EN

NRIセキュア ブログ

脅威ベースのリスク対応とは?|対応能力を高める成熟度評価と物理侵入テストの実践例

目次

    脅威ベースのリスク対応能力を向上させるために取るべき対策例

    脅威ベースのリスク対応とは、攻撃者の手口や脅威動向等を基に対策を行うアプローチです。本記事では、脅威インテリジェンスに関するフレームワークを活用した成熟度評価に加えて組織特有の状況を考慮した課題抽出とその優先順位付けを行う手法と、ソーシャルエンジニアリングを含む物理侵入テストの実践例を解説します。 

     

    想定読者としては以下のような感触をお持ちの企業のご担当者の方です。

    「脅威インテリジェンスに関する情報収集まではそれなりにできていると思うものの十分に活かしきれていない」

    「特定の規格・基準やガイドライン・フレームワーク等に適合・準拠しているものの昨今の先鋭化した脅威によるインシデント発生時に努力義務を果たしたと言えるか不安」

    「情報システムとは異なる人間の心理的な弱点を突いた攻撃に耐えられるかどうか分からない」

    ご所属組織に影響しうるサイバーセキュリティ上の脅威への対応を最適化することの一助となることを想定しております。

    脅威ベースのリスク対応

    サイバー攻撃による脅威は日々巧妙化かつ広範囲への拡がりが見られる中、特定の基準等の活用による網羅的なリスク管理措置を組織の防護対象全体に対し平準的に適用するアプローチのみとした場合は、本来優先順位が高くより重点的に対応すべき対策が講じられず、攻撃者による攻略の容易化を招く可能性もありえます。

     

    そこで、高度な攻撃の標的となりうる組織においては、脅威ベースのリスク対応を従来のセキュリティ対策に上乗せする形で適用することが標準的となりつつあります。ただし、これはあくまで従来型対策への『上乗せ』です。業界・業態・規模に照らして最低限求められるベースラインの対策は、引き続き必須として講じる必要があります。

     

    脅威ベースのリスク対応例として、脅威インテリジェンスの活用やTLPT、脅威ハンティングの実施など様々であり、どのような範囲にて、どの程度、どのように実施していけばよいかの解は組織毎に異なることから簡単には見出せず、ベースラインアプローチなどのように一定の水準に照らして成熟度等を指標化することは容易ではありません。

     

    このような問題意識から、脅威ベースのリスク対応に関するサービス提供のご依頼が増えてきている現状があります。

     

    脅威インテリジェンスやTLPT、脅威ハンティング等に関する弊社のコンテンツ・サービスメニュー等は以下をご参照ください。

     

    脅威インテリジェンスとは?活用が進んでいる企業の3つの取り組み|ブログ|NRIセキュア

    脅威インテリジェンスの活用事例|得られる価値とは?|ブログ|NRIセキュア

    TLPT(脅威ベースのペネトレーションテスト)とは?脆弱性診断との違いを解説|ブログ|NRIセキュア

    NRIセキュア、脅威ハンティングの態勢構築を支援するサービスを提供開始|ニュース|NRIセキュア

    ハニーポット運用で脅威インテリジェンスを強化する|独自情報収集の実践|ブログ|NRIセキュア

    脅威インテリジェンスの活用能力向上及び組織状況に応じた最適化について

    上記のような課題に対し、脅威情報を適切に活用できているかを一定の尺度を用いて評価するモデルについては複数公開されてきており、これらが定義する要求事項等への適合性評価に加えて、コンサルタントによる組織毎の最適な脅威インテリジェンスの対象スコープの見定めとそれに対応する管理策の適切性の評価をハイブリッドに行うことで、ご支援対象組織様の現況に即したあるべき成熟度とのギャップと課題(推奨策)の可視化を行うサービスを弊社にて提供開始しております。

     

    公開モデルによる成熟度評価(例)※各スコアはダミー値

    フレームワークを用いたアセスメント結果及び総評

    具体的には、CTI-CMM[i]やMITREの公開するMITRE INFORM[ii](旧:M3TID[iii])などのフレームワークを活用いたします。現在、関連する各フレームワークの開発・更新状況は流動的であり、時節に応じたものをご要望等も踏まえて選定いたします(上記図はM3TIDに基づく評価結果の例)。

     

    また、公開フレームワークのみによらず、優先すべき防護対象や懸念される脅威等を丁寧にお聞きしたうえでお客様毎にカスタマイズした評価方法による現況の可視化、課題の洗い出し及びその優先順位付けの仕組みを追加的に適用し、本来的に必要と考えられる管理措置の洗い出しをご支援いたします。

     

    洗い出された課題の解決効果と解決難易度に基づく優先順位の決定(例)
    洗い出された課題の解決効果と解決難易度に基づく優先順位の決定(例)

    上記は洗い出された課題群に対し優先順位付けを行うため、課題を解決した場合の効果の大きさと解決するための難易度の双方により評価するための指標の例です。こちらも組織毎に課題の緊急性や投資可能額、追加可能な人的リソース等が異なるため、各指標の定義も個別にカスタマイズして対応いたします。

     

    例えば、上記の「短期」や「中長期」の具体的な期間はお客様の状況に応じて定めることなどがあります。

     

    個別の課題カード(例)

    対象脅威アクタの用いるTTPツール情報を用いた脅威ハンティングが適切に実施できていない

    上記はヒアリングや公開モデルによる成熟度評価などから洗い出された課題の一例です。

     

    成熟度モデルでは、評価対象範囲(例:組織全体、特定部門など)の全体的な方針や状況を指標化しやすい一方、個別の情報源毎の重要性やその活用レベルなどを詳細に評価することが難しい側面があります。

     

    ヒアリングではこのように成熟度モデルでは測りにくい要素を中心に評価を補完し、成熟度モデルによる指標化とあわせて、より本来的な課題抽出とその対策を優先順位付きで洗い出していきます。

     

    各課題が洗い出された後、次の表のように対応が推奨される優先課題もご提供し、組織の経営幹部等の決裁者に対しても相応に納得感のある計画策定の一助としていただくことが可能です。

     

    全課題から優先順位付けに基づき抽出した優先課題一覧(例)

    対応が推奨される優先課題一覧(今回洗い出した53の課題の内、優先度基準に基づく順位1~3を抽出)

    当該コンサルティングサービスの開始時には所属業界分野や組織特有の事情に基づいて懸念される対象脅威の洗い出しを行うことと並行して、ご支援開始時点における収集情報(ご所属業界のISACや政府関連機関等との情報交換状況も含む)と当該情報の社内活用状況などをお伺いさせていただくことから始まることが多いと思われますが、組織様毎に状況は様々であるため、ご関心がおありの際はサービスについてお気軽にお問い合わせください。

    物理侵入テストに基づく対策評価のご支援

    上記でも挙げたTLPTに関連し、特に物理的なセキュリティ対策評価のご依頼も増えてきており、特に人間による物理侵入対策の評価支援のご依頼を国内外の多くのお客様からお声がけいただいています。

     

    フロンティアAIが台頭しつつある現状では、情報システムの脆弱性発見の容易化が見込まれうる一方、人間の心理面に起因する脆弱性については引き続き一定期間は数多く残存すると見込まれることから、状況によりその投資価値が相対的に大きくなる可能性もあります。

     

    特に日本国内においては文化的な慣習が影響する可能性もあり、自分のすぐ後ろから続けて入館する者が見知らぬ顔であった場合においても、ドアやゲートを開けたまま認証状態を維持することで共連れを許してしまい、悪意のある脅威アクタに侵入されてしまうケースがありうるかもしれません。

     

    なお、物理侵入のアクタとしては必ずしも人間のみに限りませんが、例えば制御システム等が稼働する工場システムにおいては齧歯類等からのシステム稼働環境保護などが必要となる場合があるものの、このようなケースでは人間による侵入ケースと比して画一的な机上評価等が可能と考えられます。

     

    ただし、昨今ニュースでも多く取り上げられる国際問題に起因した核燃料施設への攻撃手法の一部として、過去には物理侵入が用いられ、実際に遠心分離機に損傷を与えることでウラン濃縮活動を停止に陥らせた事案があります。

     

     工作員を標的施設に直接送り込むほか、当該核燃料施設オーナが発注する正規業者がサプライチェーン攻撃を受け、当該正規業者にゼロデイ脆弱性の悪用ルーチンを含むマルウェアデータが格納された媒体を制御ネットワークに持ち込ませる方法です。

     

    このように、他のネットワークと接続しないスタンドアロン環境により物理的な隔離を行うエアギャップによる対策は制御システム以外も含め有効性の高い防御方法となりますが、脅威アクタが物理侵入を用いる可能性を想定されうる場合においては物理的な侵入対策の評価が重要となる場合があります。

     

    金融庁公表の「金融分野におけるITレジリエンスに関する分析レポート」[iv]では、TLPT実施にあたっての推奨方針として技術面のみならず、物理侵入への対応として、特にソーシャルエンジニアリングも含めた攻撃への耐性を実際にテストすることも推奨されています。

     

    これは脅威アクタによる建屋への物理的な侵入への対策も推奨されているということになります。具体的には組織の従業員や発注業者になりすまし、セキュリティゲートの共連れや何らかの方法による一時入館などを経て侵入され、脅威アクタの持つ目的達成のために謀られるといったことが想定されます。

     

    最近の報道では政府が合法的に架空のパスポートなどを用いた仮装身分の導入を検討する方向で調整に入ったことが報じられています[v]。こちらは国の安全保障のための施策案となりますが、国レベルのみならず個々の組織単位においても、状況に応じカウンターインテリジェンスに関連した物理的対策の導入検討の必要性が増してくるかもしれません。

     

    ソーシャルエンジニアリングを用いた物理侵入等の対策評価結果(例)

    Part of Final Report Sampleこのようなソーシャルエンジニアリングを用いた物理的な侵入に対する耐性評価のご支援についても弊社では2024年の夏頃から開始しております。

     

    グローバル企業からのご要望が多く、上記の表は評価結果レポートのサマリであり、実際のレポートはご要望に応じたエビデンスなどを盛り込んだ文章形式となります。

     

    こちらのサービスは本記事の公開時点では御引き合いをいただいた際のみ開示しているため、ご関心がおありの際はお問い合わせください。

     

    お問い合わせはこちら

     

    参考:

    [i]https://cti-cmm.org/

    [ii]https://center-for-threat-informed-defense.github.io/inform/

    [iii]https://ctid.mitre.org/projects/measure-maximize-and-mature-threat-informed-defense-m3tid/

    [iv]https://www.fsa.go.jp/news/r6/sonota/20250630-2/20250630.html

    [v]https://www.sankei.com/article/20260508-2KIZIEQFDNLPRJN3K2NGX4L6DM/