SANS InfoSec Report 第6回「世界規模のデータソースの分析によって見えたもの−SANS The Top Cyber Security Risks−」

　2009年9月、SANSからここ最近のサイバーセキュリティにおけるリスクをまとめたレポート「The Top Cyber Security Risks」が公開された。これは、2000年から毎年発表されてきた「The 20 Most Critical Internet Security Vulnerabilities（通称：トップ20リスト）」を発展させたものであるといえる。

The Top Cyber Security Risks
http://www.sans.org/top-cyber-security-risks/

　このレポートの最大の特長は、6,000を超える民間企業と政府機関を保護しているTippingPointのIPSから取得した攻撃データと、Qualysが900万台以上のシステムにおいて1億回以上のスキャンを行ったデータを、SANSのトップアナリストやトップインストラクターが分析している点にある。つまり、レポートに記載された検証結果は、かつて結び付けられたことのなかった世界規模の2大データソースとSANSの知力・経験とが融合した成果の反映なのである。

　このレポートでは、今まで考えられていたよりもかなり深刻度が高いものが2つ、冒頭で取り上げられ、対策の優先度を上げるように強調されている。「クライアントサイドのソフトウェアへのパッチ適用」と「インターネットに公開されている脆弱なWebサイト」がそれである。SANSのDirector of ResearchであるAlan Pallerは、「このレポートには、組織がこれらのリスクに対する緩和措置を行うスピードが非常に遅く、しかも投資までが抑制される傾向にある。その代わり、今では比較的重要でなくなった他のリスクを回避・低減する対策に、依然として熱心に投資しているという手堅い証拠も掲載されている。あなたの所属組織に対して重要な問題を修正してほしいと願っているなら、このレポートは経営層の意思決定を推進できる強力なツールになるだろう」とコメントしている。

　また、このレポートでは、昨今の攻撃がどのようにして深刻な被害をもたらしているかを詳しく解説している。これには明確な意図がある。つまり、攻撃がどのように実行されたかを詳細に理解する者だけが、効果的に攻撃を防御することができるという考え方を根付かせなければならないとする意図である。前述のAlan Pallerから話を聞いたことがある。数年前に、ペネトレーションテスト（ペンテスト）の結果と改善勧告を受け取ったあるシステム管理者が、テストの担当者に、「侵入手法やテクニックはもとより、攻撃が成功するに至るまでの思考プロセスなど、もっと多くの情報を開示してくれないと、システムを高いレベルで安全にすることなどできない」と要望した。当時はシステムを診断する側と管理する側では、まったく異なる業務、スキルセットであるとされ、テスト担当者からすれば、「どうして診断ノウハウを渡さなければならないのか」という反発もあったそうだ。だが今では、診断担当者からシステム管理者へこうした情報が伝達され、診断者はより巧妙化する攻撃手法の研究に磨きをかけるようになったという。これはホワイトハウス内での話だとのことだ。

　この「攻撃者が防御者に情報を与えるべき」という考え方は、「サイバーセキュリティにおける最も重要な発見の1つとされている。管理者に相当の攻撃スキルが身についてはじめて、まっとうな防御対策が可能になるのである。

　皆さんの組織には、このような環境があるだろうか。ないと思われたシステム管理者の方には、特にSANSのトレーニングコースをお勧めする。Eric Coleが担当する組織防衛に関するスキルが凝縮されたコース（SEC501：Advanced Security Essentilas - Enterprise Defender -）、Bryce Gallbraithが担当する倫理的ハッキングのコース（SEC560：Network Penetration Testing and Ethical Hacking）、どちらも必ず、組織が直面する最優先課題の払しょくに役立つだろう。

SANS Tokyo 2010 Spring：2月15日〜20日
http://sans-japan.jp/

【執筆：NRIセキュアテクノロジーズサイバーセキュリティラボ関取嘉浩】