ビジネスニーズとセキュリティの脅威を特定する

学習の目的

この単元を完了すると、次のことができるようになります。

• ビジネスニーズを特定し、組織のビジネス計画とサイバーセキュリティ計画を緊密に連携させる方法を説明する。
• 設計段階からセキュリティが組み込まれたシステムを開発するために、最新の脅威、侵害、脆弱性を特定する方法を説明する。

ビジネスニーズとクリティカルなアセットを特定する

セキュリティアーキテクトの目標は、セキュアなテクノロジーを駆使してビジネス課題を解決することです。ビジネスが利益の増大、カスタマーサービスの向上、新商品の市場投入時間の短縮を実現できるセキュアな IT システムを組織が設計してデプロイできるようにします。セキュリティアーキテクトはビジネスリーダーと協力してそのニーズを把握し、極めてシンプルながら最もセキュアなテクノロジーを使用してビジネス課題を解決します。ビジネス全体のチームメンバーと協力して、早い段階でセキュリティ要件や成功評価指標を設定し、各人がビジネスにどのようなコントロールが必要なのかを理解できるようにします。 

まず、どのフレームワークが組織のセキュリティ要件に適合するかを判断します。業界の要件に基づいて、組織が遵守すべき規制を検討します。代表的な例として、一般データ保護規則 (GDPR)、ペイメントカード業界データセキュリティ基準 (PCI DSS)、米国標準技術研究所 (NIST) のサイバーセキュリティフレームワークなどが挙げられます。 

次に、組織で保護する必要があるクリティカルなアセットを特定します。続いて、機密性が最も高い組織の情報を保護するセキュリティコントロールを設計してデプロイします。コントロールには次のようなものがあります。

• ネットワークセグメンテーション: IT 環境をよく似たリスクごとにまとめたゾーンに分割し、ゾーン単位で保護を実施します。
• 境界保護: ネットワークの外周にコントロール (ファイアウォール、侵入検知システムなど) を実装して、悪意のある攻撃者を排除し、貴重な情報を境界内で保護します。
• 認証や承認パターン: ユーザーとそのデバイスが業務の遂行に本当に必要な情報のみにアクセスできるようにします。
• ゼロトラストアーキテクチャ: ユーザー、デバイス、データなどのあらゆるレベルで組織をセキュリティ保護します。

クリティカルなアセットを特定するときは、環境にどのようなテクノロジーが存在し、どのように連携するよう設計されているかを理解する必要があります。大半の組織のテクノロジーアーキテクチャは非常に複雑で、各種のベンダーの幅広い製品で構成され、旧式のレガシーシステムと新しいデプロイメントが混在しています。かつてはほぼすべての組織がオンプレミスネットワークの境界の保護に重点を置いていましたが、今日では大半の組織がモバイルデバイスやクラウドテクノロジーまで拡張された環境を保護する必要があります。情報アセットが組織の四方の壁に囲まれているという時代は過ぎ去りました。 

サイバーセキュリティアーキテクトの仕事は、航空管制官のようなものと考えることができます。航空管制官は、乗客や乗務員の安全を確保するために、着陸する航空機と離陸する航空機を特定し、どこから離陸し、どこを通過し、どこに着陸するかを図示します。サイバーセキュリティアーキテクトも同様に、情報がコンポーネント間をどのように移動するかを理解するために環境を図示します。ダイアグラムを使用してデータがどこを通過すべきで、別のルートに流れないようにするにはどうすればよいかを表します。データがどこに保存され、どのシステム間に連動関係が存在するかを見極めます。 

続いて、最も価値が高いシステムに優先順位を付け、さらに検討します。組織にすべてのシステムのアーキテクチャを評価するだけのリソースがある可能性は低いため、機密性、整合性、可用性 (CIA) の喪失によって大きな影響を被る特に貴重なシステムにリソースを集約します。攻撃が成功する確率を検討し、現在のアーキテクチャの欠点で、更新が必要となるものを優先順位に基づいて特定する脅威モデルを作成します。変化に対応するアーキテクチャを構築するために、組織に将来どのようなテクノロジーが必要になるか検証します。ここでの目標は、組織が CIA の目標を達成すると同時に、ビジネスが必要な情報にアクセスできる情報フローを特定して設計することです。

この分析の最終結果が、テクノロジープロダクトの仕様を実装するためのポリシー、プロセス、テクノロジー要件、原則、モデルを記載した企業の情報セキュリティアーキテクチャ計画になります。経時的な変化に対応させるために、この計画には現時点における中間的な対象アーキテクチャの概要が示されます。次は、セキュリティというパズルのもう 1 つの重要なピースである「敵対者の理解」について掘り下げていきます。

新たな脅威、脆弱性、インシデントを特定する

やり手のサイバーセキュリティアーキテクトは、常に新たな脅威や脆弱性、インシデントのトレンドを調査して最新情報を把握し、組織が攻撃者の一歩先を行き、セキュリティがあらかじめ組み込まれたシステムを開発できるようにします。先に進む前に、用語の意味を定義しておきましょう。

• 脅威: 組織のアセットに悪影響を及ぼす可能性がある自然な状況や人為的な状況です。たとえば、サイバー犯罪者がデータベースへの不正なアクセスを可能にするフィッシングメールを使用して、ユーザーにマルウェアを配信することがあります。
• 脆弱性: 米国標準技術研究所 (NIST) は、脆弱性について、情報システム、システムセキュリティ手順、内部コントロール、実装に潜む弱点で、脅威の攻撃者が悪用したり、その出発点にしたりするおそれがあるものと定義しています。たとえば、一般公開されているデータベースに既知の脆弱性があり、パッチが適用されていなければ、敵対者がそのデータベースに不正にアクセスしてしまう可能性があります。
• インシデント: 情報アセットの CIA を侵害するセキュリティイベントです。たとえば、ユーザーがモバイルデバイスを紛失すれば、攻撃者がそのデバイスを使ってメールにアクセスできます。

コンサルティング企業のサイバーセキュリティアーキテクトである Hans の職務は、組織が効率的なセキュリティソリューションを配備できるようにすることです。Hans は攻撃者ならばどうするかと考え、常に攻撃者の一歩先を読み、クライアントがネットワークやシステムのセキュリティを強化できるようにしています。毎朝、まず新たな脅威、脆弱性、インシデントについて調べ、常に最新のインテリジェンスを把握しているようにします。

Hans が使用しているツールの 1 つが脅威モデリングで、特定の IT 環境の脅威や脆弱性を特定し、それを悪用する手口を見つけ出します。たとえば、このシステムに侵入したいと考えるのは誰か、どのような手口を使う可能性があるか、その動機は何かと思案します。 

Hans は攻撃者ごとに目的が異なり、それに応じて手に入れようとする情報や標的にするシステムも異なることを認識しています。組織が属する業界や組織が保有するデータに応じて、攻撃者の関心が知的財産の侵害であることもあれば、社会保障番号のような個人識別情報 (PII) の窃取である場合もあります。潜在的な敵対者が、正当なユーザーによるシステムの利用を拒否したり、ランサムウェア攻撃のように情報を人質に取ったりして、システムを妨害する可能性についても懸念します。では、こうした脅威ベクトルと脆弱性について見ていきましょう。 

• インサイダー脅威: 内部の従業員による組織への脅威です。この種の脅威は通常、特権ユーザーがその権限を悪用して不正な操作を実行する場合に発生します。他方、意図的でない場合もあります。たとえば、従業員が機密情報を間違った顧客にメール送信してしまった場合などです。
• ランサムウェア: マルウェアを使用してビジネスに不可欠なシステムを標的にする攻撃で、ファイル、サーバー、データベースを暗号化した後、暗号化を解除してアクセスを復元することと引き換えに身代金を要求します。
• サイバーセキュリティ保護のばらつき:「セキュリティこそが攻撃の狙い目」と言われることがあります。攻撃者はビジネスネットワークの中で一番脆い防御策を探り、侵入口を見つけ出します。1 つのシステムまたはビジネスユニットの防御が甘ければ、組織全体が危険にさらされるおそれがあります。
• パッチが適用されていないセキュリティ脆弱性/バグ: 既知の脆弱性に修正プログラムがあるのに適用していなければ、ビジネスネットワークが外部の攻撃や侵害にさらされている状態になります。
• 分散型サービス拒否 (DDoS): 被害者のネットワークリソースを過剰に消費して、そのネットワークの正当なトラフィックを処理不能にします。たとえば、ある国が別の国の失業システムを大量の虚偽の要求で溢れさせるような場合です。

上記の攻撃は、サイバーセキュリティアーキテクトが組織のシステムを保護する最善な方法を検討するときに考慮する脅威、脆弱性、インシデントの数例に過ぎません。Hans は、ビジネスが直面するあらゆるサイバー脅威に対処できる 1 つの「特効薬」的なソリューションなど存在しないことを知っています。けれども、進化する製品やテクノロジーのトレンドを常に把握し、組織が防御策を組み合わせてセキュリティ体制を最大限に強化できるようにサポートしています。次の単元では、こうしたコントロールをデプロイして組織を保護する方法について詳しく説明します。 

習得度チェック

では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点対象ではありません。次のパラグラフの空欄に、ドロップダウンに設定されている選択肢から適切な語句を選択します。すべての空欄に語句を選択したら、[送信] をクリックして習得度をチェックします。もう一度挑戦する場合は、[再開] をクリックしてください。

おつかれさまでした。ところで、どの防御策を設置するかはどのように決めるのでしょうか? 組織が多層化セキュリティアプローチを実装するにはどうすればよいのでしょうか? セキュリティソリューションを組織全体にデプロイする場合はどのように行うのでしょうか? 次の「多層化セキュリティ機能を使用する」単元で、上記の各質問を掘り下げていきます。

リソース

• 外部サイト: Verizon: 2022 Data Breach Investigations Report (2022 年データ侵害調査レポート)
• 外部サイト: Software Engineering Institute: Carnegie Mellon University: Cybersecurity Architecture, Part 2: System Boundary and Boundary Protection (サイバーセキュリティアーキテクチャパート 2: システムの境界と境界保護)