セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

「脅威」について考えてみる

2020/03/21に追記しました。

「サイバー脅威インテリジェンス」、あるいは「脅威ベースのペネトレーションテスト」など、セキュリティの世界では脅威(Threat)という概念が多数出てきます。しかし、脅威(Threat)について具体的な説明があまり知られていないため、この記事ではそのことについて考えてみたいと思います。

脅威の定義も多種多様に存在しまが、米国のセキュリティ研究教育機関SANSで紹介されている定義によれば、以下の3要素で決定するといわれています。以下の定義に従い、詳細を一つづつ見ていきましょう。

敵対的な意図(Hostile Intent) × 機会(Opportunity)× 能力(Capability)  

敵対的な意図(Hostile Intent)

敵対的な意図(Hostile Intent)とは、攻撃者が組織を狙う目的を意味します。そして、攻撃者の目的は以下の3要素により決定されると考えられます。

動機(Motivation)× 組織的資産( Organizational Asset)× 組織的特徴( Organizational Attribution) 

動機(Motivation)

動機(Motivation)とは「なぜ攻撃者は攻撃を行うか?」、背後にあるモチベーションを意味します。この分類には多数の分類がありますので、好みの分類方法を採用してください。例えば、セキュリティベンダーであるFORTINETの記事『Threat Intelligence – Understanding your Threat Actors 101』によれば、攻撃者の動機は大きく6種類に分類されると述べています。

  • 政府関与型(Government Sponsored)
  • 組織犯罪(Organized Crime)
  • ハクティビスト(Hacktivists)
  • 内部関係者による脅威(Insider Threat)
  • 日和見的攻撃(Opportunistic)
  • 内部ユーザのエラー(Internal User Error)

最近のほかの分類だと、Canadian Centre for Cyber Securityの分類が挙げられます。

 

組織的資産(Organizational Asset)

仮に攻撃者の「動機」が存在しても、攻撃によりその動機を満たせるだけの対象がないと意味がありません。例えば、「名声」が目的の攻撃者であればセキュリティ対策がほとんど行われていないスタートアップ企業を狙っても大して動機を満たすことはできないでしょう。「名声」を得るためにはセキュリティ企業や国防産業などセキュリティが特に重視される大企業を対象としないと意味がありません。一方、「金銭」目的の攻撃者にとって、お金や個人情報を取り扱わず、当別な知的財産をもたない企業を狙ってもその目的を満たすことはできないでしょう。

そのため、攻撃者の意図を考える上では、攻撃者の動機を満たすだけの「組織的資産」についても理解をする必要があります。「組織的資産」とは、企業が保有する情報・知的財産・ブランディングなど様々な価値・資産を意味し、これらを窃取して自らの利益に活用したり、破壊して対象組織に被害を与えたりします。

例えば、金銭目的の攻撃者は、これらの資産を盗み取り、自分たちの利益に活用しようするために攻撃を行います。銀行の場合、預金など多くの金融「資産」を持っており、バンキングマルウェアなどはその資産は狙うための意図(Intent)として作成されています。保険会社であれば医療情報・個人情報を持っており、これを狙う攻撃者もいるでしょう。あるいは製造業であれば、知的財産情報(Intellectual Property)や製品自体も立派な「資産」となり、攻撃者が「敵対的な意図」を向ける対象となりますし、企業ブランドも一つの大きな資産として狙われる可能性があります。

以下に、「組織的資産」が狙われた事例を示します。

米医療機器メーカ St. Jude Medical社

(厳密な意味で攻撃者と呼ぶかは議論の余地が残りますが)投資ファンドMuddy Waters Capital社の事例が挙げられます。Muddy Waters Capital社は、米医療機器メーカ St. Jude Medical社の「心臓除細動器にセキュリティ上の脆弱性がある」と発表しました。当該医療機器には、リモートからの任意のコード実行やシステムのクラッシュの可能性など、医療用機器としては致命的な脆弱性が存在していたため、市場も反応し、St. Jude Medical社の株価は急落し、取引停止になりました。

一方、Muddy Waters Capital社は脆弱性情報公開と並行して、同医療機器メーカの株を空売りして、巨額の利益を得ていることが判明しました。特に、Muddy Waters Capital社は脆弱性情報公開のプロモーションがうまく、レポートのみならず専用告知サイトを準備したり、プロの役者によるデモ動画を公開したりするなど、非常に巧妙な手口だと考えられます。

JP Morganの顧客資産を利用した風説の流布

2014年に、JP Morganから8300万件の顧客情報流出が発生しました。そして、2015年7月末に攻撃グループが逮捕され、犯罪の手口が明らかになりました。攻撃グループ得られた顧客リストを利用して、JP Morganの顧客に株に関する偽情報を流し、特定の株価を購入させるように誘導し、株価を釣り上げて売り抜ける手法(Pump & Dump)を実施していました当該攻撃グループは、この攻撃手口を利用して、3億円超の利益を得とされています。

組織的特徴(Organizational Attribution)

自分のところには攻撃者に狙われる重要な「資産」なんてないよ、と思われる方もいらっしゃるかもしれません。しかしながら、皆様にとっては何てこともない「組織的資産」も、「組織的特徴(Organizational  Attribution)」という特徴によっては狙われる要素になる可能性があります。

例えば、ソニーは「組織的特徴」の観点から、複数回攻撃を受けた経験があります。2011年に米国在住のエンジニア、ジョージ・ホッツ氏が、プレイステーション3(PS3)を改造し自作ソフトを動かせるソフト「ルートキー」をウェブ上で公表すると、ソニーは著作権法の侵害の疑いで訴訟を起こしました。このことに反発したハッカー集団、Anonymousなどがソニーを攻撃し、一連のサイバー攻撃騒動に発展した経緯があります 。この際に、Webサイトの改竄が多数行われましたが、客観的に見れば彼らの行った攻撃による金銭的影響は少ないといえますが、この「組織的特徴」が攻撃を引き起こしたといえるでしょう。

また、2013年にはソニーピクチャーズ社が北朝鮮を風刺したコメディー映画「ザ・インタビュー」の公開をうけて、関連があると思われる組織から攻撃を受け、情報漏洩をしたとされています。

あるいは、2018年には平昌オリンピックが行われましたが、ドーピングの疑いで出場停止となったロシアと関連するグループFancy Bearが国際オリンピック委員会と平昌オリンピック運営委員会を攻撃したという報道も話題になりました。

このような有名な事例でなくても、企業ブランド自体も「組織的特徴」の一つだと思います。例えば、攻撃者は軍需産業X社から情報を窃取することを狙っているとしましょう。その場合、その軍需産業に出入りしているベンダーZ社のネットワークやブランド、Z社の社員のメールアドレスは攻撃者にとって非常にとても有用な攻撃資源となります。例えば、当該ベンダーZ社のネットワークを掌握し、様々な情報を収集します。そして、現在動いているプロジェクトのメールを装い、メールアドレスを悪用して攻撃メールを送信します。すると、普段の仕事のやり取りだと思い、被害者となるX社の社員はより警戒感なく、簡単にメールを開いてしまうでしょう。

こういった攻撃は一般に、「サプライチェーン攻撃」と呼ばれます。攻撃者にとって本当に狙っている企業がセキュリティにきちんと投資して守りが固い場合、対象組織に関連のあり防御が手薄なグループ企業、出入りしているベンダー、顧客等を侵入口として、そこを足掛かりに標的となる企業に対して攻撃する手法です。この手法で重要なことは、その組織にとって価値がないものが、攻撃者にとっては狙うべき価値があると可能性があるということです。このようなものこそ、防御が甘くなり狙いやすい状況にあるため、サプライチェーン攻撃は有効なのです。このサプライチェーン攻撃自体は昔から提唱されている方法ですが、最近では有名な事例が出てきています。いかにその事例を示します。

ロッキード・マーティン社の事例

ロッキード・マーティン社は米大手防衛関連企業として知られていますが、2011年5月にサイバー攻撃を受け、内部に侵入をされました。その根本原因は、セキュア接続によく使われるハードウェアトークン「RSA SecurID」の電子鍵を複製して侵入したといわれています。攻撃グループは、ロッキード・マーティン社に侵入する前に、当該トークンを提供しているRSA 社(および親会社EMC)に標的型攻撃を行い、SecurID のトークン技術を盗みだし、それを活用して侵入したとされています。

ランサムウェアNyetya の配布

ランサムウェアNyetya は、2017 年7 月に流行したWannaCry の亜種、あるいは同じ脆弱性を活用しているとされていますが、Cisco のCyber Threat IntelligenceTeam であるTALOS によれば、初期感染経路はウクライナ製の税務会計ソフトウェア「MeDoc」が備えるソフトウェアアップデート機能の脆弱性が悪用されたと報告しています。言い換えれば、ランサムウェアの感染のために、まったく関係ない税務会計ソフトが狙われるサプライチェーン攻撃の典型例だと言えます。

「CCleaner」アップデートの悪用

Pirform 社のシステムクリーナーソフト「CCleaner」のアップデートにマルウェアが仕込まれていた問題が2017 年9 月に発覚した。Cisco の発表によれば、仕込まれていたマルウェアを解析すると、日本、台湾、英国、ドイツ、米国などの大手IT 企業・情報通信企業を狙ったAPT 攻撃である可能性が高いと分析しており、無差別型のマルウェア配布を装ったサプライチェーン攻撃型のAPT 攻撃だと考えられている。

機会(Opportunity)

第二にOpportunity (機会)とは、攻撃の実行を可能にする環境・条件が被害者側に整っていることを意味し、以下の二つに分類されます。

外部環境(External)× 内部環境(Internal)

外部環境

外部環境とは、「被害者が利用しているプロダクトにゼロデイ脆弱性が公開されている」、「確定申告の季節なので、税金がらみのやり取りが増える」、「連休なのでセキュリティ運用の手薄になっている」、「歴史的経緯から攻撃が増える時期である」など、外部要因で決まる攻撃の機会です。

内部環境

内部環境とは、例えば「Webサイトで利用しているプロダクトに脆弱性が公開された」、「メールでのやり取りが多く、ソーシャルエンジニアリング技術を使ってマルウェアを送付しやすい状況にある」など、被害者側の環境が攻撃を行うことに適していることを意味します。

ここで大事な点は、内部環境のみが防御側が唯一コントロールできるパラメータであるという点です。そのため、防御側はCJA(Crown Jewel Analysis)とCyber Hygine(サイバー衛生)の徹底が重要になります。

CJA(Crown Jewel Analysis)

CJA(Crown Jewel Analysis)とは、一言で言えば重要資産の特定です。詳しくは、MITRE社の『Crown Jewel Analysis』に委ねますが、「企業のミッションを達成するために重要なサイバー資産を洗い出す」ことを目的にしています。何をCrown Jewelと見るかは組織・産業によりますが、基本的には知的財産・個人情報(PII・PHI)などが該当するのではないかと思います。

Cyber Hygine(サイバー衛生)

Cyber Hygiene(サイバー衛生)とは公衆衛生学(健康の維持・増進、疾病の予防・発見を目的とする学問)の考え方を借りたもので、「サイバー空間を衛生的に保つため、基本動作の徹底する」という概念です。衛生学的な基本動作として、「定期的な手洗い・うがい」、「マスクの着用」「予防接種」などが挙げられますが、同様に「バッチ管理の徹底」、「最小特権原則の徹底」、「適切なセグメンテーション」、「多要素認証によるアクセス制御」、「暗号化」、「脆弱性スキャン」、「メール訓練」などを徹底し、そもそも感染する可能性(攻撃者にサーバを侵入される可能性)を減らそうとする考え方です。

Capability(能力)

最後にCapability(能力)とは、目的を達成するために必要な攻撃者の能力を意味します。攻撃者がゼロデイ攻撃を悪用するための攻撃コード(Exploit Code)を書いたり、ソーシャルエンジニアリング攻撃を仕掛けられる情報収集スキルがあるか、あるいは十分なリソース(金銭面・人材面・技術面)を保有しているか、などが挙げられます。わかりやすい例を挙げれば、Opportunity (機会)の面で被害者側が特定のプロダクトを利用しており、ゼロデイ脆弱性が公表されているとしましょう。しかし、(当該組織を攻撃しようと思う)攻撃者が攻撃コード(Exploit Code)を書くスキルがなければ、リスクは多少下がると考えられます(実際は、MetasploitやCobalt Strikeなど専用ツールもあるので考えづらいシナリオではあります)。

この攻撃者の能力を理解する上で重要なものとして、MITRE社のATT&CKが挙げられます。これは、Cyber Kill Chainの各フェーズに対するテクニックを解説したナレッジ集でこうしたテクニックを活用していくことを把握しておくことが重要となります。

attack.mitre.org

補足:Threat Actorとは?

ちなみにこういった脅威を考えるとき、攻撃者(Threat Actor・Adversary)をベースに考えることもあります。

以下のブログに丁寧にまとめてあるので、こちらを参照しましょう。

soji256.hatenablog.jp

また、Microsoft Threat Intelligence CenterにいたJohn Lambert氏は、Lambert Adversay Matrixという概念を提唱しています。*1

斜め軸(Axis of Access)が不正アクセス→正規のアクセスへのスペクトラムを示しており、攻撃者の手法が高度化するにつれて、正規のアクセスに近いアクセス手法で情報を盗みに来ます。(Spy lives hereと書かれていますが、スパイはほぼ正規のアクセスと同じ手法を駆使して侵入をするということを意味しています。)

一方、横軸が当該攻撃者を検知する手法(Countermeasure)、縦軸が当該攻撃者を捕まえるインセンティブ(Driver)を意味しています。

「Lamber Adversay matrix」の画像検索結果

補足:MOMモデル

脅威(Threat)をMOMモデルとして表現しているケースも存在します。

Method(能力)× Oppotunity(機会)× Motive(動機)

ja.coursera.org

まとめ

脅威(Threat)の要素のうち、Hostile Intent(敵対的な意図)とCapability(能力)は攻撃者に関する情報です。言い換えれば、Cyber Threat Intelligenceでは攻撃者(Threat Actor)に関する情報を集めないといけないことがわかります。また、Oppotunity(機会)とは攻撃者そのものの問題ではありませんが、脆弱性や攻撃手法のトレンドなど、攻撃者が悪用するポイントの分析になりますので、脆弱性管理チームなどと連携しながら情報を活用していく必要があると考えられます。

*1:元ネタとなるプレゼンテーションが見つからないのですが、Twitterで知ったため間違って理解しているかもしれません

Cyber Threat Attributionとは何か?(2019年度版)

(変更履歴)Political Attributionについて付け加えました。

Cyber Threat Attributionとは、攻撃主体の帰属を特定する技術です。

攻撃者も人間である以上、アイデンティティ(攻撃の目的)、動機、攻撃手口などを持っているはずです。それらを洗い出すことで、自分の組織が狙われないようにする、TTP(Tactics, Techniques, Procedures)を分析して防御に役立てるなど、様々な活用方法が考えられます。

この技術はThreat Intelligenceの中でもOperational Intelligenceのレベルで活用されることが一般的です。以前も講演をもとに攻撃パターン・メタデータ・攻撃リソースを分析する方法を紹介しましたが、少し新しい知見をもとに分析をしてみたいと思います。

www.scientia-security.org

Attributionを行う4つの方法

SANSでは、Robert M. Lee氏の研究に基づき、Attributionは4つの方法があると述べています。但し、この一つに頼ると誤った結論に達するケースが多いため、Intrusion Analysisとその他3つを組み合わせて正しいAttributionを行うべきと述べています。特にAdversary Admissionとして名乗っている組織が本当に攻撃を行っているかなどはわからないモノです。

  • Adversary Admission
    • これは、攻撃グループ自体が自分の犯行であることを認めている場合です。
  • Leaks / OPSEC Failures
    • これは、攻撃グループ内から情報が漏洩する場合です。Edward Snowden氏のように内部の人が情報を漏洩する場合もあれば、OPSEC(作戦行動中のセキュリティ)に漏れがあり、自分の行動がばれてしまうなどのケースも含まれます。
  • Direct Access
    • これは、Cyber HUMINTなどの観点から攻撃者と直接やり取りをして情報を取得する場合です。
  • Intrusion Analysis
    • これは侵入分析を行い、その過程からグループや攻撃キャンペーンについて分析を行うパターンです。この分析には、ACH(競合仮説分析)などを利用します。

 A Guide to Cyber Attribution

一方、ODNI(Office of The Director of National Intelligence)は、Cyber Attributionの短いガイド『A Guide to Cyber Attribution』を公開し、その手法について簡単ながら解説しています。この文書は、上でいう「OpSec Failure」と「Intrusion Analysis」に着目する点を述べていきます。

この文書によれば、注目すべき点は大きく5種類あると述べていますので少し解釈もつけながら説明していきます。

  • Tradecraft(=攻撃パターン)
    • 攻撃時の振る舞い、時間帯・利用する攻撃種類(Web攻撃・マルウェアの特徴)など、攻撃における習慣を意味しています。DNIの資料によれば、こうした習慣は技術的ツールよりもむしろ変更しづらいために、十四な指標だと述べています。但し、この情報は一度外部に出てしまうと、誰でもマネできてしまうため、価値が損なわれるとも書かれています。
  • Infrastructure(=攻撃リソース
    • 攻撃を行う上では、C2サーバなど攻撃の足掛かりとなる攻撃基盤が必要になるため、攻撃基盤の分析することを意味しています。
    • そのため、各種情報(Exploit Kitの種類・攻撃基盤の特徴・XaaSの利用状況・環境の成熟度・ドメイン・IPアドレス・メール・フリードメイン・SNSアカウント)などの情報を収集して分析を行います。
  • Malware(=メタデータ)
    • マルウェアは高度標的型攻撃で必ず登場するもので、エンドポイント(端末)に痕跡が残ります(最近では、ファイルレスマルウェアなどもありますが、とはいえ適切なセンサーがあれば記録は残ります)。そのため、マルウェアやそれに付随する情報(攻撃に利用された文言・特定の文字列・言語・メタデータ・ファイル命名則 etc.)を分析することにより、Attributionに貢献してくれます。
  • Intent(攻撃者の意図)
  • Indicators from External Source
    • 民間企業、メディア、学術界の知見を活用する方法です。

Political Attribution(追記)

LAC社のレポートに、Political Attribution(政治的アトリビューション)という用語が使われています。

今までの議論は、Technical Attribution(技術的なアトリビューション)を中心に議論されていますが、ここでいうPolitical Attributionとは、その当時の政治背景・情勢を踏まえて分析することを意味します。

特に、Technical Attributionは原則、残された痕跡に基づくファクトベースの判断のみになりますので、偽情報(False Flag)などが混在していた場合、誤った判断をする可能性があります。そのため、政治的背景を踏まえて攻撃グループ(Threat Actor)を分析する必要があるという考え方です。

www.lac.co.jp

実際、U.S. CISA(The Cybersecurity and Infrastructure Security Agency)のWebinarでは、中国からの攻撃事例について分析していますが、この中で五カ年計画との関係性を踏まえて分析しています。

www.youtube.com

まとめ

Cyber Threat Attribution技術は、実際にベンダー等のレポートを見ると、推理小説みたいで非常に面白い内容です。ただ、実際の分析で利用するまで成熟の高い企業は少ないとも言えるので、まずは基本に忠実にやることが重要とも言えるでしょう。

『2019 OSINT Guide』を翻訳してみた +α

OSINT(Open Source Intelligence)は、公開情報から様々な情報を集める技術です。

最近では、@Sh1ttyKids氏がOSINT技術を活用して日本のアンダーグランドコミュニティの情報をまとめています。

www.recordedfuture.com

年始にかけて、すこしOSINT技術を調査していたので、ご参考になれば参考です。

翻訳:2019 OSINT Guide 

2019 OSINT Guide』とは、Tek氏により書かれた2019年1月に書かれた記事です。

www.randhome.io

米国のセキュリティクラスタでは話題になっており、OSINT技術の概要を眺め、また最先端のツールなどが紹介されているので、一読の価値はあると思い、作者の許可を得て、翻訳を行いました。

scientia-security.github.io

RAND研究所のレポートから見るOSINT技術の変遷

OSINTに関するよく参照されるドキュメントと言えば、『ATP 2-22.9 Open-Source Intelligence』が挙げられますが、最近、RAND研究所が2nd Generation OSINTという概念を提唱しています。
www.rand.org

レポートによれば、2nd Generation OSINTとは、公開情報の性質が変わってきたことを受けて登場した概念と紹介されています。

第一世代では、公開情報を主に物理的に収集し、翻訳を行い、分析を焦点に当てていました。また、公開情報の大半も新聞などのメディアが中心であるため、内容の検証よりも分析に焦点がおかれていたと言えます。

一方第二世代では、技術的専門家による活躍が重要だと述べています。特にソーシャルメディアという新しい情報源も出てきているため、技術を活用する分析に焦点が当たっています。実際、本レポートでも「OSINT Tools and Methods」というタイトルで分析手法が語られています。その多くは、インターネットやプログラミング技術を活用して行う方法であり、国防や諜報の世界でもその扱われ方が変わってきているといえるでしょう。

  • Lexical Analysis(字句解析)
  • Social Network Analysis(ソーシャルネットワーク分析)
  • Geospatial Analysis(地理空間分析)

f:id:security_consultant:20190204191143p:plain

また、今後として第三世代(機械学習などの活用)についても言及されています。

他にも興味ぶかい分析があるので紹介します。

OSINTの分類とOSINT Operation Cycle

このホワイトペーパーによれば、OSINTを大きく4種類に分類されると述べています。

  • Institutionally Generated Content(組織で生成されたコンテンツ)
    • ニュースメディア
    • 灰色文献(Gray Literature)
  • Individually Generated Content(個人で生成されたコンテンツ)
    • Long-Form:テキストの多いコンテンツ(ブログ・Reddit・Tumbler)
    • Short-Form:Facebook・Twitter・LinkedIn

灰色文献(Gray Literature)は聞きなれない単語かと思いますが、メディアでない組織・団体から発行されたコンテンツを意味し、政府、研究機関、企業、外郭団体、シンクタンク、学術機関などが考えられます。

一方、OSINT Operation Cycleというプロセスを以下のように定義しています。基本的には、いわゆるIntelligence Cycleと同じですが、RAND研究所の整理では、4つのステップに分類されています。

The OSINT Operation Cycle

f:id:security_consultant:20190204082302p:plain

このサイクルは、いくつかのサブフェーズに分かれています。

  • Step 1 : Collection(収集)
    • Acquisition(取得)
    • Retention(データの保持)
  • Step 2:Processing(加工)
    • Translation(翻訳)
    • Aggregation(集約)
  • Step 3:Exploitation(活用)
    • Authentication(コンテンツの検証)
    • Evaluating Credibility(信頼性の評価)
    • Contextualizing(コンテキストの付与)
  • Step 4:Production(発行)
    • Classification(分類)
    • Dissemination(配布)

 このフレームワークの秀逸な部分とすると、先ほど提示した4種類のデータ分類に対して、各フェーズでの取り扱いの難易度を丁寧に整理している点です。

f:id:security_consultant:20190204185048p:plain

技術的リソース

OSINT技術は色々存在しますが、より詳しく学ぶためには以下のリソースが参考になります。 

第一に、Michael Bazzell氏の本でしょう。テクニック自体は米国でしか通用しないモノもありますが、考え方も含め非常に参考になります。

Open Source Intelligence Techniques: Resources for Searching and Analyzing Online Information

Open Source Intelligence Techniques: Resources for Searching and Analyzing Online Information

 

 また、他にも以下のリソースが挙げられます。

まとめ

本記事では、米国のTwitterで話題になっていた『2019 OSINT Guide』の翻訳を紹介した後、OSINTの変遷や技術的リソースの紹介を行いました。

ご参考になれば幸いです。

NCSCから公表されているOffice 365セキュリティのドキュメントを翻訳してみた!!

管理コストを下げるためにOffice 365の採用を行う企業も増えていると思いますが、その一方Office 365に対する攻撃も様々増えています。有名なところだと、産総研や明治大学が挙げられると思います。www.nikkei.com

www.nikkei.com

翻訳:O365への侵入増加と防御方法について

2018年12月に、英国国立サイバーセキュリティセンター(NCSC)からOffice 365に関する攻撃手法と防御手法についてまとめられていた資料が発表されました。

www.ncsc.gov.uk

その翻訳を以下に公開しています。(翻訳の一覧はコチラ!!)

scientia-security.github.io

本ドキュメントを読んでいただければわかりますが、対策内容としては普通で当たり前、また最低限の内容に限定されています。しかし、Office 365のセキュリティ対策を不安に感じている人が、NCSCが出ている指針に乗っ取っていることを明確にできれば、その不安も払拭できると思い、翻訳を行いました。

個人的には、Office 365 Secure Scoreをあまり知らなかったのでこれは良い収穫でした。(これは、Gartner社のMeasure Your Office 365 Security With Secure Scoreでも話題にあがっており、これに頼り切りになることへの問題点を指摘していますが、最初の指標としてはよいものだと思います)

お役にたてば幸いです。

CISOの役割とは?(2019年度版)

以前の記事でCISOの役割という記事を書きました。

しかし、最近いくつかドキュメントを読み少し更新できること、また以前紹介したCISO Mind Mapの日本語を作成したのでそれを紹介したいと思います。

www.scientia-security.org

CISOに関するフレームワーク

前回の記事でも書きましたが、CISOの役割は様々あります。端的に言ってしまえば、以下の3点を持っていれば最強のCISOになれるでしょう。

  • 要件1:ビジネスがわかる(CEO的役割)
  • 要件2:技術がわかる(CTO的役割)
  • 要件3:セキュリティがわかる(GRC的役割)

しかしそれではCISOが何をすべきかわからないため、最新のフレームワークについて詳しく見ていきましょう。いろんなフレームワークがありますが、組織にあうフレームワークを選べばよいと思います。

フレームワーク1:CISO Mind Map

前回も紹介しましたが、一番有名なものはRafeeq Rehman氏のブログで提唱しているCISO Mind Mapでしょう。毎年更新されており、彼の最新ブログを読むと、さらにその役割は拡大しているようです。最新版(v10)は、以下に存在します。rafeeqrehman.com

2018年の資料では、大きく11種類の分野について考慮しなければならないと述べています。

  1. Governance
  2. Security Operation
  3. Identity and Access Management
  4. Risk Management
  5. Legal & Human Resource
  6. Compliance & Audit
  7. Security Architecture
  8. Budget
  9. Project Delivery Lifecycle
  10. Business Enablement
  11. Selling Inforsec to Internal

但し、少し網羅的であり、プレゼンテーションには少し難しいため、様々な形でポスター化されています。

CISO Mind Map v10 日本語版

CISO Mind Mapの日本語版がないので、2018年度版(v10)で作成してみました。(但し、他のバージョンに揃えて、基本的に大項目のみを載せています)

ご自由にお使いください。

f:id:security_consultant:20190117224853j:plain

PDF版が欲しい方はこちらよりダウンロードしてください。

www.slideshare.net

CISO Mind Map Poster

プレゼンテーション用であれば、以下の3つが有名です。

但し、少しバージョンが古かったり、定義が異なるため注意が必要です。

例えば、SANS版では、7つのドメインを定義している様子です。

  1. Security Operation
  2. Legal & Regulatory
  3. Business Enablement
  4. Identity and Access Management
  5. Risk Management
  6. Governance
  7. Leadership Skills

フレームワーク2:C|CISO by EC Council(再掲)

EC Councilは、CEH(Certified Ethical Hacker)というペネトレーション系資格で有名ですが、彼らが出している資格の一つにCISO向けの資格があります。この資格の有効性は受験したことがないためわかりませんが、CISOが知っておくべきという内容を体系立てたという点では非常に有益な資料だと思います。

これによると、5つのドメインを学ぶ必要があります。

  1. Domain 1: Governance
  2. Domain 2: Security Risk Management, Controls, & Audit Management
  3. Domain 3: Security Program Management & Operations
  4. Domain 4: Information Security Core Concepts
  5. Domain 5: Strategic Planning, Finance, & Vendor Management

フレームワーク3:CISSP-ISSMP by (ISC)2(再掲)

もう一つに、CISSPの上位資格であるCISSP-ISSMPが挙げられます。こちらでも、5つのドメインについて定義されています。

  1. Domain 1 : Security Leadership and Management
  2. Domain 2 : Security Lifecycle Management
  3. Domain 3 : Security Compliance Management
  4. Domain 4 : Contingency Management
  5. Domain 5 : Law, Ethics and Incident Management

フレームワーク4:セキュリティの7S

セキュリティの観点から組織を記述する方法として、マッキンゼーの7Sを応用するという考え方があります。

tech.nikkeibp.co.jp

CISOの役割は、組織のセキュリティを強化することです。言い換えれば、組織マネジメントを表す7Sを改善していくべきといえます。

  • Strategy(戦略)
  • Structure(組織)
  • System(システム)
  • Skill(スキル)
  • Staff(人材)
  • Style(スタイル・社風)
  • Shared Value(価値観)

フレームワーク5:CISO Periodic Table

CISO Periodic Table(CISO周期表)とは、Optiv社が作成したフレームワークです。

まだあまり知られていませんが、非常に面白いフレームワークだと思います。

フレームワーク6:Gartner社のフレームワーク

Gartner社も「A Step-by-Step Guide to Becoming a CISO」という調査資料で、CISOが持つべき知識と役割(CISO: Important Skill Sets and Knowlege Requirements)を述べています。Gartnerにアクセスできる人は本資料を一度見ることを推奨します。

Gartner社によると4ドメインを定義しています。

  • Domain 1: Technical
    • Technical Knowledge
    • Risk Management
  • Domain 2: Operational
    • Operational Management
    • Risk Management
  • Domain 3: Business
    • Business Knowlege
    • Strategic Planning
  • Domain 4: Leadership
    • Team Leadership
    • Psychology & Sociology
    • Strategic Planning
    • Political Influence
    • Effective Communication

上記のフレームワークで一番面白いのは、Political Influenceについて明確に定義していることだと思います。Gartner社では別の調査資料(Develop the Skills of the Contemporary CISO)で、以下の7点のスキルを持つべきと挙げています(日本語は、私が勝手にまとめたものなので、Gartner社の見解と異なる可能性があります。)

  • Patience(忍耐強く取り組むこと)
  • Perseverance(根気よく取り組み、あきらめないこと)
  • Pragmatism(理想主義にならず、現実的であること)
  • Realism(称賛を期待しないこと)
  • Helpfulness(助けるマインドセットを持つこと)
  • Caution(決定とその結果を意識して記録し、注意深くあること)
  • Leverage(人脈を活用すること)

フレームワーク7:CISO Organizational Structure

カーネギーメロン大学 ソフトウェア工学研究所(Carnegie Mellon University Software Engineering Institute)は、CISO Organizational Strucutreに関する論文「Structuring the Chief Information Security Officer Organization」を発表しています。

これによれば、CISOは、以下の組織形態を持つべきとしています。言い換えれば、これがCISOが管理すべき組織であり、管理すべきエリアということになります。

f:id:security_consultant:20190112171520p:plain

CISOの教科書的ドキュメント

CISOの教科書的資料は、あまり多くはありません。現時点で使える資料を紹介します。

CISO Compass 

一つの有名な書籍として、CISO Compassという書籍があります。

CISO COMPASS: Navigating Cybersecurity Leadership Challenges with Insights from Pioneers

CISO COMPASS: Navigating Cybersecurity Leadership Challenges with Insights from Pioneers

 

CISOの役割を、マッキンゼーの7Sフレームワークを軸に解説しています。一読した印象とすると、テクニカルな解説はそこまで多くなく、どちらかというと法規制やプロジェクトの進め方、CISOが取るべき姿勢などに集中して書かれています。また、この本の特徴として、多くのCISOのインタビューを載せています。そのため、初めてCISOになる上では非常によい教科書になると思います。

JNSA CISOハンドブック

日本でも、CISO(Chief Information Security Officer)の役割は認知されつつあり、JNSA(日本ネットワークセキュリティ協会)からもCISOハンドブックが公表されています。

CISOに関する日本語の資料はあまりないので貴重な資料になると考えています。

 

www.jnsa.org

Virtual CISO

一方、米国のトレンドを見るとVirtual CISO(vCISO)という概念が出てきています。

Gartnerの資料(Can You, and Should You, Bring in a Virtual CISO?)によれば、「常勤担当者の任命、短期的な戦術要件への対応、またはスタッフの能力育成が難しい場合の解決策として、バーチャルCISOの採用を検討する」と指摘しています。実際、有名なセキュリティベンダーであるRapid7やTrustedSecもサービスを提供しているようです。 

www.rapid7.com

www.trustedsec.com

しかし、「ビジネスを正確に把握する必要がある」ことや「内部の人間として振る舞うこと」など色々な要求事項が掲げられている一方、CISOはビジネスや社内政治などにも関与する必要があり、果たしてそこまでサービスとして実行できるか否かは難しいでしょう。

特に日本企業の場合、終身雇用がいまだ前提であり、各企業によって企業文化が相当異り、プロパー社員が重宝されるような環境の場合、vCISOのようなコンサルタントがうまく立ち振る舞うのは難しいと思います。もし日本でサービス提供するとなれば、社内でCISOを立ててもらい、「CISO支援」という形でセキュリティコンサルタントを常駐させて、参謀として動くパターンが一般的になるかと思います。(逆に、海外の場合はCISOを外から連れてきたり変わることも多いので、vCISOという概念は馴染むのかもしれません)

まとめ

2018年9月において、三菱UFJフィナンシャルグループ(MUFG)がCISOを設置したことがニュースになりました。今後、CISOを設置するという企業は増えてくるでしょう。

www.nikkei.com

CISOの役割は今後も非常に重要となりますので、この記事が参考になれば幸いです。