ネットワーク・セキュリティのリスクが定量化できない？ いまのアプローチが問題なのか？

Companies carry unquantified levels of risk due to current network security approaches

2023/04/07 HelpNetSecurity — Titania の調査によると、サイバー・セキュリティ上級意思決定者の 40% が、Payment Card Industry Data Security Standard (PCI DSS) 4.0 準拠のリスクに対して、効果的に優先順位をつけていることが分かった。この調査で明らかになったのは、石油／ガス／通信／銀行／金融などのサービスを提供する組織が、脆弱なネットワーク機器のコンフィグレーションを悪用して攻撃を拡大する、脅威アクターたちの主要な標的であることである。また、ネットワーク・セキュリティを脅かすコンプライアンス・リスクについて、適切かつ効果的に分類し、優先順位を付けている組織が、37% に過ぎないことも明らかになった。

大半の組織がネットワークのミスコンフィグレーションを発見できない

回答した組織の 96% が、ミスコンフィグレーションをチェックする際に、スイッチとルーターを分析せず、また、チェックは１回／年のペースで行うのみだと報告している。しかし、ファイアウォール／ルーター／スイッチの全てに対して、継続的 (毎日) にリスク評価することが、ネットワークを保護し、コンプライアンスを維持するための、最も強固な戦略であるという点には、ほとんどの組織が同意している。

また、回答者の 80% は、自身の組織でセキュリティを実現するために、コンプライアンスに依存することに同意している。また、銀行／金融のサービス部門の回答者の全員が、企業のセキュリティ要件と外部コンプライアンス要件を満たしていると確信していた。その他の分野では、石油／ガスの分野 (98％) および、通信事業者 (96％) が、自社のセキュリティ要件を満たしていると回答している。

このデータは、ネットワーク・セキュリティとコンプライアンスに対する、認識と現実にギャップがあることを示している。

Titania の CEO である Phil Lewis は「複雑なネットワークや、大規模な顧客基盤、長大なサプライチェーンなどにより、これらの業界は非常に攻撃を受けやすい状況に陥っている。一連の調査により、ネットワーク・セキュリティに対する現在の組織的なアプローチを前提とすると、企業の継続的なコンプライアンス遵守は困難となっている。その結果として、システムやデータの機密性／完全性／可用性において、定量化できないレベルのリスクが内在することが明らかになった」と述べている。

Lewis は、「決意のある攻撃者は、ネットワークに侵入するために様々なアプローチを試みるが、既知の脆弱性やミスコンフィグレーションは、侵入するための簡単な方法となる。企業は、ゼロトラストの考え方に加えて、ネットワーク・セキュリティのベストプラクティスも採用し、攻撃対象領域を最小化し、横の動きを抑制し、侵入者が目的を達成するのを防ぐ必要がある」と続けている。

セキュリティとコンプライアンス要件に対応するための課題

現在のユーザー組織において、ネットワークの特定部分の脆弱性を検出／緩和する方法や、デバイスが常態的に安全なコンフィグレーションを維持していることへの自信などについて質問したところ、以下のことも明らかになった：

• 回答者の 100% が、ネットワーク・セキュリティ・ツールによるコンプライアンス・リスクの効果的な分類と優先順位付け行っていると回答している。
• 石油／ガス業界の 74％、通信業界の67％、銀行／金融業界の 67％ が、セキュリティとコンプライアンス要件を満たすための最大の課題として、修復の優先順位をリスクに基づき決定できないことを挙げている。
• 予算の増加内容を見ると、ネットワーク上で検出される重要なミスコンフィグレーションの量を乖離していることが分かる。IT 予算の僅か 3.4％ が、ミスコンフィグレーションの特定／修復に割り当てられていた。
• 45% の回答者が、重要なネットワーク・ミスコンフィグレーションのセキュリティ・リスクに関して、１～３日以内に対応／解決したと報告している。
• 商業 CNI (Container Network Interface) ユーザーの回答者のうち、銀行／金融サービスのチェック頻度が最も高く、隔週から6ヶ月に１回の割合でチェックしているケースが 62％ を占めた。
• 過去12ヶ月間に検出されたミスコンフィグレーション数が最も多かったのは、石油／ガス分野だと報告されている。
• コンフィグレーション・セキュリティ報告の、100％ の自動化が行われていない唯一の分野はテレコムだった。

PCI DSS の要件を満たすために苦労している組織

先日に PCI Security Standards Council は、2004 年以降で最も重要な基準の変更を発表した。具体的にいうと、効果的なネットワーク・セグメンテーション／継続的なプロセスとしてのセキュリティ／コンプライアンスの検証の強化などを通じて、民間企業が軽減する必要のあるリスクの増加へ対応すべきという内容である。

Verizon のレポートによると、PCI DSS 4.0 の要件 11 では、「セキュリティのシステムおよびプロセスを定期的にテストする」ことを組織に求めている。過去 10年連続で、持続的な準拠のための個別要件の中で、この点の成績が最悪だったとされている。この要件を完全に満たしていることを証明できるのは、わずか 60% の組織となる。

全組織の約半数にとって、企業のセキュリティおよび外部のコンプライアンス要件を満たすための主な課題が、「不正確な自動化」と「修復の優先順位をリスクに基づき決定できない」ことにあり、この調査結果とも一致している。

クラウドのミスコンフィグが問題視されるようになってから、ずいぶんと時間が経ちましたが、いまでは、ネットワークも含めて、あらゆるところで顕在化しているようにも思えます。そして、ついに、2023/03/30 の「AlienFox というツールキットが登場：ミスコンフィグ・スキャナーでクラウドの機密情報を狙う」のように、この弱点を突く悪意のツールまで登場してきました。よろしければ、以下の関連記事も、ご参照ください。

2023/01/09：Kinsing：PostgreSQL のミスコンフィグを狙う
2021/08/31：Palo Alto Networks のクラウド誤設定検出ツール
2022/05/19：SaaS 調査：ミス・コンフィグレーションを無くには？