Cybersecurity Management News

サイバー空間における脅威を適切に管理するために必要なCybersecurity Managementの確立に役立つ管理策・規制・組織・運用などに関する情報を提供します。

サイバーセキュリティ関連の職位

「サイバーセキュリティ人材の不足」というエントリの中で、GartnerのSr Research AnalystであるSam Olyaei氏の記事を紹介しました。

bozaxosa.hatenablog.com

この記事では、サイバーセキュリティ人材不足への対策として、サイバーセキュリティ人材を求める企業・組織が適切かつ柔軟な募集要項を提示することや、地元の大学・自治体と協力して学生に対してトレーニングを行うことをあげています。

米国において、コンピュータサイエンス学部の中にサイバーセキュリティの学科を設置している大学のひとつに、ジョージワシントン大学があります。

www.cs.seas.gwu.edu

このサイバーセキュリティの学科について、以下のように説明されています。

コンピュータサイエンスの学位の中にサイバーセキュリティの修士が創設されたのは、国内および海外において迅速に拡大している技術的なサイバーセキュリティの専門家の需要に応えるためである。この学位を取得したものには、収入の見込める多様な職種からなる広大なジョブ・マーケットが待っている。(抄訳)

ここでいわれている 「収入の見込める多様な職種」が、具体的にどのようなものかについても説明されています。

www.cs.seas.gwu.edu

代表的な職位
  •  セキュリティ・アナリスト(Security Analyst)
    インフラ(ソフトウェア、ハードウェア、ネットワーク)の脆弱性を分析し評価する。検出された脆弱性を改善するためのツールと対応策について調査を行い、解決策とベストプラクティスを推奨する。セキュリティインシデントの結果、データおよびインフラに生じたダメージを分析し評価する。復旧のためのツールとプロセスを調査し、解決策を推奨する。セキュリティ・ポリシーとプロシージャの遵守状況をテストする。セキュリティ・ソリューションの開発・導入・管理を手助けする場合もある。
  • セキュリティ・エンジニア(Security Engineer)セキュリティ・インシデントを発見するためのセキュリティ監視、ログ・データ分析およびフォレンジック分析を行い、インシデント・レスポンスに取り掛かる。
  • セキュリティ・アーキテクト(Security Architect)セキュリティ・システムまたはセキュリティ・システムの主要な構成要素をデザインする。新しいセキュリティ・システムを構築するセキュリティ・デザイン・チームを先導する場合もある。
  • セキュリティ管理者(Security Administrator)組織全体にセキュリティ・システムを導入し管理する。小規模な組織ではセキュリティ・アナリストの役割を兼ねる場合もある。
  • セキュリティ・ソフトウェア開発者(Security Software Developer)セキュリティ・ソフトウェア(監視、トラフィック分析、侵入検知、マルウェア検知、アンチウイルスソフトなど)を開発する。また、アプリケーションにセキュリティを組み込む。
  • 暗号研究者(Cryptographer/Cryptogogist)情報を保護したりセキュリティ・ソフトウェアを構築するために暗号を用いる。また、より強力な暗号の開発のための研究者としても働く。
  • 暗号解読者(Cryptanalyst)マルウェア解析の目的でコードや暗号文を解くために暗号化された情報を解析する。
  • 最高情報セキュリティ責任者(Chief Information Security Officer)情報セキュリティ部門全体の最高責任者。技術的な実務を行う場合もある。
  • セキュリティ・コンサルタント/スペシャリスト(Security Consultant/Specialist)他のすべての職位の役割を包有した意味合いを持つ職位。個人または犯罪組織・外国政府に所属するハッカーによるマルウェア・侵入・不正アクセスDoS攻撃、そして日々増え続ける様々な種類の攻撃からコンピュータ・ネットワーク・ソフトウェア・データ・情報システムを保護する。
専門的な職位
  • 侵入検知スペシャリスト(Intrusion Detection Specialist)侵入を示すシグナルを検出するために、大規模な組織に置いてネットワーク、コンピュータ、アプリケーションを監視し、被害状況を確かめる。また、どのように侵入が発生したか特定し、同様の手口による侵入への防御策を推奨する。また、脆弱性を特定し、事前の防御策を推奨するため、ペネトレーション・テストを行う。
  • インシデント対応者(Computer Security Incident Responder)ウイルスやDoS攻撃などの脅威や攻撃に対して迅速な対応を立ち上げるチームのメンバー。
  • ソースコード監査人(Source Code Auditor)ハッカーによるデータやシステム・リソースへの不正アクセスに繋がりうるセキュリティ上の問題と脆弱性を特定するためにソースコードをレビューする。
  • ウイルス技術者(Virus Technician)新たに発見されたコンピュータ・ウイルスを分析し、それらから防御するためのソフトウェアの設計・開発を行う。
  • ペネトレーション・テスター(Penetration Tester)脆弱性をスキャンし特定するだけでなく、実際に擬似攻撃を行うことで脆弱性が存在する確かな証拠を提供する。電力網、発電所、核施設などの大規模な施設へのペネトレーション・テストが行われる場合には、レッドチームと呼ばれるペネトレーション・テスターのチームが雇われる。
  • 脆弱性評価担当者(Vulnerability Assessor)コンピュータ、ネットワーク、ソフトウェア・システム、アプリケーションなどITシステムの脆弱性をスキャンし特定する。
(抄訳)

 

 

サイバーセキュリティ人材の不足

サイバーセキュリティ人材が不足しているという話題はもはや新しいものではありません。2016年5月19日付の日経新聞では、経産省の調査結果として、サイバー攻撃などに対処できるサイバーセキュリティの専門人材が2020年に20万人近く不足すると報じられました。

www.nikkei.com

この調査結果によると、現在、サイバーセキュリティに関わる人材が日本国内に28万1千人いるとのことです。また、2020年までには37万1千人にまで増える見込みではあるものの、それでも19万3千人が不足するだろうといわれています。

一方で、サイバーセキュリティ人材不足問題については、少し違った見方もあります。GartnerのSr Research AnalystであるSam Olyaeiは「サイバーセキュリティ人材の不足...は神話?」と題する記事をGartnerのブログに投稿しています。

blogs.gartner.com

この記事の中で、Olyaei氏は人材不足そのものを否定している訳ではないものの、求人を行う企業・組織側の問題について触れています。

様々な求人に目を通していると、募集要項の長いリストが目につく。例えば、セキュリティ・アーキテクトに定期的なVMスキャンの実行責任および説明責任を求めている。別の例では、エントリーレベルのサイバーセキュリティ・アナリストにCISSPと5〜7年の経験を求めている。 (抄訳)

Olyaei氏は、企業・組織側があまりに人材の確保が難しいことから1つのポジションに色々な仕事を詰め込もうとしており、その結果、求人と人材のミスマッチが生じていると問題を指摘しています。

この解決策として、企業・組織側はもっと柔軟な条件で人材の募集を行うことや、サイバーセキュリティの素質を持った専門外の人材を社内外から確保すること、地元の大学や自治体と協力して学生へのトレーニングを行うことなどをあげています。

関連記事

bozaxosa.hatenablog.com

 

AIにより代替可能なサイバーセキュリティ関連業務

2017年4月23日付の日経新聞(朝刊)に「ロボットと競えますか 日本の仕事、5割代替 主要国トップ」と題する記事が掲載されました。電子版の記事では、業種・職業・業務を選択するとそれぞれ「代替できる」・「代替できない」に分類され、自身の仕事のロボットによる代替可能性が表示されるようになっています。

www.nikkei.com

 最近の人工知能(AI)の進歩により、従来は人間にしかできなかった多くの仕事が、理論上は自動化できるようになりました。しかし、現代の仕事は複雑さを増し、1つのことだけをすればいい仕事は減りました。働く人、特にホワイトカラーの労働者は職場で日々、多岐にわたる課題をこなしています。このインタラクティブ計算ツールは、米マッキンゼー・グローバル・インスティチュートから得たデータに基づき、仕事の未来がどう変わるか、1つの指標を提供します。AIと自動化は、さまざまな仕事をまるごと破壊して全く新しい職業を生み出すのではなく、大部分においては人々が抱える職務の中で、どの業務活動に集中するかを変えるだけです。マッキンゼーのデータによると、ほぼすべての職業に自動化可能な作業が多少ありますが、現在ある技術を使って理論上完全に自動化できる職業は全体の5%にも達しません。 

「業種を選択する」において「コンピューター、数学」を選択し、「職業を選択する」において「コンピューター関連職業」を選択した場合に表示される98項目の業務うち、サイバーセキュリティ職に対して求められる機会がある程度多いと思われる業務を選択し、それぞれ「代替できる」と「代替できない」のどちらに分類されているか確認しました。

代替できる

  •  コンピューターシステムや情報システムのセキュリティー対策を実施する
  • 新たに出現している産業もしくは技術のトレンドについての知識をアップデートする
  • 担当業務や作業スケジュールを従業員に割り振る
  • 技術情報を集めるために文書を読む
  • デジタル情報のセキュリティーを監視する
  • 規制や標準作業手順への準拠を確実にするために業務活動を監視する

代替できない

  • 製品やプロセスに関する情報を得るために調査を実施する
  • コンピューター・情報セキュリティーポリシーを策定する
  • 他のスタッフや部門とプロジェクト活動をコーディネートする
  • 情報技術プロジェクトのために必要なリソースを特定する
  • コンピューターのプログラミングコードを書く
  • コンピューターシステム、情報システムを改善するために変更を推奨する
  • プロジェクトの完成に必要な時間的、金銭的リソースを試算する
  • システムやネットワーク、データのセキュリティーを分析する
  • 業務手順を文書で記録する
  • 適切なリソース分配のために予算を管理する
  • 詳細なプロジェクト計画を策定する
  • 情報の連絡手順を策定する
  • 災害復旧のためのコンティンジェンシープランを用意しておく 

結果としては、該当する19項目のうち6業務がロボットにより代替可能であると分類されました。割合としては31.6%となり、これはコンピューター関連職業全体の29.6%とほぼ同じ結果です。

2017年版のOWASP Top 10 rc1がリリース

2017年版のOWASP Top 10 rc1がリリースされました。これはまだ正式版ではなく、夏頃の正式版リリースに向けてコメントを受付中です。

Category:OWASP Top Ten Project - OWASP

2013年以来の更新になりますが、前回からの変更は以下の通りです。

以下の2項目が新たに追加

A7 – Insufficient Attack Protection

A10 – Underprotected APIs

2013年版にあった以下の項目が削除

A10 – Unvalidated Redirects and Forwards

2013年版にあった以下2つの項目がマージ

A4 – Insecure Direct Object References - Merged with A7

A7 – Missing Function Level Access Control

A4 – Broken Access Control

新たに追加された「A7 – Insufficient Attack Protection」では、How Do I Prevent This?として以下の3つがあげられています。

  1. Detect Attacks
    多くのアプリケーションやAPIは、不正な入力を検知してもただ拒否するだけなので、その後も攻撃者は繰り返し攻撃を行ってくる。管理者が適切な対応を行うためには、攻撃を受けていることに気がつける仕組みが必要だということです。
  2. Respond to Attacks
    攻撃を検知した場合に、攻撃元のIPアドレスを自動的にブロックするような対応が効果的であると述べられています。また、不審なユーザアカウントを無効にしたり監視対象とする対応が必要だということです。
  3. Patch Quickly
    (適時のパッチ適用が重要であることは当然ながら)もしクリティカルなパッチ適用を即日行うことができるプロセスが整備されていないのであれば、バーチャル・パッチの利用が有効であると述べられています。

上記3.Patch Quicklyの中で説明されているバーチャル・パッチですが、これはIDS/IPSやWAFによって攻撃通信を検知・ブロックする機能を指しています。トレンドマイクロ社のDeep Securityなど、IDS/IPSの機能名をVirtual Patchとしている製品もあります。ただし、機能名がVirtual Patchでない場合も、脆弱性や攻撃コードに対応したシグニチャが配信される一般的なIDS/IPS・WAFを用いた場合でも同等の効果を得られます。 

多要素認証は認証情報窃取の脅威を低減しない

マイクロソフト社より「Advanced Threat Analytics プレイブック(Advanced Threat Analytics 攻撃シミュレーション プレイブック)」 が2017年4月3日付で公開されました。これは、2017年2月23 日(米国時間)に公開されたMicrosoft Advanced Threat Analytics Team のブログ “How to simulate and detect attacks with the Advanced Threat Analytics Playbook” の翻訳です。

blogs.technet.microsoft.com

この文書では、標的型サイバー攻撃や内部脅威を検出するためのツールとしてマイクロソフト社より提供されているAdvanced Threat Analytics (ATA)により検出が可能な攻撃のシナリオとその再現方法が記述されていますが、この中に下記の記述があります。

この問題[資格情報の盗難:引用者注]を解決するために、多要素認証やスマートカード、特権ユーザー管理ツールが販売されています。これら のツールは確かに環境の運用の手助けをしますが、これらソリューションが資格情報の盗難そのものを緩和したり可 視化したりすることはありません。それどころか、これらのソリューションの導入により資格情報の盗難問題をさ らに悪化させると同時に、保護されているという錯覚を起こす可能性があります。(太字引用者)

多要素認証やスマートカードの利用が認証情報摂取の脅威の低減に役立たないことについては、Pass the Hashよりダウンロードできる「Mitigating Pass-the-Hash and Other Credential Theft v1」に下記の記述があります。

Multifactor authentication methods, such as smartcards, can greatly enhance the strength of the proof of the user’s identity if the host is secure, but these methods do not provide immunity from credential theft attacks. While multiple factors are required for initial logon, the Windows operating system communicates with other domain computers using standard Kerberos and NTLM authentication protocols that exchange
single factor authenticators, as required by the protocol standards when accessing network resources. When a computer in the domain is compromised and a user logs on to it with multifactor authentication, these single-factor secondary authenticators may be stolen from LSASS process memory, and reused in exactly the same way as the user logged on with a password.
(太字引用者)

攻撃者によって既に侵害されているコンピュータ上で多要素認証を利用してドメインにログオンしようとした場合、単一要素認証でパスワードを用いてログオンしようとした場合と同様に、LSASSプロセス・メモリーから認証情報が摂取されてしまうと書かれています。

それでは、スマートカードを用いることのメリットは何でしょうか。「なぜ、強い会社はICカードを活用しているのか?―サイバーセキュリティ対策に役立つ理由」では、スマートカードを利用することのメリットについて以下の7つをあげています。

  1. 一元管理が徹底できる
  2. 本人確認が強化される
  3. 入口対策・出口対策ではない領域の対策が強化できる
  4. 標準技術を使うメリット
  5. 例外を許さない仕組み作り
  6. シングルサインオンのリスクへ備えること
  7. クラウドへの応用がしやすい

スマートカードを利用した多要素認証により、ユーザアカウント管理などの運用の強化や、単純にパスワードが漏洩することを想定した脅威の低減などのメリットを享受することはできますが、Pass-the-Hashなどの認証情報摂取を狙った攻撃手法には別の対策が必要になります。なお、Pass-the Hashに有効な対策については、前述のPass the Hashよりダウンロードできる「Mitigating Pass-the-Hash and Other Credential Theft v2」内にApplicability summary for mitigations表としてまとめられており、参考になります。