Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

情報収集と机上演習の重要性

Security Online Dayイベントでの名和さんの記事が出ていました。

enterprisezine.jp

特に、海外の知見の活用により日本全体のセキュリティの底上げをすることに注力している。名和氏は、日本のセキュリティ対策において、まだ伸びしろのある部分があると指摘。それは、「豊富な情報を利活用できていないこと」だとした。

 

インシデント対応において誤認識や不理解があると誤指示につながり、回避や抑止をするはずが拡大や潜在化を引き起こす可能性もある。日本では、本来正しく行うべき検知・認知、理解・判断、指示・支援のロジックがうまく機能していないと名和氏は指摘した。その大きな要因には、インシデントが発生した際に顕在化事象しか見ずに、潜在化事象を把握できていない状況があるとした。海外には潜在化事象を提供するサービスが数多く提供されているが、これには安くない費用がかかってしまう。  

 そこで活用すべきものが公然情報。こうした情報の中には、ヒントやトリガーがたくさん記載されているし、無料で入手できる。これを使わない手はないと名和氏は強調した。また、サイバー演習を実施している企業や組織は多いが、机上演習はあまり実施されていない。呼び方は異なるものの、自衛隊海上保安庁、警察などでも机上演習が行われており、英語で「Tabletop Exercise」と呼ばれることから「TTX」として説明した。  

Enterprisezine記事より引用)

◆キタきつねの所感

日本のトップガンこと、名和さんとは何度か会話させて頂いたことがあります。その都度感じるのが、「自分はまだまだ未熟だな」という点。色々なヒントを頂けるのですが、正直、その高度な含蓄がある話を理解するのは、自分たちのレベルを上げていかないといけない、講演での簡単なコメントの裏側にある「何か」を考えると、そう思えてしまいます。

※冗談ぽく話されるのですが、実は裏に何か事件情報が隠れていたりする事も多いようです。

 

Securit Online Dayのイベントは私はいけませんでしたが、記事にあるような話が聞けるなら行きたかったなと思います。詳しくは記事を見てもらったほうが良いかと思いますが、セキュリティインシデントに関しては、私も追っかけているテーマでもあるので、「顕在化事象しか見ずに、潜在化事象を把握できていない」という部分については非常に共感を覚えます。

 

氷山の一角という言葉がありますが、インシデントによっては攻撃キャンペーンの1つの要素が表面化しただけ、という事もあります。あるいは偵察活動中のハッカーの行動が漏洩したという場合もある訳で、仮説を伴いながら、事件の背景を考える、それがないと本質を見誤ることもある、そんな風に私はこの言葉を捕らえました。

 

豊富な情報が活用できてない部分、これも情報の波に押し流されて、あるいは海外インシデントで原文(ソース)を確認せずに、日本語の記事だけで真実を見極めようとするなど、日本企業の経営層やIT担当者が「楽をしている」事を指しているとも読み取れます。

日本では米国、英国などに比べて、セキュリティ関連で情報発信をする方が少ない傾向がある気がしているのですが、情報発信までは行かないまでも、情報収集・分析の分野でも海外に比べて後手にまわっているところが、最近海外ハッカーに突かれている、そんな風にも考えられそうです。

 

情報収集・分析、そうしたトレーニングの重要性を説いたのが、机上演習(TTX)なのではないでしょうか。陸上自衛隊にも在籍されていた名和さんらしい軍隊的なトレーニングだと思います。またその効果は、良い教官が居ればとても高いと思います。良い教官・・おそらくここが日本の多くの企業(組織)にとっての問題ではないでしょうか。

 

セキュリティ人材が足りない。色々と言われますが根本的に足りないのは有効なトレーニングを教えられる人材、なのかも知れません。

 

氷山の一角のイラスト

 

 

更新履歴

  • 2018年11月10日PM(予約投稿)