NIST Cybersecurity Framework の概説：セキュリティの５つの要素を再確認する

Understanding NIST CSF to assess your organization’s Ransomware readiness

2022/12/06 TheHackerNews — ランサムウェア攻撃の主な要因は、組織における脆弱なセキュリティ管理にあり、、その件数と影響が増え続けている。中堅企業が保有する貴重なデータが大量にあるが、大企業のような保護対策や人材が不足しているため、標的にされている。RSM の最新調査によると、中堅企業の 62% が今後の 12カ月間に、ランサムウェアの危険にさらされる可能性があると捉えている。サイバー・セキュリティのリーダーたちの感覚は、”まっさきに頭に浮かぶもの” から “深刻な頭痛のタネ” の間の、どこかにある。

攻撃者にとってのランサムウェアは、不正アクセスを収益化するための好ましい方法である。したがって、ユーザー組織にとって切実に求められるのは、攻撃に対する準備レベルを理解し、攻撃者に悪用される前にギャップを特定／修正することである。

賢明なサイバーセキュリティ・チームであれば、NIST CSF フレームワークに従い、それぞれのコアとなる機能について、適切なものを適切に備えているかと自問することで、ランサムウェアへの対応力を迅速に測定できる。それらは、Identify／Protect／Detect／Respond／Recover のことである。

Identify#

資産管理とは、組織において、すべての重要な資産が何であるのか、それらが何処にあるのか、誰が所有しているのか、誰がアクセスできるのかを知るプロセスである。 アクセスを管理できるように、データを分類する必要があり、企業はデータの整合性を確保することで利益を得る。 組織は、その分類に基づくことで、一部のデータの機密性を保護するだけで済む。 データの有用性と信頼性を保証するコントロールは、組織に真の価値をもたらす。

Protect#

ID とは、個人と組織の関係を定義するデータの１つの形態である。それは、クレデンシャル (ユーザー名とパスワード) を通じて検証され、漏洩するとセキュリティ・イベントがインシデントとなる。たとえば、漏洩したクレデンシャルが悪用されると、組織のコンピューターに脅威アクターがランサムウェアをインストールすることなどを許す可能性が生じる。Microsoft Defender Report 2022 によると、多要素認証 (MFA)／ゼロトラスト原則の適用／最新状態のソフトウェアなどを維持し、拡張された検出／対応マルウェア対策を用いることで、攻撃の 98% から保護されるとのことだ。

個人情報保護のもう１つの重要な側面は、従業員が悪意の添付ファイルやリンクを見分けられるようにするための、意識向上トレーニングである。侵入シミュレーションを行う場合、失敗した従業員にペナルティを科すのではなく、上手くいった従業員に報酬を与えることが重要だ。シミュレーションが正しく行われないと、従業員の組織に対する信頼が大きく損なわれる可能性が生じる。

優れたデータ・セキュリティは、ランサムウェアからデータを保護し、攻撃からの回復を可能にする。そのためには、アクセス管理／暗号化／バックアップを適切に行うことが不可欠となる。基本的なことに聞こえるが、多くの組織は上記のうち、少なくとも１つか２つが不足している。NIST CSF の Protect 機能に該当する管理に含まれるものとしては、脆弱性管理／URL フィルタリング／電子メール・フィルタリング／昇格した特権使用の制限などがある。

ソフトウェアのインストールを制限することは必須である。ソフトウェアのインストールを制限すれば、ランサムウェアのインストールを制限できるからだ。しかし、ランサムウェアの中には、インストール制限の制御をバイパスして、特権の昇格を許可するという既存の脆弱性を悪用するものもある。

そこで、NIST CSF の Protect 機能における、次の制御について、すなわちポリシーの制御について説明する。ポリシー実施ソフトウェアにより、許可されたソフトウェアのみの使用と、インストールの制限、昇格した特権使用の制限などの、管理を実施するために必要なスタッフ数を削減できる。

Detect#

この機能の下で、制御の要件に対応するテクノロジーは、現実的な効果を発揮するが、そのためには人的要素が不可欠となる。この項目では、多くの略語が用いられる。たとえば、UEBA (User and Entity Behavior Analytics)／CLM (Centralized Log Management)／TI (Threat Intelligence)／EDR/XDR/MDR などである。

UEBA により、ランサムウェアを簡単に検出できるのは、それらが悪意のアクティビティを実施するからだ。この技術は、ランサムウェアを検知するだけである、それを防止／阻止することはできない。したがって、予防するには、フィッシング対策／セキュリティ継続監視／EDR/XDR/MDR などの、他のソフトウェアが必要となる。IBM の Cost of a Breach 2022 レポートによると、XDR テクノロジーを導入している組織は、導入していない組織と比べて 29日も早く侵害を特定し、封じ込めたとのことだ。また、XDR を導入している組織は、侵害のコストを 9.2% ほど低減している。それは小さな改善のように聞こえるだろうが、侵害の平均コストは USD 4.5 million であるため、0.5 million 近い節約となる。

Respond#

組織における管理体制やツールが如何に優れていても、人的対応が必要な事態は、常に発生すると思ったほうが良い。計画を立案し、それをテストすることで、侵害のコストは劇的に削減される (報告書によると平均で USD 2.66 million)。

さらに、インシデント発生時の連絡における What／How／Whom を、チームが確実に把握するためのコミュニケーション・テンプレートを用意し、必須とされるイベント分析を行うべきだ。さらに、Security Orchestration, Automation, and Response (SOAR) 技術を製品として、また、XDR ソリューションのネイティブ・パーツとして配備することで、ランサムウェア対策としての最大限の効果が発揮される。

Recover#

復旧計画および、恒常的なクラウド・バックアップ、インシデント・コミュニケーション計画の３つが、組織のランサムウェアへの対応力を、最大限に高めるための重要な管理策となる。

ランサムウェア攻撃からの復旧計画に取り込むべきことは、侵入時に暗号化されたデータを復元し、運用システムを再確立し、顧客の信頼を回復し得る手段である。

ランサムウェアは、データへのアクセスを阻止することで機能する。したがって、ランサムウェアに感染していないデバイスからび、データの復元が可能であれば (恒常的なバックアップ)、復旧までの道のりは迅速であり、相対的なコストも低減できる。Microsoft Defender 2022 レポートによると、ランサムウェアの影響を受けた組織の 44% は、恒常的なバックアップをとっていないことが判明している。

インシデント・コミュニケーション計画は、顧客感情を監視しながら、社内外の関係者に対して、迅速に警告／調整を実施するための仕組みを提供することである。それにより、組織の対応能力を向上させ、風評被害を最小限に抑えることが可能となる。

サイバー・セキュリティ・リーダーがランサムウェア耐性を構築できるよう、Cynet は NIST ベースの迅速なランサムウェア準備評価と、コア機能の深堀りを、提供している。Cynet のランサムウェア対応力評価をダウンロードし、セキュリティ管理の回復力をチェックすることも可能だ。

この NIST Cybersecurity Framework が発行されたのは 2018年4月なので、そろそろ５年になりますね。11月30日の「CISA Strategic Plan 2023-25：防御から回復力へと大きく舵を切る米連邦政府」では、そのタイトルにあるように、Protect から Recover へと、優先順位が切り替わるのではないかという、動きに注目しています。この５年間に、何が起こったのかを思い出してみれば、このような変化にも納得です。ランサムウェによる収益化に成功した脅威アクターたちは、着実にエコシステムを進化させてきました。よろしければ、この NIST CSF の要約である、Quickly gauge your organization’s ransomware readiness with Cynet’s NIST-based assessment guide も、ご参照ください。