近年、サイバー攻撃によるシステム障害や情報漏えいが頻繁に起きている。企業のセキュリティ意識の高まりは増すばかりだ。
本記事では、「Developer eXperience Day 2024」(主催:日本CTO協会)にておこなわれた、サイバーセキュリティクラウド 代表取締役 CTOの渡辺さんによるセッションを紹介する。クラウド環境でのセキュリティ強化に向けた脅威モデリングについて、渡辺さんがくわしく解説した。
渡辺 洋司さん
1975年⽣まれ。明治⼤学理⼯学部情報科学科を卒業。 ⼤⼿IT企業の研究開発のコンサルティングを⼿掛ける企業において、クラウドシステム、リアルタイム分散処理・異常検知の研究開発に携わる。 2016年 株式会社サイバーセキュリティクラウドに⼊社後、CTOや取締役を歴任。2021年 代表取締役 CTOに就任。
目次
サイバーセキュリティクラウドの取り組みとクラウドセキュリティの重要性
本日は、「脅威モデリングで組織を動かす」を題材にしたうえで、クラウドセキュリティをどのように強化していくのかについてお話ししていきます。
サイバーセキュリティクラウドは世界有数のサイバー脅威インテリジェンスとAI技術を活用し、全世界に安心安全なサイバー空間を創造するサービスを提供している会社です。
クラウド型WAFの「攻撃遮断くん」や、クラウドのWAFを自動で運用するサービス「WafCharm」など、クラウド全般のセキュリティ対策製品があります。ほかにも脆弱性情報の配信管理をするサービスや脆弱性診断も提供しており、さまざまな分野においてナンバーワンを獲得しています。
まずお話しするのは、クラウドセキュリティの重要性についてです。全体として、非常にクラウド利用が進んでいます。
クラウドの利用が進むと、クラウドにおけるセキュリティインシデントが増加します。多くのインシデントがあるなかで、わかりやすいのは多要素認証が未設定で不正ログインをされるケースです。
クラウドセキュリティを誰が対策するのかについて触れていきます。クラウドは基本的に責任共有モデルのうえに成り立っており、クラウド提供者と利用者がそれぞれに責任を持つため、セキュリティ対策が必要です。
AWSには「Security of the Cloud」と「Security in the Cloud」という2つのクラウドセキュリティがあります。「Security of the Cloud」は、クラウド提供事業者がインフラやサービス提供の部分に関して、セキュリティ対策をしなければならないことです。もう1つの「Security in the Cloud」は、クラウド利用者がクラウド上のアプリケーションでセキュリティ対策をしっかりすることです。たとえば、EC2やS3の設定、VPCのネットワーク設定などがあります。設定する機能自体はクラウドが提供していますが、設定をおこなうのは、利用者に責任がある形です。
具体的にセキュリティ対策をおこなううえでのアプローチについて、すべてではありませんが並べました。
最後に書いてある「脅威モデリング」について、本日はお話しします。脅威モデリングは、システムの表現を分析して、セキュリティとプライバシーの特性に関する懸念にフォーカスします。利害関係者のさまざまな観点で、早期かつ頻繁に実施することが重要です。
脅威モデリングをするうえで大切な、アダム・ショスタックによる4つの質問があります。1つ目は「私たちはなにに取り組んでいるのか?」。まずは参加者・分析対象の決定をします。2つ目は「なにが問題になるのでしょうか?」。ここで脅威の発見をします。3つ目は「私たちはそれに対してなにができるでしょうか?」。脅威に対してリスク分析と対策をします。4つ目は「いい仕事ができましたか?」。最終的な振り返りをします。
組織を動かすのに、なぜ脅威モデリングか?
アジャイルマニフェストと同じように、脅威モデリングのマニフェストがあります。マニフェストにある価値の部分に、5つの記載があるので紹介します。1つ目が「設計の問題を発見し修正するカルチャー」です。コンプライアンスを遵守することに必死になるよりも、なにが問題なのかを話して修正していくことが大事になります。
2つ目が「人々とコラボレーションをする」で、3つ目が「理解を深める旅」です。いろいろな人を巻き込んでコミュニケーションしていくことは、セキュリティを進めるうえで非常に大事になります。かつ、自分たちがどのようなものを対象にしているのかを理解していくことも大事になります。
4つ目が「脅威モデリングしよう」です。ああだこうだ言っていないで、やりましょうという意味となります。5つ目が「継続的に改善しよう」です。
組織がセキュリティへの意識を高めていくことが実現できると思い、紹介しました。
多様性のある脅威モデリングのために巻き込みたい組織
組織それぞれに、いろいろな視点や役割があります。脅威モデリングのために、経営層やビジネス部門、管理部門やセキュリティ部門、システム部門などを巻き込みたいです。それぞれの部門の方が、どのような役割で入ってもらえるといいのかについてお話しします。
経営層は事業を継続していくうえでのシステムとリスク評価や、各部門の連携が必要なポイントと、その優先度の判断をする役割で入ってもらえるといいと思います。
ビジネス部門は営業をするのでお客さまとの接点があり、お客さまと向き合うことが多いので、素直な意見を出してくれる心強い味方です。
管理部門はIRや監査の観点で企業価値としての会社の見え方や、組織のガバナンスを確認できると思います。
セキュリティ部門にはCISOやSOC/SIRTなどのいろいろな立場の方がいるため、攻撃者や防御者視点での分析をしてくれるでしょう。
システム部門も開発者やSRE、カスタマーサポートなどいろいろな方がいます。データの具体的な取り扱い状況や攻撃があった場合のシステムへの影響度合い、顧客視点でのリスク評価などを知っています。
こうした方々のさまざまな視点が、脅威モデリングのために有効です。ただ、それぞれのスコープ・抽象度があり、いきなり実装レベルに経営層が入ってもわからないと思います。どのような方をどのタイミングで巻き込むといいのかを表したのが、こちらの表です。
事業レイヤーでは、経営者と管理部門、ビジネス部門の方に参加していただきたいです。セキュリティ部門とシステム部門からは、一部の方に入っていただければいいと思います。
モデリングをすることで、システムの脅威が事業に対してどのようなリスクかを明確にすることが可能です。経営レベルでの意思決定に寄与できると思います。
設計レイヤーでは、セキュリティ部門やシステム部門の方々に参加してもらい、概念レベルでのアーキテクチャにおいてデータの扱いを明確にします。セキュリティ・バイ・デザインをおこない、実装の前にセキュリティをしっかり担保・意識するための活動が可能になるわけです。
実装レイヤーでも、セキュリティ部門やシステム部門の方々に参加してもらい、ソースコードやテストコードの状況を確認します。あとはIaCがどうなっているのか、クラウドの設定がどうなっているのかを確認することで、具体的な攻撃とどのような被害が出るのかを把握できます。
さまざまなレイヤーでいろいろな関係者を巻き込んでモデリングできることが、脅威モデリング手法のすばらしいところです。
また、脅威モデリングの成果物としては、次のようなものがあります。
事業レベルの脅威モデリング例
次に事業レベルの脅威モデリングの例をお話しします。とても簡単に図を書いているので、「なんだよそれ」と言われるかもしれませんが、これだけ簡単にできるところが脅威モデリングのいいところです。
実際に起こる脅威はなんだろうと考えると、たとえばログインするときにユーザーのなりすましやデータの改ざんがおこなわれます。あとは攻撃によるサービス停止ですね。DDoS攻撃を受けてサービスがダウンすることもあります。また、情報を盗まれてしまうかもしれません。
ほかにもビジネス部門で作業ミスが発生して、お客さまの情報が漏洩してしまうとか、システム部門の内部犯行により、情報が流出してしまう。もしくはインフラの設定ミスにより、情報が露出してしまうといったことが起こり得ます。このようなことを、事業レベルではモデリングします。経営層やビジネス部門の方も含めて話せる抽象度としては、このくらいのものになるのではないでしょうか。
そのうえで、こうしたことが起こるとどのようなリスクがあるのかを話します。たとえば、個人情報が流出するとサービスの信頼が低下するとか、サービス停止により売上減少につながるとかです。
事業的にこうした問題があり、このようなリスクがあって、会社としてなにをやらなければいけないのかを経営層含めて議論できる。それが事業レベルでの脅威モデリングかなと思います。
「セキュリティ対策が必要という漠然とした認識から、自社でどのようなデータを扱い、どのようなリスクがあるかをあらためて認識できた。現場のメンバーと会話できたこともよかった」。経営者の方からこのような声があがってくるのも事業レベルで脅威モデリングをした効果といえます。。
脅威モデリングをすることで、コミュニケーションが増えて組織の活性化に活用できます。また、組織全体で事業としてなにをしているのか、そのうえでなにが問題になるのか、どのような対処が必要になるのかが共有されます。経営層から技術者、営業まで含めて共有できていくわけです。
さらに、抽象度の低い、具体の話をしやすい土壌ができます。現場の課題感を共有できるようになるため、セキュリティ対策に必要な決裁も通りやすくなります。
取材後記:求められるセキュリティ
最近、サイバー攻撃や不正アクセスによる情報流出など、セキュリティに関するニュースをよく見かける。7月19日に独立行政法人 情報処理推進機構(IPA)が「情報セキュリティ安心相談窓口の相談状況[2024年第2四半期(4月~6月)]」を公開した。それによると、今四半期の「情報セキュリティ安心相談窓口」における、相談対応件数は3,757件で、前四半期から約16.5%増。前年四半期比では約27.1%増と大きく増えていることがわかる。
渡辺さんが話すように、個人情報の流出によるサービスへの信頼低下やサービス停止による売上減少につながる可能性がある。企業全体のセキュリティ対策が求められるなか、エンジニアだけではなく、経営層の意識変化が重要だと感じた。
(取材/文:川崎博則)
