Comments
Description
Transcript
インタビューのサブスクリプション
情報侵害の早期検知体制におけるギャップ セキュリティ先進企業と一般企業における意識の差異 © Copyright 2015 EMC Corporation. All rights reserved. 概要 • 当資料には、SBIC (Security Business Innovation Council) によって実施された インタビューに基づく、情報侵害に対する準備、対応、復旧に関する考察が含まれていま す。 • SBICは、情報セキュリティに関する知識と経験を共有することで、情報セキュリティ界の発 展に献身的に取り組んでいる、 先見の明あふれる Global 1000 企業のセキュリティ・ エクゼクティブたちによって構成されています。 • 代表的な企業における情報侵害の早期検知体制がどのようなものか-。世界30ヵ国の 170人のセキュリティ関係者から得た世界規模の調査から抽出しています。 • 当資料は、コンテンツ・インテリジェンス、分析インテリジェンス、脅威インテリジェンス、インシ デント・レスポンスという、情報侵害を早期に検知する上で密接な関係を持つ 4 つの主要領 域における回答結果を提示しています。ここで、業界のリーダー (SBIC) と一般的な大規 模企業組織を比較対照することで、今後の早期検知体制構築のために役立つ提言をまとめ ました。 © Copyright 2015 EMC Corporation. All rights reserved. 2 インシデント・レスポンス プロセス、人、処理、テクノロジーを相互連携させ、重要資産をサイバー攻撃から保護するため取り組み SBICの先進性が目立つポイント インシデント・レスポンス計画を改善する前提で、新たな知見の獲得に貪欲に取り組んでいる SBIC 100% SBICメンバーの 67%は セキュリティ・ インシデントから得 た知見と学びを 対応改善に 利用している 大規模組織 早期検知体制構築の中核 インシデント・レスポンスとの結びつきを考えると、人 大規模組織の回答 の57%は インシデント・ レスポンス体制の 更新や見直しを 実施していない とプロセスは技術以上にクリティカルです。セキュリ 30% 可視性と一貫したワークフローを持つことも、説明 ティ・オペレーション・チームは、何をおいても、万一 の事態に際して混乱を来さないよう、明確に定義さ れた役割と責任を持たなければなりません。しか し、重大なセキュリティ危機に際して、しっかりとした 責任を保証し、継続的な対応手順の改善に役立て る上で同様に重要です。 Ben Doyle, Chief Information Security 企業公認のインシデント・レスポンス体制を備えている © Copyright 2015 EMC Corporation. All rights reserved. Officer, Thales Australia and New Zealand 3 コンテンツ・インテリジェンス クリティカルな資産を特定、モニタリングするツール、テクノロジー、プロセスから得られる脅威の状況認識 SBICの先進性が目立つポイント 経験豊富な専任のサイバーセキュリティチームを有し、誤検出の削減や内外との情報共有をルーチン化している SBIC 100% 92% 大規模組織 90% 60% 50% 45% 最先端の脅威状況を視覚化する コンテンツ・インテリジェンスは 「より集約、より洗練」が重要 インテリジェンスを集めるアプローチは、 継続的に洗練されていく必要があります。 いかにタイムリーに、すぐに使えるようにするか -。そうしなければ、私たちは情報に圧倒さ れ、多大な損失を被るでしょう。 Tim McKnight, Global Chief Information Security Officer, General Electric 疑わしい振る舞いに対する一元的警告実施のためにセキュリティにフォーカスしたログ収集と相関手法を備えている 疑わしい活動に対する 警告処理を一元管理するための セキュリティ専用のログ収集と 相関分析手法を備えている © Copyright 2015 EMC Corporation. All rights reserved. 日常の業務やインシデント管理の中で資産重要度や脆弱性データを活用している 資産の重要度や 脆弱性データを インシデント管理や 日常業務に活用している 誤検出の特定と削減に努めている 誤検出の 特定と削減に 取り組んでいる 4 分析インテリジェンス サイバー脅威の分析に利用するためのフォレンジック情報 SBICの先進性が目立つポイント ホストに加えネットワークの“LIVE”フォレンジックを実施、未知の脅威にも外部の脅威情報を調達して備えている SBIC 83% 大規模組織 より高度な攻撃に耐えるためには よりきめ細かい分析ができるよう SIEMの強化が必要 83% 72% 42% ホストの フォレンジックを 常時実施している © Copyright 2015 EMC Corporation. All rights reserved. マルウェアの検知と解析のためには、内部と外 部の情報源を併用することが重要です。第三 者の情報を利用することで、自組織で起きてい る以上のことを理解し、将来の攻撃に備えるイ ンテリジェンスとして活用することができます。 Dave Martin, Chief Trust Officer, RSA すべてのパケットの キャプチャや分析などの ネットワークフォレンジックを常時 実施している 5 脅威インテリジェンス 収集した内外の脅威データを、サイバー脅威の効果的な検知、分析、対応に役立てる情報 SBICの先進性が目立つポイント 脆弱性情報を管理しリソース配分の最適化に役立て、必要に応じて外部サービスも活用しています 100% 100% SBIC 大規模組織 効率よく攻撃者の先手を取るには 内外のインテリジェンス連携を ルーチンワークに組み込むべき セキュリティ・オペレーションは、ある程度の柔軟性 を保たなければなりません。セキュリティ・オペレー 60% ション・チームは、ゼロデイ・イベントやほとんど知ら 43% れていないタイプの攻撃に際しても、俊敏に適応で きなければなりません。チームのリソースが制約さ れる場合には、期間配信型 (サブスクリプション) サービスが有効な支援となるでしょう。 Jerry Geisler, Senior Director, Information 潜在的な漏えいポイントを 特定、調査、評価、修正する 脆弱性管理プログラムが 稼働している © Copyright 2015 EMC Corporation. All rights reserved. 内部の脅威インテリジェンスを外 部ソースのデータで 補っている Systems Security Operations, Office of the Chief Information Security Officer, Walmart 6 ベストプラクティス インシデント・レスポンス • SBICによれば、効果的な漏えい対応の中心にいるのは、フ ルタイムで従事しているセキュリティ要員です。この各々のメ ンバーに対しては、「セキュリティ・システム」、「インテリジェン スとインシデント」、「セキュリティ・データと分析」の3つの領域 の中からマネージメント上の役割を明確に定義すべきです。 • ITセキュリティとサイバーセキュリティは求める能力が異なっ ているということを理解することは、しばしば見過ごされてい ます。ITセキュリティとサイバーセキュリティは関連がありま すが、全く規律が異なっています。両方とも情報システムを 保護しますが、サイバーセキュリティの範囲はネットワークと システムを超えて、戦略的インフラのクラスまで拡張していま す。サイバーセキュリティは、よりプロアクティブでもありま す。 © Copyright 2015 EMC Corporation. All rights reserved. • 他にも、従来ITの世界では必要とされていなかったものの、 サイバーセキュリティのプロフェッショナルであれば保有して いなければならないスキルがあります。ビジネス・プロセスの 理解、インテリジェンスに基づく収集、分析、行動する能力 と、自らが運用している組織全体に対する深い理解といった ものです。 • どのようにセキュリティ・インシデントを優先順位付けし、追跡 するかは、早期検知体制構築の効果に劇的な影響をもたら し得ます。多くの組織は、いまだにマニュアルに依存して、セ キュリティ・インシデントの追跡システムを分散させています。 いくつかの例では、セキュリティ・アナリストは、不定期にワー クシートを更新する以上のことを行っていませんでした。これ では、ガバナンスを提供したり、インシデントがどのよう発見 されたかを追跡したり、時間をかけてプロセスを改善していく ための洞察を獲得することは困難です。 7 ベストプラクティス インシデント・レスポンス(続) • 組織は、警告の収集に始まり、インシデントの生成、被害の緩 和、封じ込め、分析、復旧の際のエスカレーションまでを完全 に視覚化できるワークフローベースの専用システムを採用す るべきです。SBICメンバーの中でも、インシデントを追跡・管 理するためのセキュリティオペレーション用に、インシデントと ワークフローの専用管理システムを導入しているのは、58% に留まっています。 • 最後になりますが、定期的な検査が、必要な際に、筋書き通 りにインシデント・レスポンス手続きが展開される可能性を高 めてくれます。SBICメンバーの中で、92%が自らのインシデ ント・レスポンス・プログラムについて、こうしたテストを少なくと も年1回実施していると答えています。サイバー攻撃の訓練 は、改善すべき領域を特定し、警戒意識のレベルを保ち、ス タッフと予算を、最も価値の高いアプリケーション、データ、脆 弱な基盤に振り分けるのに役立ちます。 © Copyright 2015 EMC Corporation. All rights reserved. 8 ベストプラクティス コンテンツ・インテリジェンス • コンテンツ・インテリジェンスの確立は、極めて重要な早期検 知体制プログラム構築の第一歩です。 • 以下の手順が、基礎的な出発点となります。 - 潜在的なインシデントを解析する専用のリソースやチームととも に異常を検知する - SIEMテクノロジーを活用する - 検知されたインシデントについて、あらゆるアンチウイルスソフ ト、ファイアウォールのログと対照参照する - 脆弱性データをSIEMに組み込む • このプロセスは継続すべきものです。先進的な早期検知体 制を備えるSBICメンバーは、継続的改善を提唱しています。 インタビューを受けたメンバーの58%は、セキュリティログと 自動アラートを一元管理していても、すべての重要資産の保 護は困難と言っています。 © Copyright 2015 EMC Corporation. All rights reserved. • 誤検出はもう一つの課題です。 インシデントの誤検出分析によって、SIEMシステムを調整で きます。しかし、SBICメンバーの中でも、50%が正式なプロ セスを欠いています。多くの企業は誤検出削減の仕組みは 今後検討するという段階です。 • 情報侵害の早期検知体制が最高レベルの組織では、セキュ リティ・オペレーションを、IT部門やセキュリティ部門などの単 位で縦割り状態のリスク管理を、より大きなオペレーション・リ スクの一部として見えるように変えています。この一年で注 目を浴びた多くの情報漏えい事案を見ると、すべての事業部 門が情報セキュリティの当事者にならなければならないこと は明白です。SBICメンバーによれば、外向けの定期コミュニ ケーションによるか、一元化されたGRC(ガバナンス・リスク・ コンプライアンス)によるかはあるにせよ、チーム内でのデー タ共有は極めて重要だということです。 9 ベストプラクティス 分析インテリジェンス 脅威インテリジェンス • ホストに対するマルウェア分析は、早期検知対応の基本とな る標準的なフォレンジック・テクニックです。いかにマルウェア が活動し、何を狙っているかを理解することで、ネットワーク とエンドポイントの脆弱性を見いだし、攻撃の検知と防御の 改善に役立てることができます。 • 情報資産の重要性(例えば、ミッション・クリティカルか、ビジ ネス・クリティカルか)に関する高度な決定に結びつけられた 脆弱性データは、漏えい防止やインシデント・レスポンスのた めのリソース配置の優先付けを行う上で組織に有用です。 SBICメンバーは、以下の脅威データは、漏えい即応の改善 のために利用されるべきであると指摘しています。 • メモリ利用状況、インターネット接続、実行中のステルス攻撃 や侵入、イベントログに関する静的及び動的な解析を行う フォレンジックツールを使うことで、ステルス攻撃や侵入に関 する証拠を明らかにすることができます。SBICメンバーの 83%は、エンドポイント及びネットワークの常時フォレンジッ ク機能を導入しています。ただし、こうしたツールは、様々な レベルの機能のものが使われており、調査プロセスにおいて すべてが使われているわけではありません。 © Copyright 2015 EMC Corporation. All rights reserved. - 脆弱性データ - オープンソースの脅威データ - 第三者による外部の脅威インテリジェンス・フィード 10 SBIC (Security Business Innovation Council) ビジネス革新のためのセキュリティ協議会とは • Security for Business Innovation Council (ビジネス革新のためのセキュリティ協議 会)」は、Global 1000企業で情報セキュリティに従事しているエグゼクティブが参加してい る協議会です。RSAは、カウンシルメンバーとのインタビューから得られた思慮に富んだ素 晴らしい知見をレポートとしてまとめ、発行してきました。 メンバー一覧 • Malcolm Harkins — Vice President, Chief Security and Privacy Officer, Intel • Kenneth Haertling* — Vice President and Chief Security Officer, TELUS • Dave Martin* — Former Vice President & Chief Security Officer, EMC Corporation, Chief Trust Officer, RSA • Marene Alison* — World Wide VP of Information Security, Johnson & Johnson • Timothy McKnight* — Global Chief Information Security Officer, General Electric • Anish Bhimani* — Chief Information Officer, Commercial Banking, JP Morgan Chase • Kevin Meehan* — Vice President and Chief Information Security Officer, The Boeing Company • William Boni — Corporate Information Security Officer (CISO) and Vice President, Enterprise Information Security, T-Mobile USA • Philip Hong Sun, Kim — Executive Vice President and Chief Security Information Officer, Standard Chartered Bank of Korea • Roland Cloutier* — Vice President, Chief Security Officer, Automatic Data Processing, Inc. • David Powell — Head of IT Security, National Australian Bank • Dr. Martijn Dekker* — Senior Vice President, Chief Information Security Officer, ABN Amro • Robert Rodger — Group Head of Infrastructure Security, HSBC Holdings plc. • Ben Doyle* — Chief Information Security Officer, Thales Australia and New Zealand • Ralph Salomon — Vice President Security, Processes & Compliance Office, SAP Cloud and Infrastructure Delivery • Jerry R. Geisler III* — Office of the Chief Information Security Officer, Walmart Stores, Inc. • Vishal Salvi* — Chief Information Security Officer and Senior Vice President, HDFC Bank Limited • Denise D. Wood* — Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation * 今回の調査に参加したメンバー © Copyright 2015 EMC Corporation. All rights reserved. 11 EMC, RSA, the EMC logo and the RSA logo are trademarks of EMC Corporation in the U.S. and other countries.