今や、あらゆる企業が何らかのデジタルセキュリティプログラムを導入しています。企業をセキュリティレベルで分類するとしたら、セキュリティリスク管理プログラムを導入しているかどうかではなく、そのプログラムがどれほど先進的な機能を持っているかという観点で分類することになるでしょう。
ただし、どれほど先進的なセキュリティプログラムであっても、企業のインフラと脅威の変化に対応するために、プログラムの見直しと更新を定期的に行うことが不可欠です。ここでは、セキュリティプログラムの評価を継続的に行うすべての企業が検討すべき、5 つの必須要素について説明します。
1. インシデント対応計画
効果的な計画を作成するには、まずはセキュリティ担当者が、セキュリティ対策について十分に理解するとともに、企業が行っている事業について把握しておく必要があります。事業に対する理解が深まれば、セキュリティニーズをより正しく理解できるようになります。
セキュリティ担当者はまた、対応プロセスの実施において事業部門と連携する必要があります。最高情報セキュリティ責任者(CISO)は、プログラムを推進し、インシデントの発生時に適切な情報が適切な事業部門の責任者に確実に伝わるようにする必要があります。セキュリティ
チームと各事業部門の連携が密になればなるほど、インシデントの発生時にうまく連携し、すばやい意思決定を行うことが可能です。
セキュリティとリスク管理の観点から、インシデントの最中に発生するさまざまな攻撃に実際に対応するのはセキュリティ担当者であり、対応方法を知っている必要があります。チームによる対応の効果を高める有効な方法は、セキュリティチームを攻撃側と防御側の 2 つに分けて行うチーム対抗トレーニングです。
次に、セキュリティチームと事業部門の責任者が、セキュリティインシデント対応計画の作成、検討、実施練習に取り組み、セキュリティ攻撃による悪影響を管理する能力を高める必要があります。十分な裏付けに基づく周到に準備されたインシデント対応計画があれば、すばやくインシデントを特定し、想定される被害を低減することが可能です。
2. ネットワークの可視性への投資
企業は、見えない攻撃を阻止することはできません。企業全体の可視化に継続的に取り組み、スキャンとシステム監視によって環境全体を視覚的に確認できるようにしてください。
セキュリティプログラムが有効に機能しているかどうかを常に確認できるようにするには、次の 3 つの柱を構築する必要があります。
- ネットワークに対する既知の脅威の監視
- CISO によって制定されたネットワークポリシーへの違反の監視
- 企業ネットワーク内での異常な動作の監視
企業は、実用的なインテリジェンスを監視活動に利用して、攻撃者や攻撃活動を把握できるようにする必要があります。ネットワークの可視性を高めることは、攻撃の特定とネットワークの保護のどちらにとっても不可欠です。このような高い可視性の実現に役立つテクノロジーが、市場で複数提供されています。
3. セキュリティ基準の適用
信頼している第三者とデータを共有するにあたっては、脅威インテリジェンスの機能を構築することが重要です。第三者とデータをやり取りする(データの送信を行う場合、受信を行う場合、送受信を行う場合を含む)には、まずその基準や双方に求められることについて、文書で十分に記述された形で合意を行う必要があります。企業ネットワークでのデータの送受信は、その企業のセキュリティポリシーに従って行うことが常に求められます。また、どの程度厳しいセキュリティ基準を送受信方法に適用するかは、情報の機密度によって決めるべきです。このような合意は、時間の経過とともに、またはニーズが変化したときに内容を見直し、常に最新で適切なものに変える必要があります。
4. 敵の戦術の理解
セキュリティチームは、敵のツール、戦術、行動について実用的で実践的な知識を持ち、セキュリティ担当者が攻撃者の観点から環境を見渡すことができるようにしてください。セキュリ
ティ担当者は、攻撃からの防御方法だけでなく、最も一般的な攻撃のしくみを理解する必要があります。最新のハッキングツールのシミュレーションやリバースエンジニアリングを通じて、セキュリティチームは攻撃への対応方法を体得することができます。
残念なことに、攻撃者は、どのようなアプリケーション開発ルールの規定にも従いません。つまり、攻撃者は、発見されないようにするために次々に戦術や戦略を変えてきます。そのため、さまざまな種類の攻撃に対してシミュレーションやリバースエンジニアリングを行うという困難な取り組みが重要になるのです。
5. 従業員の意識の向上
セキュリティ意識向上トレーニングを実施して、職場にいるすべての人がセキュリティに対して明確な責任を担う「人間によるファイアウォール」を、企業の中に構築する必要があります。セキュリティシステムに対する侵入テストは、ネットワークに対する既知の脅威を監視するには役立ちますが、このようなテストだけでは十分ではありません。
ハッカーが情報を入手するためによく行う方法は、大胆なソーシャルエンジニアリングの手口によって、企業の防御態勢を破ろうとするものです。攻撃者は、サービスプロバイダの IT 部門のスタッフのふりをしてカスタマサービスの窓口に電話をかけたり代表メールアドレスにメールを送ったりして、情報を入手しようとします。「インターネットセキュリティ脅威レポート: 2014 年版」によると、業界ではこの種の攻撃が 91% 増加しており、攻撃者が侵入に利用する最も一般的な手法となっています。セキュリティ意識向上トレーニングの対象にカスタマサポートのスタッフを含めれば、ソーシャルエンジニアリング攻撃の威力を弱めることができ、企業の安全性はさらに高まるでしょう。
結論
企業のセキュリティプログラムの一環として、適切なトレーニングと連携を行いましょう。そうすれば、攻撃に対する企業の意識が高まり、適切なソリューションを適切なタイミングで適切な人が活用できるようになり、全体的な被害を最小限に抑えることができます。
Source: (Tarun Sondhi)