今こそ サイバーセキュリティ プロフェッショナルの認識を改めるとき

    本ページは英語ドキュメントを翻訳したものです。

     


     

    ノーベル賞を受賞したソングライターの言葉を借りるなら、「the (security) times, they are a-changin(セキュリティの時代は変わる)」です。商用インターネットが出て間もないころ、たとえば 1995 年には、IT 構造は比較的シンプルでした。サーバ、ネットワーク、クライアントのわずか 3 つのレイヤで構成されており、それぞれに独自のセキュリティ コンポーネントが置かれていました。

    それは古き良き時代でした。複雑さが増すことは、IT の最大のセキュリティ上の課題の 1 つです。一般的には、システムの複雑さが増すごとに、攻撃対象は広がります。サイバー攻撃者にとって、さまざまな経路からの攻撃を IT インフラストラクチャの異なるレイヤや部分に簡単に隠せるようになりました。

    デジタル システムは常に変化しています。現在の「XaaS」環境では、セキュリティ イベントを追跡するのは困難です。これまでは、コンピュータ ルームに新しいサーバを設置している人がいたら、誰かがこの物理的な出来事に気付くことでしょう。設置者は誰で、どのような権限があり、どのような目的で行動しているのか、疑問に思うでしょう。そして、あなたは誰で何をしているのか、 この新しいマシンの目的は何か、と問いただすでしょう。

    今ではそのようなことはありません。今日の環境にあるのは、何千もの仮想マシンです。これらのマシンは常にクラウドのデータセンター間を移動し、オン デマンドで現れたり消えたりします。ある時点で数分しか存在していないかもしれず、どこにも属していない仮想マシンが 1 台追加されたことを認識するのはほとんど不可能です。

    デジタル システムの中には、可視性が高すぎるものがあります。これにより、干し草の中から針を見つけ出し、数千または数百万件のトランザクションのログの中で、真の脅威となるインシデントを、少しだけ通常とは異なるイベントから分離することは困難になります。

    新しい脅威、新しい攻撃

    ポスト デスクトップ時代においては、従業員は自分のラップトップ、スマートフォン、タブレットを使用します。ドアベルからカメラ、自動車に至るまで、すべてにシステムが組み込まれています。その結果、電球やサーモスタットなど、これまでは日常的であったものでさえ、悪用される恐れがあります。これにより攻撃対象が大幅に拡大します。サイバーセキュリティの専門家は、さまざまなデバイスやシステムに完全にパッチを当て、穴を塞ぎ、各種デバイス(低出力のものが多い)が最新の状態(完全にパッチ適用済み)であることを確認し、攻撃のピボット ポイントとして侵害または利用されないようにすることで手一杯です。

    cisco-cybersecurity.jpgハイパー接続性はもう 1 つの大きなセキュリティ上の問題です。今日、すべてのものは高速ネットワークと常時接続しているように見えます。すべてのデバイスにインテリジェントなシステムが組み込まれています。こうしたシステムではダイナミックなオンデマンド サービスが使用されることが多く、そのトポロジは絶えず変化しています。常に接続しているユーザやマシン、デバイスに関連するセキュリティ リスクは、大きな頭痛の種になりかねません。

    自動化は効率化に役立ちますが、セキュリティ リスクが高まります。自動制御、システム管理者と同じレベルの権限を持つまでにになりました。これらの制御の整合性を確保することが重要です。

    そして、攻撃者などの外的要因があります。今となっては企業が対峙するのは、1 つの場所から攻撃を仕掛けてくる単独の攻撃者ではありません。今日の多くのサイバー犯罪者は緩やかに組織されており、その場限りの関係を築いている分散した個人の集まりです。これらの集団は、短期間共同で作業してセキュリティ ホールを悪用し、侵害した情報資産を収益化します。

    プロのサイバー犯罪者もいます。これらの雇われた専門家たちは、組織的犯罪グループのために働いていたり、国家に援助されたりしている場合があります。また、闇 Web サイトを介して雇われ、追跡が困難なデジタル通貨で報酬を受け取り、サイバー犯罪の経済性を変える専門家たちもいます。世界中の闇市場で売られる情報や技術資産の量は急増しています。

    つまり、攻撃者と防御側との間ではエスカレートし続ける、果てしない競争が続いているのです。これは長年にわたって続いており、すぐに収束するとは思えません。

    セキュリティ チームのための進化するモデル

    2005 年、米国国防総省(DoD)は情報セキュリティ ワークフォース組織モデルとして 8570 指令を導入しました。これはセキュリティ ニーズの変化に対応するための取り組みで、4 つのカテゴリの下、14 の特定の職務を要約したものです。カテゴリは、管理者、アーキテクト、技術者、および運用です。

    2015 年、DoD は 8140 指令を導入し、国土安全保障省(DHS)、民間企業、研究機関、政府が連携して開発した新しいサイバーセキュリティ教育のための国家イニシアチブ(NICE)Cybersecurity Workforce Framework(NCWF) [英語] に向けて、複数年の計画をスタートしました。このワークフォース フレームワークは、さらに徹底しており、情報セキュリティを 7 つのアクティビティ カテゴリと 31 の専門分野に区分しています。このアクティビティのカテゴリは、分析、収集および操作、調査、運用および管理、監督および開発、保護および防御、安全なプロビジョニングです。

    NCWF の目的は、すべての米国連邦政府の情報セキュリティ業務を新しいモデルに適合させることです。標準化のプロセスは始まりましたが、多くの連邦政府機関が導入計画に取りかかるには 2 ~ 3 年はかかります。したがって、当面のところ 8570 が現実的です。

    この最新のサイバーセキュリティ ワークフォース フレームワークは、サイバーセキュリティ関連の職務を志望する IT 専門職やセキュリティ チームをまとめようとする組織に大きな影響を及ぼします。このフレームワークは、企業の情報セキュリティが境界セキュリティから軸足を移すという、戦略における大々的な変化と同時に登場しました。さらに、軍や民間企業、請負業者を含め、米国連邦政府のさまざまな業務に従事する人たちが同様の役割の間を異動しやすくなります。標準的なチーム フレームワークや同様の構造で構築されたチームを使用することで、各部門が共同演習や学習プロジェクトにおいてよりスムーズに業務ができるようになります。

    これまでの IT 業界のセキュリティの焦点は、境界セキュリティ、階層化セキュリティ、および徹底的な防御にありました。これらは、情報セキュリティの準備におけるベスト プラクティスと認識されていました。強固な防御によって侵入者やセキュリティ リスクを組織の外に出し、組織から遠ざけることで、組織の安全を維持していました。それがこのアプローチの背後にある考え方でした。

    しかし、境界セキュリティ自体が今日の仮想システムでは有効ではありません。最も強固な防御でさえ動的ではなく、これでは急速に変化する状況に適応できません。自らを保護し、防御することもできません。エドワード・スノーデンやプライベート・マニング、その他有名なインサイダー脅威による侵害の例により、強力な境界に対する企業の信念はさらに弱まりました。絶え間ない高度な攻撃により、厳重に守られた多くの組織の防壁が突破され、境界に注力した最も強固なストラテジストでさえ、新しいアプローチの必要性を認識しました。

    現在のセキュリティ アプローチは、城に門番を追加するようなものです。組織は強固な壁に加え、門番を必要としています。門番は疑わしい行動が何かを知っていて、人々がいるべきところにいない、またはしてはならないことをしている場合、それを記録します。そして領地が攻撃を受けると気付きます。門番は城の防衛の弱点を見つけ出し、建築業者や施工業者と協力して城壁の補強を提案します。

    この門番によるアプローチは、セキュリティ運用機能を提供しています。現在トップクラスの組織は、セキュリティ運用を情報セキュリティ チーム全体の一部としており、組織が社外および社内のセキュリティ問題を認識できるよう支援しています。また、これらの組織はセキュリティ ステータスを把握しており、あらゆる攻撃の検出、防御に向けて十分に備えています。

    サイバーセキュリティにはチームが必要

    新しい NICE フレームワークのもと、サイバーセキュリティ業務の増加の大半は、新しい役割や責任に由来するものです。この最新のモデルにおいて注目すべき点は、チームの必要性です。サイバーセキュリティは、たった一人の防御者、または専門家の小さなグループであっても、今では荷が重すぎる仕事です。

    General-Images-30.jpgサイバーセキュリティに関する雇用は、現在、一般的な IT 関連の雇用に比べ 3 倍の速度で増加しており、全体的な求人市場と比べると、12 倍もの速度になっていることは、驚くことではありません。この 10 年間で、サイバーセキュリティに関する雇用は、74 % も増加しました。その成長は加速し続けています。

    世界中の組織は、2019 年までにサイバーセキュリティのトレーニングを受けた労働者が世界中で 150 万人不足するという問題に直面します。この危機により、サイバーセキュリティ業務の給与は引き上げられ、他の IT 専門家の給与より 9 % も高くなりました。高い能力やスキルを持ったサイバーセキュリティの専門家をいかに確保するかが大きな課題となっています。だからこそ、雇用側の 3 分の 1 以上が求職志望者に業界の認定を求めているのです。

    DoD 8570 フレームワークでは、各職務に対し、その職務を遂行するための最低限のトレーニングや知識、スキル、能力があることを示すための認定を規定しています。新しい認定は NCWF にも対応付けられています。

    NCWF は米国連邦政府向けに開発されたものですが、数百人に上るセキュリティ部門をサポートする大企業にも適しています。小規模な企業や組織にとって、特に多くの職務に 24 時間、週 7 日体制で対応する必要があることを考えると、この大規模なフレームワークへの対応は大きな負担です。つまり、組織には各職務に対応するために複数の要員が必要であることを意味するからです。

    簡素化されたセキュリティ チーム モデル

    セキュリティ チームの人員配置に対処し、すべての拠点をカバーするためには、小規模な組織は簡素化されたモデルを検討するべきです。簡素化されたモデルは、管理者がセキュリティ ニーズの全領域を満たすためにはどうしたらよいかを理解するための出発点となります。

    まずセキュリティの職務機能を 4 つのチームに分けます。

    最初のチームには、最高情報セキュリティ担当者(CISO)、最高セキュリティ担当者(CSO)、経営幹部、マネージャが含まれます。彼らの職務は次のとおりです。

    • 予算と組織の優先順位、ポリシーの設定
    • 規制および法令順守の理解
    • ビジネス リスク、優先順位、およびトレードオフの理解

     

    2 番目のチームはセキュリティ アーキテクトから構成されます。彼らの職務は次のとおりです。

    • 新規および既存のセキュリティ テクノロジーの理解と評価
    • 要件および予算を満たすセキュリティ制御の設計
    • セキュリティ アーキテクチャと制御の定義と改訂
    • セキュリティ手順とベスト プラクティスの定義
    • 他のセキュリティ チームの頻繁な採用と構築
    • セキュリティ戦略の設定

     

    3 番目のチームは、セキュリティ エンジニア、技術者、および管理者で構成されます。彼らの職務は次のとおりです。

    • セキュリティ アーキテクチャの構築と実装
    • ベスト プラクティスとアーキテクトのガイドラインを使用した新しいシステムの導入
    • アーキテクトやセキュリティ運用チームの要求への対応、および必要に応じて既存のセキュリティ制御の変更

     

    最後に、4 番目のチームはセキュリティの運用です。これは情報セキュリティの最前線の場合があります。セキュリティ オペレーション センター(SOC)のチーム メンバーの職務は次のとおりです。

    • セキュリティ イベントの分析
    • セキュリティ機器が効果的かつ適切に動作することの確認
    • セキュリティ攻撃およびイベントの検出
    • セキュリティ攻撃またはイベントへの対応および調査
    • セキュリティ違反が発生した後の緩和またはクリーンアップの実行

     

    必要なセキュリティ チーム メンバーの数は、組織固有の要件によって異なります。組織のチーム構成にかかわらず、チーム メンバーが最新のセキュリティ スキルを維持し、チーム メンバーがスキルを伸ばし、最新の脅威やセキュリティ テクノロジーに遅れないよう、トレーニングや開発プログラムを準備する必要があります。世界中でサイバーセキュリティ技術を持った専門家が不足していることを考えると、強力な人材育成プログラムは、従業員にとって魅力的な資産になる可能性があります。最終的に、適切なトレーニングと認定はチームの品質に大きな違いをもたらし、現在および将来のセキュリティ インシデントを検出し、対応するためにどの程度迅速かつ効果的に機能するかに影響します。

    シスコは、上記のさまざまなセキュリティ業務に対する興味に対応できるよう、充実したポートフォリオを準備しています。調査を開始するには、こちらこちらをクリックしてください。

     

    Cisco2016MidyearCybersecurityReport_Banner.jpg

     

    最新の IT 業界のニュースとシスコだけの教育サービスをご確認ください。今すぐ登録

     

    Tom Gilheany_final_thumb.jpgTom Gilheany は、シスコのセキュリティ トレーニングおよび認定担当プロダクト マネージャです。Fortune 100 の多国籍企業における新規事業に関わった多様な経歴を持っています。Tom はプロダクト マネジメントとテクニカル マーケティング分野に 20 年以上携わり、また 10 年を超える IT および運用部門での経歴を通じて、先進的テクノロジー、サイバーセキュリティ、通信分野で 50 近い製品の発売を指揮してきました。Tom は Certified Information Systems Security Professional(CISSP)であり、MBA を取得しています。また、Silicon Valley Product Management Association と Product Camp Silicon Valley の役員でもあります。

    CLNBanner