本文の内容は、2024年11月19日に NIGEL DOUGLAS が投稿したブログ(https://sysdig.com/blog/a-cisos-grimoire-for-outsmarting-attackers/)を元に日本語に翻訳・再構成した内容となっております。
セキュリティ リーダーにとって、警戒を怠らず準備を整えることは、精巧に作成された魔法書を扱うようなものです。OWASP、MITRE ATT&CK、脅威リサーチは、この魔法書の重要な章であり、リーダーはこれらを活用して、新たな脅威を効果的に予測し、対抗する必要があります。なぜなら、組織が予見できたはずの脅威に巻き込まれるわけにはいかないからです。しかし、組織のテクノロジースタックに新しいテクノロジーが追加されるたびに、新しい形態のリスクが発生するため、課題は数多く、常に変化しています。マイクロサービスが普及したときの変革的な変化を考えてみましょう。API と Web サービスが中心的役割を果たしました。または、最近では、エンタープライズ対応の GenAI サービスが既存のエンタープライズワークフローに組み込まれたときのことです。
今日では、悪用されるダークアートの新しい呪文が毎日のように登場し、敵は最も馴染みのあるテクノロジーにさえ巧妙な工夫を凝らしています。これらの戦術が進化するにつれ、脅威インテリジェンスチームはそれらを解読するために精力的に取り組んでおり、セキュリティチームに必要な洞察を提供できるペースを維持しています。これは容赦のない戦いですが、適切なガイダンス、ツール、先見性があれば、CISO はデジタル領域のセキュリティを確保するために必要な戦略を策定できます。
新たな脅威に直面することは、ルールファイル内の呪文が絶えず更新される未知の領域に足を踏み入れるような気分になります。幸いなことに、 CISOは単独で冒険しているわけではありません。MITREやOWASPなどの貴重な組織連合が彼らを支えており、彼らは前進の道を導く賢明な魔術師として機能します。
OWASP: 危険な魔法を操るCISOの魔術師
OWASP が「オープン Web アプリケーション セキュリティ プロジェクト」から「オープン ワールドワイド アプリケーション セキュリティ プロジェクト」へと進化したことは、Web アプリケーションだけでなく、今日の相互接続された世界におけるさまざまなセキュリティ上の課題をカバーするように焦点が広がったことを反映しています。たとえば、OWASP アプリケーションセキュリティ検証標準 ( ASVS ) は、アプリケーション開発に安全なプラクティスを組み込むことを目指す開発者にとって、依然として基礎的なガイドとなっています。しかし、「Web」から「ワールドワイド」へと範囲が拡大されたことは、CISO が開発環境とランタイム環境の両方で対処しなければならない、多様で複雑なセキュリティ要件を認識したことを意味します。
OWASP は、特定の技術分野における最も重大な脆弱性にスポットライトを当て、セキュリティチームが最も差し迫ったリスクを優先できるようにする「トップ 10」プロジェクトで特に有名です。今日のCISOにとって、これらのリストは信頼できる「魔法書」の一部として機能し、明確に把握されているリスクに対する必要不可欠な防御策を見落とさないための助けとなるべきです。以下に、現代の複雑なエコシステムに対応するための指針を提供する最新のOWASPリソースをいくつか紹介します。
CISO は、これらやその他の OWASP リソースを活用して、現在のセキュリティ対策がこれらのリスクを軽減するように調整されているかどうかを検証できます。OWASP コミュニティは、トップ 10 のアドバイスを拡張して、LLM AI サイバーセキュリティ & ガバナンス チェックリストなどの新しいリソースも提供しています。
MITRE ATT&CK: 敵対的攻撃の技術をマスターする CISO の賢者
セキュリティリーダーは、OWASP に加えて、セキュリティジャーニーでもう 1 つの賢明なガイドを使用する必要があります。それは、敵対者の理解の領域における賢者のようなリソースである MITRE ATT&CK フレームワークです。MITRE ATT&CK は、攻撃者のキルチェーンを深く掘り下げ、各フェーズを明確かつ正確に分類します。最初の偵察とリソース開発から、ラテラル ムーブメント、コマンド アンド コントロール、持ち出し、インパクトまで、このフレームワークは、攻撃者の戦術、テクニック、手順 (TTP) の広範な分類を提供します。MITRE ATT&CK は、これらの敵対的な動きの構造化されたマップと詳細な説明を提供することで、セキュリティリーダーとそのチームが、ほぼすべての形式の悪意のあるアクティビティに対して防御が対応できる状態にあるかどうかを評価できるようにします。
OWASP と同様に、MITRE は CISO やセキュリティ チームにリソースの宝庫を提供します。その中でも重要なのは、実用的な防御ガイダンスを提供することで ATT&CK フレームワークを補完するMITRE Engage ( MITRE Shieldの後継) です。Engage は ATT&CK 戦術に沿った規範的な対策を提供し、セキュリティ チームが潜在的な攻撃経路を理解して適切に対応できるように支援します。
OWASP と MITRE の知恵は、現代のセキュリティプログラムの基盤として機能し、CISO が状況認識と準備態勢を維持できるように導きます。MITREとOWASPを武器にすることで、CISOは組織が文書化された攻撃者の戦術に対抗する準備を万全に整えることができます。CISOがチームに対して、OWASPが優先順位を付けたリスクや、ATT&CKが提供する攻撃者の行動に関する深い洞察を常に更新するよう促すことで、セキュリティリーダーは自信を持ってセキュリティ体制を強化していくことが可能です。OWASPとMITREの両方がCISOを支援し、先手を取ることで、セキュリティの進展を確実に推進します。
脅威リサーチ: 防御魔法を操る CISO の杖
CISO が利用できる、非常に貴重でありながら過小評価されがちなリソースの 1 つが脅威調査です。Sysdigの脅威リサーチチームは、細かく調整された杖のように、セキュリティリーダーが新たなリスクに積極的に対応する能力を高めます。脅威リサーチャーは、攻撃者が環境を侵害するために使用する TTP を最初に発見して分析することが多いため、このリソースは OWASP や MITRE などのフレームワークと連携して機能します。これらの熟練した専門家は独自の専門知識を持ち寄り、新しい攻撃が発生したときにそれを検知して洞察を共有し、このインテリジェンスを検知ルールに迅速にフィードバックしてセキュリティ範囲を改善します。
Sysdig の脅威リサーチチームからの極めて重要な洞察は、攻撃者がいかに迅速にクラウド リソースを侵害できるかを浮き彫りにしています。この証拠は、555 ベンチマーク(検知に 5 秒、相関に 5 分、対応に 5 分) の開発に役立ちました。Sysdig TRT の調査では、脆弱なクラウド環境は数分以内に侵害される可能性があることが証明され、検知および対応機能の緊急性が強調されています。これらの時間的制約のある洞察により、CISO はセキュリティプラクティスを再評価し、クラウドファーストの世界で必要な俊敏性に合わせてテレメトリを調整する必要があります。
セキュリティリーダーは、常に進化し成熟する脅威の状況に先んじることは困難な作業であると感じるかもしれませんが、状況認識を実現可能にする力の増幅手段にアクセスできます。OWASP や MITRE などの組織の実用的なガイダンスを取り入れることで、セキュリティリーダーは、確立されたベストプラクティスにプログラムが根ざしていることを確認できます。Sysdig グローバル脅威レポート などの最先端の脅威リサーチと組み合わせることで、CISO は、オープンソースツールの武器化や LLMjacking などの既知の脅威と新たな脅威の両方に対して、より適切に防御できるようになります。サイバー セキュリティの課題は困難で終わりがないように見えますが、解決に魔法は必要ありません。構造化されたフレームワークと綿密な脅威リサーチは、敵に先んじるのに役立つ再現可能で実用的なガイダンスを提供します。