Security Column

セキュリティ人材の育成を考える vol.6 世界規模のデータソースの分析によって見えたもの-SANS The Top Cyber Security Risks-

2009年9月、SANSからここ最近のサイバーセキュリティにおけるリスクをまとめたレポート「The Top Cyber Security Risks 」が公開された。これは、2000年から毎年発表されてきた「The 20 Most Critical Internet Security Vulnerabilities( 通称:トップ20リスト)」を発展させたものであるといえる。

このレポートの最大の特長は、6,000を超える民間企業と政府機関を保護しているTippingPointのIPSから取得した攻撃デ ータと、Qualysが900万台以上のシステムにおいて1億回以上のスキャンを行ったデータを、SANSのトップアナリストやトッ プインストラクターが分析している点にある。つまり、レポートに記載された検証結果は、かつて結び付けられたことのな かった世界規模の2大データソースとSANSの知力・経験とが融合した成果の反映なのである。

このレポートでは、今まで考えられていたよりもかなり深刻度が高いものが2つ、冒頭で取り上げられ、対策の優先度を上げるように強調されている。
「クライアントサイドのソフトウェアへのパッチ適用」と「インターネットに公開されている脆弱なWebサイト」がそれである。SANSのDirector of ResearchであるAlan Pallerは、「このレポートには、組織がこれらのリスクに対する緩和措置を行うスピードが非常に遅く、しかも投資までが抑制される傾向にある。その代わり、今では比較的重要でなくなった他のリス クを回避・低減する対策に、依然として熱心に投資しているという手堅い証拠も掲載されている。あなたの所属組織に対し て重要な問題を修正してほしいと願っているなら、このレポートは経営層の意思決定を推進できる強力なツールになるだろ う」とコメントしている。

また、このレポートでは、昨今の攻撃がどのようにして深刻な被害をもたらしているかを詳しく解説している。これには 明確な意図がある。つまり、攻撃がどのように実行されたかを詳細に理解する者だけが、効果的に攻撃を防御することがで きるという考え方を根付かせなければならないとする意図である。
前述のAlan Pallerから話を聞いたことがある。数年前に、ペネトレーションテスト(ペンテスト)の結果と改善勧告を受け 取ったあるシステム管理者が、テストの担当者に、「侵入手法やテクニックはもとより、攻撃が成功するに至るまでの思考 プロセスなど、もっと多くの情報を開示してくれないと、システムを高いレベルで安全にすることなどできない」と要望し た。当時はシステムを診断する側と管理する側では、まったく異なる業務、スキルセットであるとされ、テスト担当者から すれば、「どうして診断ノウハウを渡さなければならないのか」という反発もあったそうだ。だが今では、診断担当者から システム管理者へこうした情報が伝達され、診断者はより巧妙化する攻撃手法の研究に磨きをかけるようになったという。 これはホワイトハウス内での話だとのことだ。

この「攻撃者が防御者に情報を与えるべき」という考え方は、「サイバーセキュリティにおける最も重要な発見の1つとさ れている。管理者に相当の攻撃スキルが身についてはじめて、まっとうな防御対策が可能になるのである。

皆さんの組織には、このような環境があるだろうか。ないと思われたシステム管理者の方には、特にSANSのトレーニング コースをお勧めする。Eric Coleが担当する組織防衛に関するスキルが凝縮されたコース(SEC501:Advanced Security Essentilas - Enterprise Defender -)、Bryce Gallbraithが担当する倫理的ハッキングのコース(SEC560:Network Penetration Testing and Ethical Hacking)、どちらも必ず、組織が直面する最優先課題の払しょくに役立つだろう。

NRIセキュアテクノロジーズ   関取 嘉浩
本稿は2010年1月5日に株式会社ネットセキュリティ総合研究所発行 ScanNetSecurityの
SANS Infosec Report欄に掲載されたものです。
ページトップへ▲