侵入テストがセキュリティを改善する仕組み - Part 2

原文のブログはこちらからご覧いただけます。

組織の環境に存在するセキュリティ脆弱性が悪用される前に、サイバー脅威アクターを阻止できるとしたら、もちろんそうするでしょう。しかし、セキュリティギャップを解消するには、まずその所在を知る必要があります。

本シリーズの第 1 部では、侵入テストの意義や、テストを通じてしばしば明らかになる事柄、そして政府や企業が侵入テストに対する取り組みの方向性を決める際に直面する課題について見てきました。

この第 2 部では、効果的なテストのためのベストプラクティスを検討します。さらに自動テストと人手によるテストを比較し、侵入テストサービスについて解説します。

侵入テストにまつわる 5 つのベストプラクティス

侵入テストの機能を最適化する方法として、ここで5 つの推奨事項をご紹介します。

1. 計画を立てる：侵入テストの範囲、目標、制約を定めることは極めて重要です。1 回の侵入テストで実現不可能なことを目指すのはやめましょう。計画にはテストの頻度を含める必要があり、各種のシステムは少なくとも年に 1 回、あるいは技術の導入や更新ごとにテストすることが推奨されます。組織の環境は時とともに変化するものですが、定期的な検査を実施すれば、そうした変化が別の「抜け穴」を生み出していないことを確認できます。

2. 環境のあらゆる部分をテストする：内部テストから外部テスト、Web、モバイルアプリ、ゲートウェイ、ファイアウォールなど、侵入テストにはさまざまな「種類」があります。組織のインフラとの連携や、テスト対象が侵害された場合のビジネスへの潜在的な影響に基づき、すべてのテストを実施しましょう。

3. 侵入テストの結果を最大化する：テストの実施後には、得られた結果を確実に理解し、見つかった問題に対する適切な是正措置を講じましょう。報告書がそのまま書類棚にしまわれ、組織に何の価値ももたらしていない状況はしばしば見られます。

実際、筆者は先日ある電話会議に出席し、最新のテスト結果に加え過去の結果も振り返りながら議論していましたが、その過去の結果は適切に対処されていませんでした。その結果どうでしょう。最新のテストでもまったく同じギャップが見つかりました。

一方で、ギャップが最小限、または皆無だった場合はチームを称賛しましょう。サイバーセキュリティの世界では、「悪い面」ばかりに目が行きがちです。少し前にお会いしたあるお客様は、弊社が実施したテストでギャップが見つからなかったと知り驚かれていました。その電話会議に経営陣が同席していたことから、特にうれしい驚きでした。問題が見つからなくても、侵入テストが失敗したわけではないことを忘れないでください。これは、組織のチームが優れたセキュリティ慣行に沿った素晴らしい仕事をしている証であり、チームが評価されるべきことなのです。

4. 専門の侵入テスターを外部から雇う：信頼できる企業の熟練のテスターを確保した上で、時には複数の異なる侵入テスト企業を活用しましょう。政府機関はしばしばシステムインテグレータやクラウドプロバイダを活用し、機関の環境を「管理」しています。ただし、いかに優れた力を持っていようと、こうした企業は自社をより良く見せるという利害関係の中にあります。これに対し、複数の企業に「内情調査」を依頼することは、組織が真に保護された状態を維持しつつ、新たな視点を得る方法として極めて効果的です。システムとデータのセキュリティに関しては、独立したテスターを雇うことは実証済みの方法です。

5. 侵入テストをより包括的な他のサイバーセキュリティサービスと組み合わせる：侵入テストは組織のセキュリティ境界の抜け穴を見つけ出しますが、侵害シミュレーションやパープルチームテストといった他の取り組みはさらに深く広い視野を持ち、そうした抜け穴だけでなく、組織の重要情報へと至る道筋を明らかにします。通常、こうした情報には専有または機密の、財務、人事関連データが含まれます。

組織が現在侵害されているかを素早く判断し、あるいは過去の侵害やセキュリティインシデントの痕跡の発見が可能な侵害評価を検討しましょう。侵害評価は組織にとって、環境的リスク、現在または過去のセキュリティインシデント、さらに脅威アクターによる潜在的活動の特定に役立ちます。解析はシステムごとに行われ、環境全体をくまなく検査し、各システムからあらゆる侵害の痕跡を浮かび上がらせます。

もう 1 つの検討に値する取り組みとして、ダークウェブ検索サービスがあります。これには、ディープウェブやダークウェブで発見された過去/現在における特定の時点のインテリジェンスを詳細に調査・解析するサービスや、ダークウェブ上の投稿をリアルタイムで継続的に監視するプラットフォームなどが含まれます。

政府機関向けの侵入テスト

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、民間および公的機関におけるサイバーセキュリティの取り組みとプログラムを支援するため、各種セキュリティ脆弱性の「既知および悪用済み」一覧への追加を継続的に行っています。この一覧は素晴らしいリソースですが、ここで追跡されている脅威は各機関の責任において防御する必要があります。しかし多くの機関では、リソースの制約とサイバースキルギャップの拡大が妨げとなり、公共部門の重要なデータや資産が攻撃に対して脆弱なままとなっています。

BlackBerry が選ばれる理由

BlackBerry はこれまで数十年にわたり、最も重要なシステム、ネットワーク、アプリケーションの多くを世界中で保護してきました。その中には世界各国の政府に属する数多くが含まれます。BlackBerry の侵入テストチームは、規制に沿った侵入テストからカスタムメイドの攻撃者シミュレーションまで、あらゆるテストを実施できます。BlackBerry® Security Services には拡張性があり、50 から 40 万以上のエンドポイントを持つさまざまな規模の組織に協力しています。これらのサービスでは、お客様の組織のニーズに応じて自動または手動のアプローチを採り、真のリスクの特定に注力できます。

BlackBerry の専門家は、政府のお客様と最高レベルの連携を行ってきた経験を通じ、規制や時間的制約の厳しさに基づくさらなるニーズを把握しています。また、BlackBerry Security Services のチームは、各プロジェクトにエンゲージメントマネージャーとテクニカルリードの両方を配置した上で、多層にわたる監視を組み込み、複数のエスカレーションパスを提供します。それによりお客様は、組織における各階層の状況が明確になります。

この献身的な取り組みが実を結び、BlackBerry は 2021 年の SOC X World Championship で第1位を勝ち取りました。この大会は、世界各国から50 組の SOC（セキュリティオペレーションセンター）やインシデント対応（IR）チームが参加し、実際の攻撃への対処能力を競うもので、年次開催されます。BlackBerry のチームはまた、2021 年の DEF CON 29 で開かれた OpenSOC Network Defense Range（NDR）でも 1 位と 3 位に輝いています。

BlackBerry Security Services を導入すると、ネットワークはあらゆる種類のサイバーセキュリティ課題に関して評価されます。その結果、パッチの適用漏れ、設定の不備、リモートアクセスやその他の問題に起因する脆弱性が特定されます。お客様の組織には、リスク評価の結果とともに推奨事項の詳細なリストが提供されます。推奨事項の多くは製品にもベンダーにも依存せず、特定された問題を可能な限り効率的に解決するよう設計されています。さらに BlackBerry の専門家が変更の適用を支援し、予防優先の方法論で強固かつ効果的なセキュリティ体制を構築します。

BlackBerry は世界中の組織と機関に信頼されるパートナーとして、お客様に安心をもたらす製品・サービス群を提供します。それによりサイバーイベントを予防し、検知と侵入に関する報告を行うとともに、組織の環境において避け難い侵害に対処します。

このブログでの連載が、侵入テストへの取り組み方を理解する一助となることを願っています。定期的な侵入テストプログラムから得られる利点が大きな違いを生むことを、筆者も身をもって体験しています。

同様の記事やニュースの配信を希望される場合は、BlackBerry ブログの購読をご検討ください。