することだ.
4.テクノロジーの活用
テクノロジーは,脅威の状況の変化に応じて,従業員が手順に従い,適応できるよう,従業員に権限を与えるために使用されるべきである.しかし,プロアクティブなセキュリティ態勢の構築に役立つ技術の評価と調達のサイクルは,特にOT では,12~24 カ月もかかることがある.この間,セキュリティ担当者は,認識されたリスクや脅威に対応するためにリソースを消費し続ける.
しかし,良いニュースもある.AIと機械学習は現在,サイバーセキュリティの持続可能な未来を構築する上で極めて重要な役割を担っており,組織は先進技術の選択に大胆になってきている.例えば,Nozomi Networks ソリューションは,リアルタイムのOT 可視化,脅威検出,サイバーセキュリティを自動化し,ITおよびOT セキュリティスタッフの負担を軽減する.
トレーニング,優先順位付け,テクノロジーを通じて,燃え尽き症候群とサイバー・リスクを軽減する
セキュリティー・プロのメルトダウンの危険が迫っているのだろうか?それはわかりませんが,一つだけ確かなことがあります.燃え尽き症候群になると,高度なスキルを持つ希少なリソースが非効率になり,悪意のある活動の重要な指標を見逃してしまう可能性があります.こうしたことはすべて,不正確な評価や,リスクに対処するための管理策に関する積極的なガイダンスを提供できないことにつながり,ハッカーやサイバー犯罪者に対してキャッチアップをするという終わりのないサイクルを永続させることになる.
組織は,(1) より多くのリソースを獲得し訓練する,(2) より大局的な優先タスクに集中する,(3)Nozomi Networks のようなリアルタイム ICS 可視化およびサイバーセキュリティソリューションを活用して,利用可能な限られた人的リソースをサポートすることによって,リスクを軽減することができる.
Nozomi Networks が貴社のサイバー耐障害性構築にどのように役立つかをお知りになりたい場合は,当社までご連絡ください.
- 業界レポート「2019年のサイバーセキュリティ:恒久的な厳戒態勢に終止符を打ち,複雑さを軽減する旅に出よう」,シマンテック,2019年
- 業界ブログ「CVE採点システムの仕組み」テックリパブリック2019年6月号
