公的セクターの革新的リーダーが押さえておくべきポイント6つ
ThoughtLabがリリースした最新のサイバーセキュリティベンチマーク調査から、サイバーセキュリティがあらゆる業界の重要なターニングポイントとなっていることが明らかになりました。調査対象となった公的セクターの組織の60%は、米国国立標準技術研究所(NIST)の分類で“中程度の実装レベル”相当のスコアをマークしました。しかし、デジタルトランスフォーメーションやリモートワーク、プラットフォームエコノミー、IoT、マルチクラウド、組織化したサイバー犯罪、サイバーテロ、新たな法的規制など相互に増幅するメガトレンドを背景に、サイバーセキュリティを取り巻く状況はかつてないほど複雑化しています。
同じ調査で34%の組織が「急速に変化する脅威のランドスケープに対し、この組織が十分に準備できているとは言えない」と回答したことも、さほど意外ではありません。
デジタルリスクが上昇の一途をたどる現在、公的セクターのリーダーがサイバーセキュリティパフォーマンスを強化するために、どのようなポイントを押さえておくべきなのでしょうか。本記事では、冒頭の調査で明らかになった6つの実践的なインサイトについて解説します。
誤設定を解決する
公的セクターの組織では業務のデジタルトランスフォーメーションが進み、多くの現場に新規の設定や継続的な更新が必要となる新しいプラットフォーム、あるいはシステム、サーバー、アプリが導入されています。このような変化に伴い、過大な業務を抱えるチームやリソースが不足しているチームでは誤った設定を行うケースも増えています。サイバー犯罪者がそのような誤設定に気づけば、当然すぐに行動を開始します。
冒頭の調査では、直近2年間に公的セクターの組織が被った攻撃の中で根本原因の49%を誤設定が占め、最も顕著な原因となっていることが判明しました。誤設定は看過できない課題です。被害が生じる前に誤設定を検出するには、分散型のシステムを効果的に監視してテレメトリを収集し、自動の異常検知を構築しなければなりません。この取り組みは非常に重要です。ヒューマンエラーを完全に排除することが不可能でも、あらゆるデータを監視し、問題を迅速に解決する能力が組織に備わっていれば、誤設定が侵害に直結することはありません。
SOCと脅威インテリジェンスのアウトソーシングを検討する
同じ調査から、最もリソースインテンシブなサイバーセキュリティ機能であるセキュリティ運用センター(SOC)と脅威インテリジェンスが、多くの現場でアウトソーシングされていることも明らかになりました。一部の組織は理由としてサイバーセキュリティに対応する人材の不足を挙げている一方、費用面もその推進要因となっています。
ThoughtLabが公開した調査報告書において、メリーランド大学医療システムでCISOを務めるデュック・ライ氏は次のように指摘しています。「(拙訳)自前でSOCを運用すると、大きなコストがかかります。マネージドサービスプロバイダーが近年提供している品質を考慮すれば、このタイプのサービス、特にエンドポイント保護と対応のサービスに投資するという判断は至極妥当です」
公的セクターの組織において不足しているのがサイバー人材なのか、予算なのか、あるいはその両方であるかに関わらず、最新のセキュリティ運用向けの制約のない検知機能やMITRE ATT&CKフレームワークに準拠する振る舞いベースのルール群は、侵害の発生を抑制するパワフルなサイバーセキュリティ機能の組み合わせです。
SIEMに機械学習を導入する
同じ調査において、公的セクターの組織の47%が「現行のセキュリティ情報およびイベント管理(SIEM)戦略のリプレース、または強化を検討している」と回答した一方、「現行のSIEMが最も有効な投資である」と回答した組織はわずか12%でした。従来型のSIEMを運用する場合に有効性スコアが低迷するのは、機械学習を活用した高度な分析に対応していないためです。
Elastic CISOのマンディ・アンドレスは次のように説明します。「今日のIT環境では、消防ホースと見まがうほどのデータが生成されています。従来型のSIEMは大量のデータインジェストに対応します。しかし、[SIEMとエンドポイント、クラウドセキュリティを一体化]したより新しいXDRプラットフォームなら、(…中略…)アノマリーを発見する機械学習など、内蔵の複数の機能を活かした広範なセキュリティ運用が実現します」 クラウドに移行する公的セクターのワークロード監視において、機械学習を搭載したSIEMの重要性はますます高まっています。
OT関連攻撃面のハードニング
公的セクターは、増大する脆弱な“モノのインターネット”(IoT)と運用テクノロジー(OT)を使ったインフラとフリートのシステム群を所有、運用しています。このため冒頭の調査でも、多数の組織が「今後2年に攻撃面のハードニングに投資する予定がある」と回答しました。Elastic CISOのアンドレスは、リーダーによってアプローチが異なっても「基礎的なセキュリティ科学は、今なお最善の保護指針です。つまり、環境を理解すること、既定の設定を変更し、不要なサービスを無効化して、インバウンドのネットワークトラフィックはデフォルトで拒否し、パッチ修正を行うことです」と語っています。
また補足的なガイダンスとして、関連のブログ記事「重要インフラのサイバーセキュリティについて、Hack the Portに学ぶ4つのポイント」も併せてお読みください。非接続、間欠的、低帯域(Disconnected, Intermittent, Low-bandwidth、DIL)環境からのデータ収集・分析やコンプライアンス、人的資源の評価について解説しています。
各種ツールとテクノロジーを1つのプラットフォームに統合する
冒頭の調査において、対象となった組織の3分の1近くが個別のコンポーネントで“ベストオブブリード”を構成するのではなく、複数の機能を1つのプラットフォームで動作させるタイプのテクノロジーを導入していることが明らかになりました。この傾向は特に、NISTの成熟度フレームワーク分類で“実装初期”および“中程度の実装”レベルにスコアリングされる組織で顕著でした。またこの調査で対象となった公的部門の組織のうち、“実装初期”と“中程度の実装”に該当する組織の割合は66%です。
複数のサービスを実力ある1つのプラットフォームに統合する取り組みは、効率アップとコスト削減に効果的であるだけでなく、質の高いアプローチが可能となる、トレーニングしやすいといったメリットをもたらします。Forrester Consultingへの委託調査はこの点に着目し、オブザーバビリティとセキュリティを搭載する単体プラットフォームは、スタンドアロンの既存ソリューション群に比べて10倍高速に動作し、費用が半減するという結論を導いています。
サイバーセキュリティ人材中心主義
ヒューマンセントリックなサイバーセキュリティを構築している組織では侵害が少なく、検知と対応までの時間も短いことが明らかになっています。冒頭の調査研究は、ヒューマンセントリックなサイバーセキュリティを推進するために5つのステップを推奨しています。
- 人間的なセキュリティを構築する
- サイバーセキュリティに調和するカルチャーを創出する
- 効果的なサイバーセキュリティアウェアネスを生み出す
- スペシャリストを採用し、スキルを強化して、定着させる
- サイバーセキュリティチームを適切に配置する
公的セクターのリーダーやチームはこの取り組みにおいて、決して孤独ではありません。無料かつオープンなサイバーセキュリティのコミュニティやトレーニングリソースを活用して、ステップを進めることができます。
レポート全文のダウンロード
ぜひ今回ご紹介した調査レポート、「Cybersecurity Solutions for a Risker World」(リスクが増大する世界のためのサイバーセキュリティソリューション)の全文をダウンロードして、公的セクターチームの皆様で共有してご覧ください。今日のハイリスクな時代に備え、サイバーセキュリティリソースを最適化する公的セクターやビジネスリーダーの取り組みを支援し、強固なサイバーセキュリティ分析で世界に貢献するというThoughtLabの姿勢にElasticは賛同し、Elasticもその一助となることを願っています。
Elasticが提供するセキュリティソリューションにご関心をお持ちの方は、ぜひ無料トライアルをご利用ください