Cyber Risk Exposure Management(CREM)を活用して企業のサイバーセキュリティを強化する方法
サイバー空間における脅威が増加し、法人組織のアタックサーフェスが拡大しています。本稿では、リスクアペタイト(リスクの許容)という考え方の必要性や、リスクを把握、管理する「Cyber Risk Exposure Management(CREM)」について解説します。
増加するサイバー脅威と求められる「アタックサーフェスマネジメント(ASM)」
アタックサーフェス(攻撃対象領域)とは、サイバー攻撃を受ける可能性があるデバイスやソフトウェアを指します。具体的には、パソコン、モバイル、IoTデバイス、サーバ、VPN機器、クラウドサービス、サプライチェーンを構成するサービスなどがあげられます。また、アタックサーフェス(攻撃対象領域)は侵入起点だけでなく、侵入後に踏み台となる機器や、重要資産が保存されているサーバなども含みます。
多くの法人組織において、自組織のアタックサーフェス(攻撃対象領域)を把握し、管理することは、サイバー攻撃が行われる可能性がどこにあるかを可視化して、対処するために重要です。一方で、トレンドマイクロが2022年に実施した調査によると、クラウドシフトやデジタルトランスフォーメーションの推進などによって日々拡大するアタックサーフェス(攻撃対象領域)を管理することは、多くの企業が懸念を抱いており、対策が進んでいない状況であることが判明しています。そうした、アタックサーフェス(攻撃対象領域)における課題に対して、複雑化する脅威から重要な資産を守るために、組織はビジネスリスクの観点を踏まえた管理を行うことが求められています。
関連記事:アタックサーフェス(攻撃対象領域)とは?~サイバー攻撃からデジタル資産を守るために必要なこと~
「アタックサーフェスマネジメント(ASM)」によるアタックサーフェスの可視化
法人組織が機微な情報を保護するために、社内で保有する情報の棚卸し(どこに、どの程度重要度の高い情報があるのか)をする必要があることと同じように、まずはサイバー攻撃を受ける可能性があるアタックサーフェス(攻撃対象領域)を把握することが重要です。アタックサーフェス(攻撃対象領域)を1つひとつ人の手によって棚卸しすることもできますが、現在の組織におけるデジタル資産の移り変わりの速さから、手動で作成したアタックサーフェス(攻撃対象領域)のリストはすぐに古いものとなり、形骸化してしまいます。そのため、継続的にアタックサーフェス(攻撃対象領域)を監視して、可視化する動的な活動がアタックサーフェス(攻撃対象領域)の把握においては重要になります。そのような一連の活動が、アタックサーフェスマネジメント(Attack Surface Management, ASM)と呼ばれています。
アタックサーフェスマネジメント(ASM)では継続的に自組織のデジタル資産を監視することで、既知や未知のデジタル資産の把握、組織内ネットワークに存在する資産や外部に公開されている資産を発見でき、常に変化し続ける動的なアタックサーフェス(攻撃対象領域)に対して、組織のSOC(Security Operation Center)などのセキュリティチームが守るべき最新のデジタル資産を可視化することに役立ちます。
一方で、組織がアタックサーフェス(攻撃対象領域)に対するセキュリティ対策を考えるうえで実施しなければならないことは、アタックサーフェス(攻撃対象領域)を可視化することだけには留まりません。適切なセキュリティ戦略を考える上では、アタックサーフェス(攻撃対象領域)を把握したうえで、そのアタックサーフェス(攻撃対象領域)に存在するリスクを管理する必要があります。
サイバーセキュリティ戦略において求められるリスクマネジメント
経済産業省が公開している「サイバーセキュリティ経営ガイドライン」で述べられているとおり、セキュリティ対策を施すうえでCISOやセキュリティ担当者はサイバーセキュリティを包含するリスクマネジメントの実践を行う必要があります。サイバー空間におけるセキュリティリスクを構成する「脅威」と「脆弱性」は常に変化し続け、突発的かつ避けられないインシデントが発生する可能性があるため、継続的にリスクマネジメントを実践することが重要になります。
また、リスクマネジメントの規格JIS Q 31000(ISO 31000準拠)では、リスクマネジメントはリスクに対して組織を指揮統制するために整備された活動と定義されており、以下のようなプロセスで行うこととされています。
1. リスク特定
2. リスク分析
3. リスク評価
4. リスク対応
サイバー空間においては、サイバー攻撃者など組織に損害を与える可能性がある「脅威」が存在し、自組織において守るべき「資産」がある限り、そこには「リスク」が存在します。そして、そのリスクに対して組織は適切なリスクコントロール(軽減・回避・共有・受容)を選択することでリスクを低減できます。リスクコントロールを行う前のリスクを「固有リスク」、リスクコントロールの適用後にも残るリスクを「残留リスク」、そして組織が許容することができるリスクのレベルは「リスクアペタイト」と呼びます。ここでポイントとなるのは、許容するリスクを明確にすることです。リスクをゼロにすることは現実的ではありませんが、そのリスクが発生することを許容するレベルまで低減するという発想です。アタックサーフェス(攻撃対象領域)におけるリスクマネジメントでは、アタックサーフェス(攻撃対象領域)を可視化・把握したあとに、それぞれのアタックサーフェス(攻撃対象領域)に存在する固有リスクを分析・評価します。さらにその上で、残留リスクを組織が許容できるレベル(リスクアペタイト)まで低減するためにリスクコントロールを施すサイクルを継続的に実践します。
「Cyber Risk Exposure Management(CREM)」によるリスクの把握、評価、軽減のサイクル
前述のアタックサーフェスマネジメント(ASM)の活動によるアタックサーフェス(攻撃対象領域)の「把握」だけでは、各アタックサーフェス(攻撃対象領域)に対して攻撃が行われた場合にそれぞれビジネスにどのくらい影響するのかといった深刻度を測ることができません。つまり、各アタックサーフェス(攻撃対象領域)における、「侵害される可能性」や「侵害された際のインパクト」といった要素が欠けているため、組織にとってどのアタックサーフェス(攻撃対象領域)におけるリスクを優先的に対応すべきかの判断材料が欠けています。
そのため、アタックサーフェス(攻撃対象領域)に対するセキュリティ対策の優先度をつけるために、アタックサーフェスマネジメント(ASM)に対して、「攻撃の可能性」と「ビジネスへの影響」によって算出される「リスクスコア」を加味した管理を行う「Cyber Risk Exposure Management(CREM)」という一連の活動が重要になります。Cyber Risk Exposure Management(CREM)では、各アタックサーフェス(攻撃対象領域)のリスクに応じてビジネスへの影響度を評価することができるため、優先的にリスクコントロールを施すべき箇所を、定量的に判断することができます。
サイバー空間におけるリスクというのは、インシデントの潜在的な原因となる「脅威」、脅威がつけこむことができる弱点となる「脆弱性」、そして組織が守るべき「資産」という3つの要素で成り立っています。そして、NIST(米国国立標準技術研究所)が公開している「NIST SP 800-30:Guide for Conducting Risk Assessments」では、リスクの重大度を測るリスクスコアは、「攻撃が発生する可能性」と「顕在化した際のインパクト」で算出されます。
侵害が発生する可能性は、脅威が脆弱性を利用できる確率であり、以下のような情報によって算出されます。
●アカウントの漏えい
●攻撃の痕跡
●異常なアクティビティ
●ソフトウェア脆弱性(CVE)
●構成不備
●セキュリティ設定の不備
顕在化した際のインパクトは資産における情報セキュリティのCIA(Confidentiality, Integrity, Availability:機密性、完全性、可用性)の損失により生じる負の影響であり、以下のような情報によって算出されます。
●ユーザの役職
●資産のタイプ
●権限
●利用頻度
●接続状況(内部/外部)
このようにCyber Risk Exposure Management(CREM)では、リスクの要素を取り入れたうえで、組織におけるアタックサーフェス(攻撃対象領域)に対して「把握」、「評価」、「軽減」のサイクルを継続的に回すことで、絶えず変化するサイバー脅威や資産に対するリスクレベルの低減を実現します。
「Cyber Risk Exposure Management(CREM)」によるプロアクティブなサイバーリスク管理
昨今のサイバー脅威は高度化しているため、組織におけるセキュリティ対策は、事前防御だけではなく、侵入を前提とした対策が推奨されています。侵入を前提とした対策の一つであるEDR(Endpoint Detection and Response)やXDR(Extended Detection and Response)などの技術は、有事の際にそのセキュリティインシデントの兆候を検知して、実被害から企業を守ることを目的としたソリューションです。一方で組織のサイバーセキュリティ戦略における成熟度を高めていくためには、平時から攻撃や侵入の可能性を低減することが重要になります。Cyber Risk Exposure Management(CREM)のように、平時からリスクの把握、評価、軽減というサイクルを継続的に実践するプロアクティブなサイバーリスクの管理を実践することで、インシデントが発生する可能性を低減し、結果として有事の際におけるSOCやセキュリティ担当者の負担の軽減に繋がります。
また、Cyber Risk Exposure Management(CREM)における「リスクを評価して、軽減する」というプロセスについては、セッションの状態を評価してアクセス制御を行うゼロトラストの考え方とも親和性が高いものとなっています。そのため、Cyber Risk Exposure Management(CREM)は組織における今後のセキュリティ戦略のロードマップにおいて重要な一角を占める活動となることが考えられます。
関連記事
サイバーセキュリティの原点回帰:EPP・EDR・XDRの違いを理解する
サイバー攻撃のインシデント調査で、攻撃を可視化し、根本原因を分析する役割を果たすEDR・XDR。本記事では、混同される傾向があるEPP、EDR、XDRの役割や違いを改めて解説します。
サイバーセキュリティの重要な考え方の1つである「ゼロトラスト」について、改めて解説します。
トレンドマイクロのCyber Risk Exposure Management (CREM)
潜在的なリスクの可視化によるインシデントの予防。
関連情報
アタックサーフェス(攻撃対象領域)とは?~サイバー攻撃からデジタル資産を守るために必要なこと~
法人組織のITインフラの環境変化にともないサイバー攻撃の起点や経路となるアタックサーフェス(攻撃対象領域)が拡大しています。法人組織が留意すべきアタックサーフェス(攻撃対象領域)の課題や対策について紹介します。
Trend Vision One
高度なスレットインテリジェンスとXDR機能で、メール、エンドポイント、サーバ、クラウドワークロード、およびネットワーク全体にまたがったリスクと脅威を可視化し、ゼロトラストの実現とインシデント対応を支援します。
関連ウェビナー
XDRと相互補完するCyber Risk Exposure Managementとは?
オンデマンド配信
リモートワークの推進やクラウドの利活用により、サイバー攻撃を受ける可能性がある組織のデジタル資産「アタックサーフェス」は拡大し続けています。
そして、ビジネスリスクを考慮するうえで、アタックサーフェスに存在するリスク管理の重要性が高まっています。そうしたリスクを継続的に把握・評価・低減する活動や技術である「Cyber Risk Exposure Management」を解説します。
