瞬きするほどの短い間にビジネスに影響を与えるセキュリティインシデントが発生することもあります。みなさんご存知の通り、サイバーセキュリティ侵害は増加し、より洗練されてきています。どのように対応するかは重要な問題です。

セキュリティ脆弱性によって、企業は日常の活動を阻害されて余分な労力をかけることになります。セキュリティリスクの管理には多くの課題があります。たとえば、脆弱性をソフトウェアアップデートにマッピングすること、パッチの負荷、ばらばらなプロセス、さまざまなテクノロジー、部署の違いなどがあります。こういったさまざまな要素が、セキュリティ対策の促進ではなく障壁となってしまいます。脆弱性のライフサイクル管理を自動化したり、スウォーミングをすることで、サイバーセキュリティ脅威のインパクトが軽減されます。

プロアクティブかつ自動化されたセキュリティの実践

高度なリスクベースの優先順位づけをするには、突発的なセキュリティ問題に対応するためのしっかりしたプロセスが必要になります。大半の組織は月次のメンテナンスサイクルを持っています。MicrosoftのPatch Tuesdayの翌日からスタートすることが多く、複数のグループを毎日いくつかのウィンドウに分けて、3-4週間かけて行われます。しかし、この最中にも新しいゼロデイ脆弱性が発見されてプロセスが止まってしまうことがあります。すると、すべてがやり直しになり、急ぎで慌ただしく行わなければなりません。

自動化された脆弱性管理は突発的なセキュリティ問題に対応するための鍵となります。それは脆弱性情報をデバイスビューに取り込んでマッピングし、セキュリティインシデントを開き、脆弱性ワークフローを開始するプロセスです。パッチ評価が行われ、必要な変更が決定されます。パッチ評価データはセキュリティインシデントに取り込まれ、その配下のチェンジチケットを開いてタスクの承認に進めます。最終的にパッチ修復がパッチ展開と適用のスケジュールを作ります。

チームスウォーミングで突発的なセキュリティインシデントの解決を迅速に

企業はセキュリティイベントに対する突発対応を迅速化するためにチームスウォーミングをする方向に進んでいます。自然界でもスウオーミングの例を多く見ます。動物や昆虫は共通の目標を達成するために整然とした大きなグループで動くことがよくあります。スウォーミングはリスクの優先順位付でも使われることがあります。主担当者とサポートグループのいるチームが、優先順位の高いひとつの問題に共同で取り組むと、素早くかつ混乱は少なく、解決にたどりつくことができます。

通常のメンテナンスサイクルでは、予想外のイベントに整然と、効果的に、効率的に対処するプロセスが必要です。新しい問題を起こさず、ビジネス運用を妨げないために、適切な人員、特定のプロセス管理、決められたコミュニケーション方法も必要です。

突発的なインシデントはいつでも起こり得ます。Zerologon脆弱性は、不正な悪意のある侵入者がドメインコントローラーへのネットワークアクセスを行い、Netlogonセッションを確立することを許可してしまいました。一旦コントロールされてしまうと、ドメインアドミン権限にアクセスされ、機能停止やダメージが起こります。

Microsoftは2020年8月のPatch TuesdayでZerologonのアップデートをリリースし、数ヶ月後に次の段階のロールアウトを出しました。しかし、そこから1ヶ月もたたないうちに攻撃者はこの脆弱性を利用してセキュリティ侵害をしました。セキュリティチームとIT運用チームは、月曜日までに問題を解決するために週末に働かなければならないことを金曜日になってから知ります。

Solarwindsや最近のMicrosoft Exchangeの脆弱性も、同じような整然とした対応を必要としていました。このように厄介な突発課題はどのように対応すれば良いのでしょうか? 

しっかりしたリスク管理でプロセスと統合されたチームを

このような緊急事態がいつ、どのように発生するかがわからないので、管理されたレスポンスが必要です。レスポンスの手順を計画し、予行演習し、継続可能なプロセスとして導入する必要があります。しっかり計画されたレスポンスプログラムがあれば、安心してそれにしたがって実行することができます。しかし、脆弱性管理はセキュリティチームとIT運用チームの間で、縦割りでばらばらに行われてしまうこともよくあります。セキュリティ脆弱性のパズルの重要なピースは、プロセスを成熟させて、より効果的で、混乱の少ない解決することです。

成熟度の低い組織は、セキュリティ、運用、ネットワーク構造等で縦割りがあります。それぞれの部門が、問題を解決するためによりも、自部門はミスをしていないということを証明するのに時間を費やすでしょう。スウォームモデルは脆弱性のあるアプリケーションやプラットフォームを最も良く知る人をキーパーソンとし、それぞれの分野で必要なサポートメンバーを集めて課題解決にあたります。

無計画な突発事故対応から、チームスウォーミングにシフトするにはマインドセットの変更が必要です。問題を解決するのに最適な人材と、サポートの階層とエスカレーションプロセスを活用しましょう。その周りに、タスクを実行するのに最適な人材を配置しましょう。そうすれば、チームメンバー全員がセキュリティ脆弱性を解決するという目的を共有し、間違いが起こらないようにすることができます。