AppGuard Blog

「防御」と「対処」どちらに投資する?

Tech Note

「防御」と「対処」どちらに投資する?

厚生労働省が発表した「感染症発生動向調査週報(2019年第50週)」によればインフルエンザの感染被害が例年同時期に比べてもかなり多くなっているそうです。サイバー空間にいるマルウェア同様にインフルエンザウイルスは抗原変異を頻繁に繰り返すことから完璧な対策が難しく厄介な存在です。今回は季節柄、インフルエンザを例にサイバーセキュリティ対策における「防御」と「対処」についてお話をさせていただきます。

「防御」OR「対処」?

最近、企業の担当者から「100%の防御が難しい状況下において、すり抜けてくる前提でそれらを検知して対処する仕組みを構築するべきなのか?」というご相談をいただく機会が増えています。教科書的な回答をするのであれば「Yes」となりますが、そのような回答をすると「あなたなら限りある予算と人員という制約下において、あえて1つ強化するならば防御と対処どちらにするか?」と理想論ではなく現実論として、どこに落とし所を見出すべきなのかという質問が返ってきます。当たり前の話ですが、セキュリティ事業者が語る「あるべき論」は全ての組織にとって最適解となるわけではありません。

この手の質問が増えた背景には、NIST(米国国立標準技術研究所)が発行したセキュリティ標準ガイドライン「NIST SP800-171」が国内でも認知され始めたからではないかと考えられます。このガイドラインは「Controlled Unclassified Information=非格付け情報(CUI)」を持つ民間企業が講じるべきサイバーセキュリティ対策をまとめたフレームワークとして位置付けられています。CUIは「機密ではない重要な情報」というややこしい表現が使われていますが、具体的には個人情報や安全保証情報、仕様書や設計書等を指しています。このガイドラインでは、現在の組織がサイバーセキュリティ対策に対する整備の度合いを棚卸しした上で満たすべき組織・人・技術項目の洗い出しとギャップを埋める取り組みを推奨しています。しかし、断片的な解釈で「事前・事後のセキュリティ対策を求めるもの」として、本来の意図と少し外れた解釈をされてしまっている節もあります。

企業が講じるべきセキュリティフレームワークとは

上図はガイドラインで規定されているNIST CSF(Cyber Security Framework)で提起されるフレームワークの基本構造を表したものです。ガイドラインでは「定義」「防御」「検知」「対処」「復旧」の5つの機能で構成され、組織内でどの機能がどの程度整備されているのか定量化するための評価基準等が体系的にまとめられています。前述の「防御と対処」の話における質問はこのフレームワークが出所と思われます。技術的な措置という観点では「PROTECT(防御)」がウイルス対策やUTMに代表されるサイバー攻撃に対する予防措置で、「DETECT(検知)」「RESPOND(対処)」が予防措置を突破されてしまった場合にその対象を特定した原因を取り除く事後対処にあたりEDR(Endpoint Detect & Response)、SIEM(Security Information and Event Management)やサンドボックスといったものが挙げられます。

本題に戻りますが、筆者は「防御と対処」の質問を受けた際に、1つの考え方として以下の様に回答をしています。

“限られたリソースの中で投資をするのであれば、まずは「防御」が良いのではないでしょうか?例えば、インフルエンザが流行する時期になると我々は様々な予防策を講じると思います。効果があるかどうかは別問題として、予防接種・マスク着用・手洗い・アルコール殺菌・うがい・栄養のある食事・十分な睡眠・部屋の加湿等・・・いずれの予防策も専門性は不要ですし、必要となる費用も微々たるものです。しかし、いざインフルエンザに感染した可能性が疑われる場合、我々は専門性を持った医師に診断を仰ぎ、感染していた場合は高額な薬を処方してもらう必要があります。

サイバーセキュリティ対策でも同様のことが言えると思います。いわゆる、「防御」を目的とした対策は適切なポリシー設計さえできれば、大きな効果と管理者の手離れも良くコストパフォーマンスにも優れます。一方で「対処」を目的とした対策はアラートを管理者がトリアージして状況に応じた柔軟かつ専門的なアクションが要求されます。また、それを実現するツールは防御するツールよりも高額なものが多くなっています。

防御する製品も高機能化が進んでおり、サイバー攻撃が簡単にすり抜けるような状況が発生しにくくなっているのも事実です。また、そもそもの話として「防御」が正しくできていなければ相対的にすり抜ける攻撃は増えてしまいますので、結果的に対処するためのリソースも多く消費することになります。そのため、まずはできる限りの防御策を講じた上で「検知」「対処」に投資するべきかどうかを検討されてはどうでしょうか?”

AppGuardの概念

なお、弊社が提供する「AppGuard」はNIST CSFにおいては「防御」に当てはまると考えられますが、弊社としては「AppGuard」が本来提供できる本質的な部分を表せていません。そこで、下図の様に「防御」と「検知」の間に「PREVENT(防止)」という概念を加える形でその位置付けを明確化させていただきました。

「AppGuard」は「防御」を突破された場合でもそれ以降の攻撃プロセスを成立させない様に「防止」活動を行います。また、その結果としてインシデントを発生させないことから「検知」「対処」におけるスキルギャップや運用コストの課題に寄与することができます。

参考:新概念のエンドポイントセキュリティ「AppGuard」

2020年1月10日

株式会社Blue Planet-works

Director, Security Advisor

鴫原祐輔



ページトップに戻る