ネットワーク・セキュリティに関してはいくつもの考え方がありますが、考え方の1つに、”ビフォア - デュアリング - アフター” があります。このブログでは、この3つのフェーズについて掘り下げます。ITのインシデントや問題の管理に特化されたこの考え方は、IT部門で採用する意義があります。
持続的標的型攻撃(advanced persistent threats、APT) や脆弱性などで、エクスポージャのリスクが増大し、偶発的または意図的なデータ漏洩や攻撃の被害を受ける可能性が高まります。様々な防御や封じ込め策を実装できるセキュリティ設計が必要で、種々のツールやプロセス、そして担当者が関与します。
セキュリティはソリューションとして設計されているため、インシデントや問題の管理には、ソリューションをサポートするアプローチが不可欠です。インシデントが発生した場合、特に重要になるのは問題の検出と修復のスピードです。
ビフォア・フェーズ
フェーズ1:検出-実施-強化
検出-実施-強化のステージは、「何がわかっているか」、どういう対策が考えられているか、そして何をどう保護するか、を確認する段階です。この段階は、検出と、ユーザー、機器、オペレーティングシステム、ネットワーク、エンドポイント、アクセスコントロール、アプリケーション、データベースなどの様々なコンポーネントの視覚化で始まります。コンポーネントが特定されると、各レベルでのポリシーの策定と実施を組織の要件に合わせて計画することができます。
事業継続性を確保するためには、コントロールと柔軟性を維持することが最も重要です。堅固な保護のためにはビジネス環境内のすべての重要なコンポーネントを強化することが、ビフォア・フェーズのキー・ポイントになります。
ビフォア・フェーズには、綿密な計画、設計、実装が含まれます。このフェーズは、攻撃、侵入、漏洩などの脅威から組織を保護するために、最新の自動化機能と保護機能が組み込まれた最適なツールをしっかり見極めて選択する段階です。本質的には、脆弱性を最小限に抑える事前防御的なアプローチをとります。
デュアリング・フェーズ
フェーズ2:探知-ブロック-防御
このフェーズでは、ソフトウェアやデバイスの脆弱性をついて、意図的または偶発的にネットワーク上で脅威が展開されています。これらのインシデントを探知するには、疑わしい動きを特定するための適切なツール、明文化された手法、ITプロセスの知識などが必要です。攻撃や侵害を探知することは非常に高度で困難な作業であるとともに、一刻を争うタスクでもあります。
脆弱性が特定されたら、適切な手段を使って脅威をブロックする必要があります。特定のツールを使ったりポリシー設定を変更したりすることでブロックしたり保護したりできる攻撃もありますが、侵入の被害を最小限に抑えることで防御するしかない攻撃もあります。
データ侵害が発生したら、サービス可用性とリスクの影響とのトレードオフを考慮して、ブロックまたは防御措置を講ずる必要があります。また、フォレンジック情報を取得することも重要な作業です。
デュアリング・フェーズでは、セキュリティ専門家に依頼してツールや専門知識を活用した強硬な操作を実施してもらう必要が出てくるかもしれません。
アフター・フェーズ
フェーズ3:スコープ-抑制-修復
修復が行われたあと、攻撃やデータ漏洩のスコープを確認する必要があります。実際の被害と今後起こり得る被害について精査し、フォレンジックを使ってさらに分析することも重要です。データ侵害を効果的に抑える方策を考察し、さらに改善策を検討する必要があります。
アフター・フェーズでは主に、フォレンジックの一部としてのログなど、インシデントの調査と報告のためのプロセスとツールの最適化が行われます。