The Sliding Scale of Cyber Securityとは

近年、IT技術の進歩により、企業がビジネスを行ううえでITシステムは欠かせないものとなりました。一方で、サイバー攻撃はますます高度化・多様化しており、企業は様々な脅威に対抗できるセキュリティ対策が求められています。しかし、一部の経営者や情報セキュリティ担当者は、サイバーセキュリティの本質を理解しておらず、自組織に何が足りないのか、何をすべきかがわからずに悩んでいるのではないでしょうか。そんな中、サイバーセキュリティの本質を理解できる教材として注目されているのが、The Sliding Scale of Cyber Securityです。本コラムでは、このモデルについてわかりやすく解説し、筆者が様々な視点で考察した興味深い内容をお伝えします。

なお、本コラムには「著者」と「筆者」が登場します。
著者は、ホワイトペーパーの執筆者であるロバート・M・リー（Robert M. Lee）氏であり、筆者は、本コラムの執筆者です。
また、本コラムに記載の内容、表現は、筆者個人の見解であり、必ずしも会社を代表するものではありません。

The Sliding Scale of Cyber Security とは

The Sliding Scale of Cyber Securityとは、サイバーセキュリティの成熟度を評価するためのモデルで、「サイバーセキュリティの成熟度モデル」と呼ばれています。このモデルは、SANSの認定インストラクターであり、米国のセキュリティ企業「Dragos Security LLC」の共同創業者であるロバート・M・リー（Robert M. Lee）氏によって開発され、2015年8月に発表されました。（※1）発表されたホワイトペーパーには、サイバーセキュリティの本質ともいえる、誰もが理解しておくべき最も基本的な概念が示されています。このモデルを理解することで、サイバーセキュリティの本質を把握し、セキュリティ対策に投資する際の適切な判断に役立ちます。

※1：SANSホワイトペーパー「The Sliding Scale of Cyber Security　(https://www.sans.org/white-papers/36240/)」

The Sliding Scale of Cyber Security の特徴

このモデルとホワイトペーパーの特徴をピックアップしました。

• The Sliding Scale of Cyber Securityは、サイバーセキュリティの本質を示すモデル
• サイバーセキュリティを高めるために必要な取り組みが端的に示されている
• 防御と攻撃の観点が取り入れられている
• NIST Cyber Security FrameworkやISO/IEC 27001、CIS Controls等のフレームワークのように、詳細なガイドラインやベストプラクティスを提供するものではない
• 具体的な成熟度評価の方法や手順を提供していない
• 各カテゴリーに該当する具体的な対策例はあまり示されていない

そのため、自組織でサイバーセキュリティの成熟度を詳細に測定するには情報が不足しているかもしれませんが、サイバーセキュリティの本質を理解するための教材としては非常に有用です。

モデルを構成する５つのカテゴリー

The Sliding Scale of Cyber Securityのモデルは、防御と攻撃の観点から以下の5つのカテゴリーで構成されます。
なお、記載した定義は、ホワイトペーパーで述べられている定義（英文）を筆者が意訳したものです。
また、解説と対策例は、ホワイトペーパーで述べられていることを踏まえて、筆者が現時点で理解していることを加味して作成したものです。

アーキテクチャ（ARCHITECTURE）

定義

セキュリティを考慮したシステムの設計、構築、維持管理

解説

「盤石なシステム基盤」に焦点が当てられ、システムのライフサイクル全体でセキュリティを維持することが強調されています。アーキテクチャはITシステムのサイバーセキュリティを確保するために欠かせない最も基礎となるカテゴリーであり、他のすべてのセキュリティ対策の土台となる重要なカテゴリーです。建物で例えると、「安全性を考慮した建物の設計、構築、維持管理」に相当し、建物を長期にわたって安全に使用するために欠かせない最も重要なプロセスです。

対策例

Secure by Design、資産管理、構成管理、容量・能力管理、アカウント管理、パッチ管理、設備管理

受動的防御（PASSIVE DEFENSE）

定義

人が継続的に関与せずに、脅威に対して信頼できる防御や洞察を提供するために、アーキテクチャに追加されるシステム

解説

「人が介在しなくても動作し続ける信頼性の高い伝統的なセキュリティ機器」に焦点が当てられています。これにより、システムは自動的に脅威を検知し、防御することができます。

該当するセキュリティ機器の例

ファイアウォール、マルウェア対策ソフト、侵入防止システム、侵入検知システム、その他の従来のセキュリティシステム

能動的防御（ACTIVE DEFENSE）

定義

アナリストがネットワークの攻撃者を監視し、対応し、学習するプロセス

解説

「アナリストによる機動性と適応性に富んだ積極的なアプローチ」に焦点が当てられています。つまり「アナリストによる積極的な活動」です。セキュリティ機器そのものが能動的防御を行うことはできず、セキュリティ機器は能動的防御者のための道具として機能します。例えば、人が介在することで効果を発揮するインシデントレスポンス機能を備えたEDRについて考えてみると、能動的防御としては「アナリストによるインシデントレスポンス」が対策として該当し、EDRそのものはアナリストが使う道具です。ホワイトペーパーでは、このカテゴリーの説明において具体的なセキュリティ機器の例示はされていません。その理由は、焦点が当てられている部分が「アナリストによる積極的な活動」であり、「セキュリティ機器」ではないからだと考えられます。

該当する活動例

インシデントレスポンス、スレットハンティング、ログ分析、フォレンジック、マルウェア解析、脆弱性診断、レッドチーム演習、高度SOC人材育成研修

道具例

証拠保全ツール、SIEM、フォレンジック環境、マルウェア解析環境、脆弱性診断ツール、演習用攻撃ツール、高度SOC人材育成研修用環境

インテリジェンス（INTELLIGENCE）

定義

データを収集し、それを情報として活用し、インテリジェンスを生成すること

解説

「アナリストによるインテリジェンスの生成」に焦点が当てられており、生成が強調されています。アナリストが様々な情報源や方法を駆使して防御や攻撃に係わるインテリジェンスを生成します。生成するインテリジェンスの具体例としては、攻撃者に関する情報や自組織にとって脅威となる情報（脅威情報）が挙げられます。生成されたインテリジェンスは、主に能動的防御やオフェンスのカテゴリーで消費されます。従って、インテリジェンスは能動的防御やオフェンスのカテゴリーと密接に関連しており、サイバーセキュリティを高めるのに欠かせない重要なカテゴリーです。著者はホワイトペーパーの中で、「インテリジェンスの生成と消費の違いを理解しなければならない」と述べており、インテリジェンスの生成と消費の関係はこのモデルにおける重要な概念ですので、この後、「インテリジェンスの生成と消費の関係」で解説します。

対策例

ディープアナリシス、脅威インテリジェンス、ブランド侵害調査、OSINT（オシント）、デセプション（ハニーポット）

道具例

脅威インテリジェンスサービス、OSINTツール、ハニーポット環境

オフェンス（OFFENSE）

定義

攻撃者に対する法的対抗措置や自衛行動

解説

「合法的な措置と行動」に焦点が当てられており、合法性が強調されています。これまで説明してきたアーキテクチャからインテリジェンスまでのカテゴリーがしっかりと整備されている組織では、合法的なオフェンスの活動もサイバーセキュリティを高めるのに役立ちます。例えば、自社のウェブサイトに酷似しているフィッシングサイトが見つかった場合に関係機関を通じてそのウェブサイトを停止させる「テイクダウン」が該当します。また、自社が商標登録しているロゴやマスコットを悪用した偽商品が自社とは別のECサイトで販売されている場合に、そのECサイトの運営者に対して差止請求や損害賠償請求するなどの法的措置も該当すると考えられます。

対策例

テイクダウン、差止請求や損害賠償請求などの法的措置

インテリジェンスの生成と消費の関係

筆者が現時点で理解している内容を元に、インテリジェンスの生成と消費の関係について解説します。インテリジェンスのカテゴリーは、防御に係わるカテゴリーと攻撃に係わるカテゴリーのちょうど中間に位置し、防御と攻撃の両方の性質を持ちます。インテリジェンスのカテゴリーでは、防御に係わるインテリジェンスと攻撃に係わるインテリジェンスを生成します。生成された様々な種類のインテリジェンスは、それぞれ該当するカテゴリーに配布され、消費されます。

防御に係わるインテリジェンスの生成と消費の関係

例えば、インテリジェンス活動により、世の中に新たに出現したフィッシングメールに関する詳細な情報を外部の関係機関から入手したとします。自社にとって脅威となりうる情報を入手しているので、これはインテリジェンスの生成と言えます。入手した情報は、能動的防御のアナリストやシステム担当者に配布され、自組織で同様のメールを受信していないか、フィッシングメールの本文にあるリンクをクリックした人はいないかなどの調査に活用され、必要な対策が施されます。これをインテリジェンスの消費といいます。また、自組織内のデータからインテリジェンスが生成されるケースもあります。典型的な例は、スレットハンティングです。スレットハンティングとは、セキュリティ機器で検知できなかった攻撃に関する痕跡などが各種システムのログ等に残っていないかどうかを見つける能動的防御の活動の一つです。スレットハンティングにより、攻撃の痕跡らしき情報が見つかった場合は、さらに分析してインテリジェンスを生成します。生成されたインテリジェンスは、侵入ルートや被害範囲の特定作業などインシデントレスポンスに活用されます。これもインテリジェンスの消費です。

攻撃に係わるインテリジェンスの生成と消費の関係

例えば、インテリジェンス活動により自社のウェブサイトに模した偽サイトが見つかったとします。これはインテリジェンスの生成です。この偽サイトに関する情報は、アナリストや法務等の担当に配布され、外部の関係機関を通じてテイクダウン等の合法的な措置に活用されます。これをインテリジェンスの消費と呼びます。逆のパターンもあります。例えば、合法的な措置により、攻撃者に関連する新たな情報を入手した場合です。これはインテリジェンスの生成に該当します。入手した情報は、アナリストや各種担当者に配布され、防御のための活動や攻撃のための活動（合法的な措置）に活用されます。これもインテリジェンスの消費です。

偶然見つかる重要な情報

極めてレアなケースですが、インテリジェンス活動中に、当初の目的とは異なる極めて重要な情報が偶然見つかることがあります。これもインテリジェンスの生成です。例えば、自組織の機密情報がインターネット上で公開されているなど、自組織に係わる脅威情報が発見された場合、その情報を迅速に共有し、対策を講じることで組織全体のセキュリティを強化できます。このように偶然見つかった極めて重要な情報は、当初想定していなかった内部組織や、場合によっては外部組織にも配布されます。配布先で活用されれば、これもインテリジェンスの消費です。計画的な情報収集と分析の過程で予期せぬ重要な情報が発見されることもあり、これらの情報もインテリジェンスの一部として扱われます。著者は、ホワイトペーパーの中で「インテリジェンスの消費は能動的防御の役割である」と述べています。しかし、筆者の理解では、生成されるインテリジェンスは様々な種類があり、当初想定していなかった部署・部門で活用できる場合があるため、インテリジェンスの消費は能動的防御だけでなく、その他のカテゴリーや内部組織、外部組織でも消費される場合があると考えます。

結論

このように、インテリジェンスの生成は、外部から入手するケースと自組織内から見つかるケースがあり、それぞれ入手した情報は、自組織の防御のための活動や攻撃のための活動によって消費されます。場合によっては、その他の内部組織や外部組織でも共有され消費されます。インテリジェンスの生成と消費の関係を理解することは、各カテゴリーの相互関係を理解することにつながり、組織はより効果的なセキュリティ対策を講じることができます。

著者が述べているサイバーセキュリティの基本的な考え方

ここまで、モデルの概要と各カテゴリーの説明、インテリジェンスの生成と消費の関係を説明してきました。この項では、モデルの基本概念を構成する重要な考え方を説明します。モデルの図だけでは表現されていない重要なポイントが書かれており、この項を理解することがサイバーセキュリティの本質を理解することにもつながります。

セキュリティに対する価値とコストの関係

• セキュリティに対する価値（防御力の向上にどれだけ貢献するか）は、左側のカテゴリーが最も高く、右側に進むにつれて低くなる
• カテゴリーの基盤を固めるのに必要なコストは、左側のカテゴリーほど少なく、右側に進むにつれて多くなる
• 最も左側のカテゴリーであるアーキテクチャは、最も少ないコストで防御力を高めることができ、防御力を高めるうえで最も価値のある重要なカテゴリーである
• 最も右側にあるオフェンスは、防御力の向上という点ではあまり貢献せず、最もコストのかかるカテゴリーである

ホワイトペーパーの中で述べられている重要なポイント

• どのカテゴリーも重要であるが、右側のカテゴリーに投資する前に、スケールの左側にあるカテゴリーから適切な基盤を構築することに重点を置くべきである
• 高度な技術力や時間的、金銭的リソースをもった攻撃者は、十分に基盤が固められたアーキテクチャであってもそれを乗り越えて侵入してくるので、アーキテクチャのみ整備しているだけでは不十分である
• スケールの左側のカテゴリーから整備して基盤を固め、残されている問題・課題の解決を図って適切な投資効果が得られたら、右側のカテゴリーに投資する
• 十分に強固で適切なアーキテクチャと受動的防御を備えた環境では、能動的防御の基盤固めを効果的に行うことができる
• アーキテクチャと受動的防御の基盤が不十分な組織では、能動的防御に投資する価値は低く、アーキテクチャや受動的防御、能動的防御の基盤を固めない限り、インテリジェンスやオフェンスに投資すべきではない
• 高度な訓練を受けた攻撃者に対抗するには、高度に訓練されたセキュリティ要員が必要である

このように、著者は、右側のカテゴリーに投資する前に、左側のカテゴリーをしっかりと構築して守りを固めることが重要であると説いています。この考え方は、自組織でサイバーセキュリティに投資するにあたり、セキュリティ対策の優先順位を考えるうえで重要となります。

モデルに対する考察

モデルの全体像

筆者はこのモデルを以下のように読み解きました。

• このモデルは、サイバーセキュリティを構成する基本的な要素を簡潔に示している
• サイバーセキュリティを高めるためには、防御一辺倒ではなく攻撃も必要
• サイバーセキュリティを構成する要素は「システム」と「人」
• 最も重要なのは盤石なシステム基盤と信頼性の高いセキュリティ機器であるが、攻撃者は十分なリソースを使ってそれを乗り越えてくるため、それだけでは不十分
• サイバーセキュリティをより一層高めるためには、アナリストによる積極的な活動とインテリジェンスの生成が欠かせない
• つまり、「システム」だけでは守れない。「人」による活動が大事
• アナリストがインテリジェンスを活用して積極的に活動している組織は、サイバーセキュリティの成熟度が高い
• オフェンスにはインテリジェンスが必要

著者は、「高度な訓練を受けた攻撃者に対抗するには、高度に訓練されたセキュリティ要員が必要」と述べていますが、サイバーセキュリティを高めるには「システム」への投資だけでなく、「人」への投資が必要です。豊富な知識と経験を持ち、高度に訓練されたアナリストが、組織内のアーキテクチャや業務プロセスを熟知し、インテリジェンスをフル活用して機動性と適応性に富んだ積極的な活動を行っている組織は、サイバーセキュリティの成熟度が高く、理想形に近い姿と言えるのではないでしょうか。

モデルの興味深い点

このモデルには興味深い点があります。それは、受動的防御と能動的防御の境界線です。この受動的防御と能動的防御の境界線は「システム」と「人」の間に位置していますが、最も注目すべき点は、「人が介在しないセキュリティ機器」と「人が介在するセキュリティ機器」の間に引かれていることです。「人が介在しないセキュリティ機器」は、どんな組織が導入してもその役割を果たし、受動的防御を満たします。一方で、「人が介在するセキュリティ機器」は、あくまで人が使う道具であり、人が使うことで効果が発揮されます。能動的防御における評価のポイントは、「人が介在するセキュリティ機器を導入しているか」ではなく、「アナリストが積極的な活動を行っているか」です。つまり、単に高度なセキュリティ機器を導入するだけでは不十分であり、それを効果的に活用するための人の活動が重要です。この着眼点は、サイバーセキュリティを熟知しているプロフェッショナルならではの発想であり、成熟度評価モデルとして最適な場所に境界線を引いていると言えるのではないでしょうか。

技術の進歩によって能動的防御の活動はセキュリティ機器に置き換わるのか

これまで、アナリストが行ってきたマルウェア解析やインシデントレスポンスなどの作業は、機械化・自動化されてセキュリティ機器に搭載されるようになりました。技術の進歩により、これらの作業が効率化され、迅速かつ正確に対応できるようになったのは確かです。今後も技術の進歩により、アナリストによる積極的な活動は徐々にセキュリティ機器に置き換わっていくでしょう。しかし、近年のサイバー攻撃は高度化・多様化しており、その傾向は今後も続くと予想されます。攻撃者の状況に合わせて、防御側も柔軟に対応する必要があります。技術の進歩によりセキュリティ機器も進化しますが、それを扱うアナリストも進歩する必要があります。サイバーセキュリティを構成する要素は「システム」と「人」です。どんなにセキュリティ機器が進歩しても、それを道具として使いこなすアナリストの存在は不可欠です。セキュリティ機器は、特定のタスクを自動化し、効率を向上させることができますが、攻撃者の戦術や手法が進化する中で、アナリストの洞察力や判断力は依然として重要です。アナリストは、機械では対応しきれない複雑な状況や新たな脅威に対して、柔軟かつ迅速に対応する能力を持っています。結論として、技術の進歩によって能動的防御の一部の活動はセキュリティ機器に置き換わるかもしれませんが、アナリストの役割は依然として重要であり続けると考えます。

まとめ