去る2024年3月１４日、東京港区赤坂にて、Infoblox株式会社主催のセキュリティセミナー「CSIRTがレジリエンス向上のためにDNSに注目すべき理由」が開催されました。
 
近年、マルウェアの92％がDNSを利用しているとの調査報告が挙げられており、DNSセキュリティに関する知識の習得と対策の推進は、企業・組織のセキュリティインシデント対応を担うCSIRTも例外ではありません。
 
本セミナーでは、一般社団法人 日本コンピュータセキュリティインシデント対応チーム協議会（以降、日本シーサート協議会）の理事長である北村達也氏を迎え、サイバーセキュリティにおいてレジリエンス（回復性）を獲得していくためにCSIRTが担うべき役割について解説したほか、Infobloxの折原直美により、これからのDNSセキュリティに不可欠な「DNS Detection and Response」の概要、そしてレジリエンス強化に貢献する新たなツールである「SOC Insights」の紹介が行われました。
 
 
本ブログでは、前編、後編の2回に分けて、イベントを振り返りたいと思います。
 
 
[基調講演]
企業セキュリティにサイバーレジリエンスの視点を
～ 組織内CSIRTの役割として ～
日本シーサート協議会 理事長
北村 達也 氏
 

世界の激変によって
生じる新たなリスク

 
講演では、日本シーサート協議会 理事長の北村達也氏が登壇。サイバーセキュリティにーレジリエンスの視点を組み入れることの重要性と、その実現に向け、組織内のシーサート（Computer Security Incident Response Team、以下、CSIRT）に求められる役割について、解説が行われました。
 
冒頭、北村氏は世界情勢の激変に伴う新たな世界の到来と、それがIT、サイバーセキュリティ対してどのような影響をもたらすのか解説しました。
 
米中対立をはじめ、ロシアのウクライナ侵攻やイスラエルのガザ地区侵攻、台湾有事発生の懸念など、かつてグローバル化と自由主義経済を謳歌した時代は終焉を迎えようとしています。世界情勢の変化によって生じる新たなリスクに対応していくため、現在の企業経営者は、「地政学」「地経学」「地技学」の見識を深めつつ、「持続可能性」や「競争力」、そして「レジリエンス（回復力）」を備えた組織体を作り上げることが急務となっています。
 
そうした現実世界の激変に呼応し、サイバーセキュリティ空間も変化を遂げています。例えば、北朝鮮の支援を受けていると思われている攻撃グループが、韓国の半導体製造装置メーカーのシステムに侵入し情報を窃取しようとした事件や、中国政府と緊密な関係にあると思われる企業が国内外の他社に対してハッキングをくり返す、といった事件等が明るみになっています。
 
その一方で、ITの世界ではデジタルトランスフォーメーション（DX）が加速、多くの企業がその取り組みにまい進しています。「このDXですが、『第4次産業革命』として捉えるべきだと考えます」と、北村氏は強調します。
 
「１8世紀から19世紀初頭、蒸気機関の発明による第一次産業革命、重化学工業の大量生産を実現した１９世紀後半の第二次産業革命、IT革命がけん引した２０世紀後半の第3次産業革命、そして、第4次産業革命は、これまで人間が行ってきた判断や考え方を機械がマスターする、メンタルパワーがデジタル化されるというものです。この新たな産業革命のコア技術となるものが、ビッグデータやIoT、AI／生成AIです」（北村氏）

 では、AI/生成AIはサイバーセキュリティにどのような影響をもたらすのでしょうか。Cloud Security Alliance（CSA）のレポートによれば、「ChatGPTを悪用したサイバー攻撃はすでに開始されている」との報告が挙げられています。
 
しかし、防御側もAI/生成AIの活用に取り組める状況となっており、2023年11月に発表された「The Hacker News　Nov 30,2023」には、セキュリティ強化のための生成AIの活用方法が紹介されており、「企業は進化するサイバー攻撃に対応していくため、これらの技術を自ら取得、利用できるように今すぐにでも取り組んでいく必要があります」と北村氏は話します。

レジリエンスの確保に
不可欠な組織となる「CSIRT」

 これまで述べてきたような新しい世界の到来を目の前に、今後、企業はサイバーセキュリティにおけるレジリエンス（回復性）の実現、すなわち攻撃や侵害を予測し、それに耐え、回復していけるよう能力をどのようにして獲得していけばよいのでしょうか。
 
北村氏は、「一つ参考になるのが『NIST Cybersecurity Framework / Cyber Resilience』です。具体的には、図示した６機能のうち、『検知』『対応』『復旧』に焦点を当てた機能が、レジリエンスに該当します。そしてレジリエンスの確保に向け、セキュリティインシデントの発生に対処する組織が、CSIRTなのです」と、北村氏は説明します。

 
「CSIRTの役割は消防署の消火活動によく例えられます。火災発生時、すなわちセキュリティインシデント発生時の諸対応だけでなく、平時の防災活動、つまりセキュリティインシデントの発生を予防するためのトレーニングや教育活動を担います。そして『CSIRTのためのハンドブック』ではより具体的に、CSIRTが行うべき『事故対応』『事前対応』『品質管理』の取り組み内容が示されています」（北村氏）

 
 
これまでも多くの企業が多種多様なセキュリティツールを導入し、セキュリティ強化に取り組んできましたが、セキュリティインシデントは後を絶ちません。
 
なぜならシステム、および、人にまつわる脆弱性はなくならず、攻撃者は常にその脆弱性を狙っているからです。「そこでCSIRTが担う重要な役割として、セキュリティインシデントの発生を前提としたうえで、発生時の被害を最小限に食い止める「ダメージコントロール』があります」と北村氏は訴えます。
 
「CSIRTの主たる活動は、平時における危機管理(インシデントマネジメント)と、有事の際の緊急対応(インシデントハンドリング)です。インシデントハンドリングにおいてはダメージコントロールを行うことで、いかに損害を最小化していくかが重要となります」（北村氏）

 
また、サイバー攻撃をいち早く検知し、対処につなげるには、様々なシステムやセキュリティツールから送出されるログを収集、解析する必要があります。
 
EDRやCASBを用いて攻撃を可視化したり予兆を検知したりしている企業は多いでしょう。これらのツールの活用のほか、セキュリティ監視や運用を行う組織であるSOCと連携し、SOCが侵入や攻撃を検知したらCSIRTに連絡、対応、復旧をする、という体制を築いている企業も少なくないと思われます。
 
しかし、膨大なログの解析をはじめ、このような体制を構築してCSIRTを運用していくのは難易度が高く難しいと考える企業も存在するでしょう。
 
対して、「最もシンプルなCSIRTを考えたならば、緊急連絡網を作るだけでも十分です。ただし、『何がイザ、すなわち緊急事態に相当するのか』『その際には誰が誰を集めるのか』、これらを『社内・組織のルール』として定めておくことが肝要です」と北村氏は訴えます。併せて、事故対応を行っていくにあたり、組織の中で有効に働く「リスクマネジメント体制」を構築しておくことも重要と補足します。

アジャイル・ガバナンスにより
最適なセキュリティ運用を実現

 攻撃者から情報資産を保護していくためには、情報を収集（管理）することがゴールではなく、収集した情報を基にリスクが生じていないかを判断すること、また、情報資産全体がどうなっているか、外部からどのように見えているのか、考えることが重要となります。
 
この仕組みを実現するにあたっては、ガバナンスを効かせる必要があり、そのための有効な手段となるものがフレームワークの活用です。
 
例えば、2024年2月にリリースされたNISTが定めるセキュリティフレームワークの最新版「NIST Cybersecurity Framework ( CSF 2.0）」では、従来の5つの機能にガバナンスの項目が追加されており、これを自社のCSIRTやセキュリティ運用にマッピング、整備していくことは有効な手立てとなります。
 
「また、フレームワークは定期的に見直しが行われているため、その内容に合わせていけば最近の攻撃に追従できるようになることも大きなメリットです」（北村氏）
 
では、実際にガバナンスをどのように実装していけばいいのでしょうか。
 
北村氏は「常に変化する環境に対応可能なガバナンス・モデルを実装していくためには、ゴールや手段が予め設定されている固定的なモデルではなく、二重のループを回すことで、最善の解決策を常に見直し続けることが可能となる『アジャイル・ガバナンス』が最適です」と強調します。

アジャイル・ガバナンスは運用の現場レベルで浮上してきた様々な課題を解決するための「内ループ」と、その問題を経営者目線でレビューして改善していく「外ループ」で構成されるものです。この両輪を回していくことで、セキュリティ運用のコストパフォーマンスを最大化していこうというものです。
 
「ループを回し続けることでセキュリティ運用を強化、最適化していくのですが、このループは永久に続くものであり、ゴールはありません。なぜならセキュリティ対策には終わりはないからです。『永久の未完成』こそが、セキュリティ対策における完成なのです」と、北村氏は宮沢賢治の「永久の未完成これ完成である」言葉を引用し、講演を締め括りました。

後編に続く。後編はこちら↓↓↓

[関連情報]

「基礎からわかるDNS、DHCP、IPAMな4日間」と題して、入門的な内容から弊社ソリューションの特徴や優位性、ユースケースまで分かりやすくご案内するウェビナーを2024年5月21日（火） - 24日（金）で開催します。

BINDやMicrosoftをDNS/DHCPで利用していてこんな課題・要望ありませんか？
 
・パッチ適用やアップグレード、設定変更などの運用負荷が高い
・DNS/DHCPを拠点ごとではなく、全社で統合管理したい
・オンプレミスではなく、クラウド基盤やSaaSで統合管理したい

上記のような課題やご要望をお持ちの方は、ぜひご参加ください！

■開催概要
名称：Infoblox DDI Week Online
　　　- 基礎からわかるDNS、DHCP、IPAMな4日間 -
主催：Infoblox株式会社
共催：東京エレクトロン デバイス株式会社
日時：2024年5月21日（火） - 24日（金） 15:00 - 16:15
場所：オンライン（On24）

詳細なアジェンダはこちらから↓↓↓

今なら早期申込キャンペーン実施中！
4月19日までの登録でオーディオテクニカのイヤホンが当たるかも！？