セキュリティ監視入門! MITRE ATT&CK編 その②現状の評価

前回はMITRE ATT&CKのフレームワークの概要を説明しました。ここからは、MITRE ATT&CKのフレームワークを適用していく、その前に必要な現状を理解するフェーズを簡単に書いていきます。

なんでもそうですが、改善するには現状を知る事が重要です。現状を知りTOBEを目指すためには何が課題になっているかを認識し、改善を進めていきましょう! 


2. 現状の評価

2.1 セキュリティ対策の現状把握

セキュリティ対策を強化する前に、まずは既存のセキュリティ対策の効果を正確に評価し、その現状を把握することが重要です。このセクションでは、その評価方法とセキュリティポリシー、プロセスの確認方法について説明します。

セキュリティ対策の評価
既存のセキュリティツールと対策の有効性を評価するためには、どのような脅威が阻止され、どのような脅威が検出されなかったかを理解する必要があります。過去のインシデントレポートやログデータの分析、ペネトレーションテストや外部のセキュリティ評価を利用して、対策の効果を検証することができます。また、6章で後述する(あくまで予定👼)シミュレーションテストもセキュリティを評価する有効な手段の1つになります。

セキュリティポリシーの確認
組織のセキュリティポリシーは、セキュリティ対策の基盤となるものです。ポリシーが最新の脅威情報に基づいて更新されているか、また、実際の業務プロセスと整合しているかを確認することが重要です。ポリシーの見直しを通じて、セキュリティ対策のギャップを発見し、改善策を講じることができます。

プロセスの最適化
セキュリティ対策の効果を最大化するためには、関連する業務プロセスの最適化が必要です。インシデントレスポンス、脅威インテリジェンス、セキュリティ監視などのプロセスを見直し、効率化と効果の向上を図りましょう。

これらのステップを踏むことで、組織はセキュリティ対策の現状を正確に把握し、強化すべきポイントを明確にすることができます。これは、セキュリティ対策を次のレベルへと引き上げるための第一歩となります。

2.2 ログ収集の状況分析

セキュリティ監視を効果的に行うためには、適切なログデータの収集が不可欠です。このセクションでは、現在収集しているログの種類と量を分析し、ログ収集のギャップや改善点を特定する方法について説明します。

ログの種類と量の把握
まず、現在収集しているログの種類と量を正確に把握する必要があります。これには、ネットワーク機器、サーバー、アプリケーション、セキュリティツールからのログが含まれます。各ログの内容とその重要度を評価し、セキュリティ監視においてどのログが重要であるかを判断します。

ログ収集のギャップの特定
次に、ログ収集のギャップを特定します。これには、重要な情報を含むにも関わらず収集されていないログや、収集されているが分析されていないログが含まれます。これらのギャップを埋めることで、セキュリティ監視の効果を向上させることができます。

ログ収集の改善
ログ収集のギャップを特定したら、次は改善策を講じます。これには、収集すべき新しいログソースの追加、不要なログのフィルタリング、ログデータの構造化などが含まれます。また、ログ収集のプロセスを自動化し、リアルタイムでの分析を可能にすることも重要です。

これらのステップを踏むことで、組織はログ収集の状況を正確に把握し、セキュリティ監視の効果を最大化することができます。ログ収集の最適化は、セキュリティインシデントの迅速な検出と対応に直結するため、非常に重要なプロセスです。

2.3 インシデントレスポンスの準備状況

セキュリティインシデントが発生した際に迅速かつ効果的に対応するためには、事前の準備が不可欠です。このセクションでは、インシデント発生時の対応体制とプロセスの評価、およびインシデントレスポンスチームの訓練と準備状況について説明します。

対応体制とプロセスの評価
まず、現在のインシデントレスポンスの対応体制とプロセスを評価します。これには、インシデント発生時に誰がどのような役割を果たすのか、どのような手順で対応するのかを明確にすることが含まれます。また、必要なツールやリソースが整っているかどうかも確認する必要があります。

インシデントレスポンスチームの訓練
インシデントレスポンスチームのメンバーは、インシデント発生時に迅速かつ効果的に対応できるよう、定期的な訓練を受ける必要があります。これには、シミュレーション演習やテーブルトーク演習が含まれます。これらの訓練を通じて、チームは実際のインシデントに近い状況での対応スキルを向上させることができます。

準備状況の継続的な改善
インシデントレスポンスの準備状況は、一度設定すれば完了というものではありません。セキュリティ環境の変化に合わせて、対応体制とプロセス、チームの訓練を継続的に見直し、改善することが重要です。これにより、組織はインシデント発生時に迅速かつ効果的に対応し、被害を最小限に抑えることができます。

このセクションを通じて、インシデントレスポンスの準備状況を確認し、必要に応じて改善策を講じることで、組織はセキュリティインシデントに対するレジリエンスを高めることができます。

2.4 スキルとリソースの評価

セキュリティ対策の効果を最大限に発揮するためには、セキュリティチームが適切なスキルセットとリソースを持っていることが不可欠です。このセクションでは、セキュリティチームのスキルセットとリソースの評価方法と、必要なスキルやリソースのギャップを特定する方法について説明します。

セキュリティチームのスキルセットの評価
セキュリティチームのメンバーが持っているスキルセットを評価し、現在のセキュリティ対策に対して十分かどうかを判断します。これには、各メンバーの専門知識、経験、認定資格などを考慮に入れる必要があります。

リソースの評価
セキュリティチームが利用できるリソースを評価します。これには、ハードウェア、ソフトウェア、予算などが含まれます。十分なリソースがなければ、セキュリティ対策の効果は制限される可能性があります。

スキルとリソースのギャップの特定
スキルセットとリソースの評価を通じて、必要なスキルやリソースのギャップを特定します。これにより、セキュリティチームがどのエリアで強化が必要かが明確になり、適切なトレーニングプログラムの導入や追加のリソースの確保が可能になります。

このセクションを通じて、セキュリティチームのスキルセットとリソースを適切に評価し、必要な強化策を講じることで、組織全体のセキュリティ対策を向上させることができます。

2.5 リスク評価

セキュリティリスクの評価と優先順位付けは、組織のセキュリティ対策を効果的に計画し、実施する上で不可欠なプロセスです。このセクションでは、セキュリティリスクの評価方法と、リスク軽減のための戦略と計画の策定について詳しく説明します。

セキュリティリスクの評価
セキュリティリスク評価は、組織が直面する潜在的なセキュリティ脅威と脆弱性を特定し、それらのリスクを評価するプロセスです。これには、外部からの攻撃だけでなく、内部からの脅威も含まれます。リスク評価を行うことで、組織はどのリスクが最も重要であるかを理解し、リソースを効果的に割り当てることができます。

リスクの優先順位付け
リスク評価の結果を基に、リスクの優先順位を付けます。これにより、最も重要なリスクから順に対処することができ、リソースを最も効果的に使用することが可能になります。優先順位付けは、リスクの影響度と発生確率を考慮して行います。

リスク軽減の戦略と計画
リスク評価と優先順位付けを行った後、リスクを軽減するための戦略と計画を策定します。これには、セキュリティ対策の強化、セキュリティポリシーの改訂、従業員の教育と訓練などが含まれます。リスク軽減の計画は、組織のセキュリティ対策を継続的に改善し、新たな脅威に対応するために定期的に見直しと更新を行う必要があります。

このセクションを通じて、セキュリティリスクの評価と優先順位付けを適切に行い、リスク軽減のための戦略と計画を策定することで、組織はセキュリティインシデントのリスクを最小限に抑え、ビジネスの継続性と情報資産の保護を確保することができます。

2.6 現状評価のドキュメント化

セキュリティ対策の現状とリスクの状況を正確に把握し、共有するためには、これらの情報を文書化することが不可欠です。このセクションでは、現状評価のドキュメント化の重要性と、ドキュメントを利用したコミュニケーションと意思決定支援について詳しく説明します。

セキュリティ対策の現状の文書化
セキュリティ対策の現状を文書化することで、組織内の関係者がセキュリティの状況を正確に理解し、必要に応じて適切な対策を講じることができます。文書化された情報には、セキュリティポリシー、情報資産の一覧、使用しているセキュリティツールとソフトウェア、リスク評価の結果、インシデントレスポンス計画などが含まれます。

リスクの状況の文書化
リスクの状況を文書化することで、組織が直面しているセキュリティリスクを明確にし、リスク軽減のための優先順位を設定することができます。文書化されたリスク評価は、組織内でのコミュニケーションを促進し、リスクに対する認識を高めるのに役立ちます。

コミュニケーションと意思決定支援
文書化された情報は、組織内でのコミュニケーションを促進し、セキュリティに関する意思決定を支援します。関係者が同じ情報を共有することで、セキュリティ対策の方向性やリスク軽減のための戦略について合意形成を図ることができます。また、文書化された情報は、将来的なセキュリティ対策の計画や評価の際の基礎としても利用することができます。

このセクションを通じて、現状評価のドキュメント化の重要性と、ドキュメントを利用したコミュニケーションと意思決定支援の方法について理解することができます。文書化された情報は、セキュリティ対策の透明性を高め、組織全体でセキュリティ意識を共有するための強力なツールとなります。


今日は、現状の評価について書きました。次からはどういった手法でMITRE ATT&CKを適用していくのかを書いていきます。楽しみにしておいてください!

TryHarder!!


このブログの人気の投稿

リスクアセスメント

イメージ
  これまでに、上場準備やISMS、Pマークとかで、どこかの第三者機関にリスクアセスメントをされる機会が幾度となくあったんですが、あまりしっくりこなかったので、たぶんこんな感じでやるのが良いんやで!ってのを簡単にに書こうかなと思います。 普段リスクアセスメントをやってる(やらされている)けど、これでいいのかわからないという方の参考になれば良いなと思います。 大事なのは “ 解像度 ”
Read more »

セキュリティ監視入門! MITRE ATT&CK編 その①フレームワークの理解

イメージ
最近はもっぱらジム行って筋トレと水泳しかしてないですが、久し振りにブログを書こうと思います。 何を書くかと言うと、じつは少し前に、MITRE ATT&CKを完全に理解しました。せっかくなので、これを忘れないうちにアウトプットしていきます。あと、このフレームワークはセキュリティ監視をする上でとても役に立つため、知ってもらいたいと思っています。 今のところ、全部で10章くらいの予定なんですが、一気に書くのは不可能なので、1章ずつ小出しにして行こうと思ってます。 目次はこんな感じです。 セキュリティ監視入門! MITRE ATT&CK編 フレームワークの理解 現状の評価 テクニックの選定 ログ収集の最適化 検出ルールの作成・最適化 シミュレーションテスト 監視体制の強化 継続的な学習 定期的なレビュー スタッフの教育・トレーニング 今日は「1. フレームワークの理解」です。 では、さっそく。
Read more »