攻撃者から優位性を取り戻せ 開発運用における“4つの極意”Cybersecurity Dive

サイバーセキュリティ業界において、攻撃者と防御者のいたちごっこが続く中、防御側が優位に立つためにはどうすればいいのか。

» 2023年09月17日 07時00分 公開
[Matt KapkoCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 クラウドサービスプロバイダー事業を営むFastlyのCTO(最高技術責任者)でオフィスにおけるシニアプリンシパル・エンジニアであるケリー・ショートリッジ氏は、脅威要因に対抗するために、攻撃者と同じ戦術を防御に活用することを目指す「レジリエンスの革命」と題した取り組みを展開する。

 ショートリッジ氏は2023年8月9日(現地時間、以下同)の「Black Hat USA 2023」のプレゼンテーションで「サイバーセキュリティ業界では攻撃者が私たち防御者を常に上回っていると感じる。攻撃者は迅速に行動して絶えず進化している。私たちはどうすれば彼らに追い付けるのだろうか」と述べた。

 「その答えは、私たちが攻撃者のように機敏で、経験豊富で、好奇心旺盛になることだ」(ショートリッジ氏)

必要なのはレジリエンスを中心にした防御の再構築

 ショートリッジ氏によると、防御者はシステムの防御をレジリエンスを中心に再構築し、攻撃者の優位性を自分たちのものにすることで、攻撃者に追い付けるようになるという。

 この方向転換の大部分は、最新のソフトウェアエンジニアリングがどのように実行されているかに依存する。ソフトウェアの製造と管理に関連する開発ツールやプロセスは今日のセキュリティ目標の達成にポジティブな効果をもたらす。

 ショートリッジ氏は「業界全体がAI(人工知能)に重点を置く一方で、ソフトウェアに関連する領域の他の場所で起こっている画期的な出来事を見逃している。それは悲しいことだ。私たちはこの恩恵を最大限に活用すべきだ。しかし今日、私たちはそれができていない。このことに私は強い不満を抱いている」と話す。

 ソフトウェアにおけるこれらの優位性はスピードやデザイン、システム、データに根ざしている。

1.運用を迅速化せよ

 「CI/CD(Continuous Integration/Continuous Delivery)パイプラインを使用した設定やIaC(Infrastructure as Code)の採用によって、防御者は作業を迅速化できる」とショートリッジ氏は指摘する。

 「組織は宣言型の仕様によってインフラを作成および管理し、マークアップによってソフトウェアの変更を宣言することで、手作業のプロセスを低減できる。これによってプロセスの再現性が高まり、設定ミスなどのリスクが軽減される」(ショートリッジ氏)

 CI/CDパイプラインを使用したIaCでは、パッチやセキュリティ修正も自動で数時間以内に展開できる。

 それらの環境において、これらの変更は自動的に追跡され、必要に応じて元に戻すことも可能だ。「これは攻撃者にはできないことだ。彼らには取消ボタンがない」とショートリッジ氏は述べた。

2.モジュール化に基づく設計ベースの防御

 ショートリッジ氏は「軽快な動作を促すソリューションは人間の行動への依存を最小限に抑えて設計されなければならない」と述べる。

 サイバーセキュリティの専門家は通常、安全なアクセスサービスエッジアプリケーションなどのセキュリティツールの実装という簡単な方法を選択し、分離やモジュール化などの設計ベースのソリューションを見逃しがちだ。

 複雑なシステムをモジュール化することで、ストレスの高い状況下でも各部分が独立性を保持し、障害も各部分で個別に発生するにとどまり、攻撃の影響を最小限に抑えられる。

 「分離やモジュール化を採用することで攻撃者の行動を遅らせ、進化を阻止して適応能力を損なうことが可能だ」(ショートリッジ氏)

3.システムを全体として捉える

 組織は技術スタックのあらゆる部分に現れる「これは常に正しい」という前提に疑問を投げかける必要がある。「攻撃者は意図的にこれらの隠れた前提を標的にし、それらを崩そうとする」(ショートリッジ氏)

 ショートリッジ氏は「業界全体として、私たちはデータの送受信に集中し過ぎていて、サービス同士のコミュニケーションを見落としている。攻撃者にとってこれは望ましい状態だ」と語る。

 このような考え方と戦略の転換には、防御側もシステムをコンポーネントで考えるのをやめて、攻撃者と同じようにシステムを全体として捉えることが必要だ。

 「意思決定ストレステストとレジリエンスストレステストは、攻撃者に悪用される前に、防御者がこれらのモデルを継続的に改良するのに役立つ」とショートリッジ氏は述べた。

4.具体的で実行可能な成功指標を設定しよう

 攻撃者は自分たちのキャンペーンの影響を実行可能かつ具体的な方法で認識している。彼らはアクセス権の有無やその量、それがどのようにして目標を達成するために使用されるかを知っている。

 「組織はより迅速な防御行動を知らせるシステムシグナルを必要としており、DevSecOpsやサイトの信頼性エンジニアリングチームからの信頼性シグナルは、その点で非常に有用である」とショートリッジ氏は言う。

 誰がいつ何を展開したか、誰がいつ何にアクセス権を持っているか、データベースのログ、請求記録、高CPU使用率やメモリ不足のアラートなど、全てが組織の防御を強化するのに役立つ。

 ショートリッジ氏は「セキュリティだけでなく、組織の監視スタックを学ぶ必要がある。攻撃者が得るような、より即時的で感覚的なインプットを与えてくれるフィードバックループが必要だ」と述べた。

© Industry Dive. All rights reserved.

注目のテーマ