私がいつも言っている通り、「攻撃者は怠け者」です。要は、彼らは常に最も抵抗の少ない道を進むのです。防御側が彼らの戦術、技術、手順を習得するにつれ、攻撃能力と防御能力の非対称的なギャップは縮小し、攻撃者は戦場、戦略の変更を余儀なくされ、何度も繰り返されるゲームは延々と続くことになります。
例えば、エンドポイント保護について考えてみましょう。ここ数年、エンドポイントの保護、検出、レスポンスはセキュリティ戦略の中心となっています。最新のエンドポイント・セキュリティ製品は、AI ベースのエンジンに基づいて脅威を予測する能力が向上し、豊富な可視性とコンテキストベースの検出機能を提供するようになったため、攻撃者は方向転換し、アーキテクチャの「死角」を探して、ネットワーク デバイス、サプライ チェーン、さらにはデバイスの奥深くに埋め込まれたファームウェアなど、セキュリティの可視性が限られている領域の脆弱性や構成ミスを悪用するようになりました。この傾向は、一般向けシステムで使用されているソフトウェアに致命的な脆弱性が頻繁に発見され悪用されているため、特に顕著です。これらの脆弱性により、攻撃者はリモートでのコード実行や不正アクセスを行うことが可能となり、ランサムウェアやネットワーク内でのラテラルムーブメントなど、さらなる攻撃の扉が開かれることになります。
2024 Verizon Data Breach Investigations Report (DBIR)では、状況が変化していることを裏付けています。
2024年における初期アクセスの主な手法はフィッシングで、侵害の36%を占めていましたが、これに僅差で脆弱性の悪用(21%)、盗まれた認証情報の使用(20%)が続きました。これは、脆弱性を悪用した侵入の増加を反映したもので、前年比180%増となっています。同時に、インターネットに接続されたデバイスの脆弱性を最初のアクセスポイントとして悪用するケースは前年度からほぼ3倍に増加し、現在では全侵害の14%を占めています。
この新たな変化は、我々にとって何を意味するのでしょうか?私たち、全領域の防御者は、個々のシステムやエンドポイントを超えて、攻撃対象領域を総合的に捉える必要があります。ここで威力を発揮するのがゼロ・トラスト原則に基づく防御可能なセキュリティ・アーキテクチャです。これは、回復力と適応性を備え、現代の脅威の状況に合致して設計された、サイバーセキュリティ・インフラストラクチャに対する真に効果的なアプローチです。
Think Red, Act Blue: 攻撃の連鎖を防御の連鎖に変える
防御チェーンの観点から考えることは、防御可能なセキュリティ・アーキテクチャを設計・構築するための基本的なステップです。私たちみんなは、攻撃チェーンの概念、つまり攻撃者が目的を達成するために使用する段階的な方法をよく知っています。ここで、この概念を逆に考えたらどうでしょう?攻撃者の侵入方法(つまり「Red」の思考)に関する知識を利用して、防御チェーンを設計することができます。これは、チェーンの全ての手順やブロック、検出、レスポンス(つまり「Blue」の行動)する階層化された防御となります。
これは、従来の「多層防御」の概念の進化形として捉えてみましょう。これは、単なる「保護」だけでなく、他の重要な機能も含むように拡張した考えです。
徹底した可視性:環境全体で何が起きているかをリアルタイムで把握します。これは、エンドポイント、ネットワーク・トラフィック、クラウド・ワークロード、環境全体のデータの流れ、誰が何にアクセスできるかを把握することが含まれます。
徹底した検知: AIと機械学習を活用した高度な脅威検知ツールを使用して、通常であれば気付かれない可能性のある異常を検知します。
徹底した対応:俊敏性と適応性を備えた堅牢なインシデント対応計画を構築し、あらゆるインシデントからの迅速な封じ込めと復旧を実現します。
防御(または保護)、可視性、検知、対応を徹底的に組み込んだ防御チェーンを設計・構築することで、境界、クラウド、サプライチェーン内のどこを攻撃しても、それに対抗できる防御層が確保できます。この理念は、防御可能なアーキテクチャと完全に一致しています。真に防御可能なシステムは、安全であると仮定するのではなく、すべてのユーザー、すべてのデバイス、すべてのアクションを検証します。
ゼロ・トラスト原則の実践における役割
ゼロ・トラストはセキュリティのバズワードになっていますが、その原則は表面的なものではありません。ゼロ・トラストの本質は、暗黙的な信頼の排除、つまり攻撃者に悪用される可能性のある信頼を排除することです。その代わりに、リクエストの発信源が何であれ、継続的な検証を実施します。
この哲学は、防御可能なアーキテクチャと完全に一致します。真の防御可能なシステムは、何もかもが安全であるとは仮定せず、すべてのユーザー、すべてのデバイス、すべてのアクションを検証します。
しかし、ゼロ・トラストは単なる哲学ではなく、さまざまな方法で実施できる実践的なアプローチでもあります。その主な応用例を紹介します。
- ゼロ・トラスト・ネットワーク・アクセス(ZTNA): これは従来のVPNを、アプリケーションやリソースへのセキュアなIDベースのアクセスに置き換えるものです。ZTNAは、ユーザーが必要なものだけにアクセスできるようにし、ラテラルムーブメントリスクが低減します。
- 既存デバイスのハードニング: 多くの攻撃は、設定不良やパッチ未適用のデバイスを悪用します。ゼロ・トラストでは、継続的なハードニングを重視し、定期的に設定を見直し、パッチを適用し、厳格なアクセス制御を実施します。
- 製品の中身を知る: 今日の相互接続された世界では、ネットワークに導入するすべてのデバイス、アプリケーション、サービスが攻撃者の潜在的な侵入口となります。ゼロ・トラストとは、隠れた脆弱性やバックドアが熟練した攻撃者に利用されないように、内部を把握すること、つまり重要な情報へのアクセスを可能にするすべての重要な製品のソフトウェア部品表(SBOM)を理解することを意味します。
将来性のあるデザイン
セキュリティアーキテクトとエンジニアは、「オールラウンド・ディフェンダー」として、将来のために設計し、構築する必要があります。そのためには、ゼロ・トラストの原則を取り入れた防御可能なセキュリティ・アーキテクチャへのパラダイム・シフトが必要です。進化する脅威の状況を理解し、攻撃チェーンを、保護、可視化、検知、対応を組み合わせた全体的かつ統合力のある防御戦略に転換し、ゼロ・トラストの実践を厳格に適用することで、組織は新たな脅威に対する防御を強化することができます。
良いニュースは、毎年、世界中から1,000人以上の学生が、私のSANSコース「Security 530: Defensible Security Architecture and Engineering, Implementing Zero Trust for the Hybrid Enterprise」を受講し、これらの概念を習得する方法を学んでいることです。このクラスでは、セキュリティベンダーや業界アナリストとは異なる独自の視点を提供し、セキュリティ製品を支える基盤技術、その長所と限界、そして真に防御可能なアーキテクチャを構築する上で見落とされがちな、人やプロセスの重要な役割を理解することの必要性を強調しています。このコースでは、セキュリティの専門家が適切なツールを適切な方法で導入できるだけでなく、包括的な防御戦略を実現するために組織内のワークフローやヒューマンファクターを調整できるようにもなります。
また、このコースは、サイバーセキュリティ業界で急速に必須の資格となった GDSA 認定資格の取得に向けた準備コースでもあります。GDSA を取得すると、防御者、アーキテクト、エンジニアとしての専門知識が証明され、組織内でリーダーとして認められ、現代のサイバー脅威との戦いにおいて貴重な戦力となります。
この分野でキャリアアップとスキルアップを目指す方は、https://www.sans.org/cyber-security-courses/defensible-security-architecture-and-engineering/ でコーススケジュールをご確認ください。直接受講しても、OnDemandで受講しても、あなたの組織ですぐに使える実践的な知識を得ることができます。
防御可能なセキュリティの未来はここから始まります。
Further reading:
- Security 530 - Free Course Preview
- Zero Trust Blog Series - Blog 1: Adopting a Zero Trust Mindset
- Zero Trust Blog Series - Blog 2: Architecting for Zero Trust
- Zero Trust Blog Series - Blog 3: Instrumenting for Zero Trust
- Zero Trust Blog Series - Blog 4: Operating for Zero Trust
英語のオリジナルのブログはこちらになります.
