MITRE が CREF Navigator を発表:レジリエンス・システムの設計をサポート

MITRE Releases Tool to Design Cyber-Resilient Systems

2023/02/03 DarkReading — サイバー攻撃は増加傾向にあり、企業のセキュリティ担当者は、ますます拡大/複雑化する攻撃対象領域を保護する必要に迫られている。そして、多くの企業にとっての関心事は、攻撃の防止から回復力へと焦点を移している。つまり、攻撃を受けても重要なビジネス機能を維持し、ダウンタイムから迅速に回復することである。そのため、MITRE は、サイバー・レジリエンス・システムを設計するエンジニアのための、可視化ツール Cyber Resiliency Engineering Framework (CREF) Navigator を無償でリリースした。

このナビゲーターは、サイバー・レジリエント・システムの開発に関する基準をまとめた、NIST SP 800-160 に沿ったサイバー・レジリエンシーの目標/目的/技術のカスタマイズを支援するものだ。MITREは、MITRE ATT&CK の技術/緩和策を Navigator ツールに統合し、エンジニアが設計中のシステムが、どのようにして標的になり得るかを理解できるようにした。

レジリエンシー (回復力) とは、システムに組み込まれるものであり、自然に発生するものではない。CREF のフレームワークは、4つの主要な原則に沿ってエンジニアをサポートする。Anticipate (情報に基づく準備) /Withstand (攻撃を受けてもビジネス機能を継続) /Recover (攻撃後にビジネス機能を回復) /Adapt (攻撃の影響を最小化するための変更) だ。

MITRE の Principal Cybersecurity Engineer である Shane Steiger は、声明の中で、「このツールにより、サイバー・レジリエンスのフレームワークの検索/可視化が達成され、エンジニアの教養と情報に基づいた選択が可能になる」と述べている。

Cisco が毎年発表している Security Outcomes Report によると、企業はインシデントを予防し、発生時の損失を軽減する戦略の一環として、サイバー・レジリエンスを検討しているとのことだ。調査対象となった経営者のうち、実に 96%がセキュリティ・レジリエンスを優先度の高い課題として挙げている。このレポートでは、レジリエンスの強化に役立つ、いくつかのアクションが確認されている。

  • 成熟したゼロトラスト・モデルを導入していると回答した企業は、導入していない企業に比べてレジリエンス・スコアが 30%増加した。
  • 高度な EDR (Extended Detection and Response) 機能を備えている企業は、検知/応答ソリューションを備えていない企業に比べて、レジリエンス・スコアが 45% 向上した。
  • ネットワーキングとセキュリティを、成熟したクラウド型の SASE (Secure Access Services Edge) に統合すると、レジリエンス・スコアが 27% 向上した。

MITRE によると、重要インフラの防御強化に関心を持つ組織に向けた、自動化サポートが将来のバージョンで利用可能になる予定だという。MITRE の Steiger は声明の中で、「サイバー・レジリエンシー工学分野の成熟につれて、我々は Navigator を進化させ続ける予定だ」と述べている。

この攻撃の防止から回復力への移行という話ですが、2022/11/30 の「CISA Strategic Plan 2023-25:防御から回復力へと大きく舵を切る米連邦政府」でも解説されています。また、2022/12/27 の「2023年のサイバー攻撃を予測:テクノロジーとリカバリーが交差していく」にも、長期的な勝利の鍵となるのはレジリエンスだと記されています。ただし、防御力が不要と言っているわけではありませんので、両面から考えていく必要がありますね。よろしければ、カテゴリ Resilience も、ご参照ください。

%d bloggers like this: