サイバーセキュリティの外と内

ノイジーなサイバーセキュリティの世界では、あらゆる人があらゆる事象についてあらゆる粒度で語り合っていて、何だかわけが分からないことになっている気がします。

NIST(National Institute of Standard and Technology)がサイバーセキュリティの各テーマを体系化して公表しているSP800も2024年5月現在で200以上あって、サイバーセキュリティが一筋縄ではいかないテーマであることを象徴しています。

私は、サイバーセキュリティは外と内で全て網羅できると考えています。これこそがMECEなフレームワークのはずです。正確には外から内と内から外と言えるかもしれません。

外から内は、外部に存在する脅威に着目したアプローチです。一口に脅威と言っても、それが攻撃者のことなのかマルウェアのことなのか様々な捉え方があるため、脅威を詳細に定義することが出発点になります。

私は、STIXが最も端的かつ体系的に脅威を定義したフレームワークと思っています。これを活用することで可能限り詳細に脅威を定義できるかと。

脅威インテリジェンスプラットフォームを活用することで、定義した脅威を実際のユースケースとして活用できるかもしれません。

OpenCTIのような、OSSベースの脅威インテリジェンスプラットフォームを活用することで、ROSI(セキュリティ対策への投資対効果)を最大化できるのではと考えています。

内から外は、自社内の重要な資産がどのように生まれて管理されているかに着目したアプローチです。

重要な資産とは、自社内だけにしかない唯一無二の情報と定義できます。政府系のお客様であれば政治的な施策や構想に関する情報や、製造業であれば製品やサービスにまつわる設計情報等、門外不出の情報があるはずです。

これらの情報は、全て人と人の議論や討論から生まれて、何らかのソフトウェアを介してデジタル化されていると思われます。

クラウドファーストな昨今では、多くの起業がAWSやAzure等のクラウドサービスを利用して管理しているのではないでしょうか。

データセンターはどの国にあるんか？、各スタック(インフラストラクチャやミドルウェア)がどのような構造になっていて、各々にどんな脆弱性があるのか？を常日頃から隈なく把握することが大切です。

Nessusのような、OSSベースの脆弱性スキャンツールを利用することで、ROSIを最大化しながら、自社の資産や脆弱性を把握することができるはずですね。

デジタル全盛の昨今、全ての事柄はサイバー空間で成り立っているため仕方の無いことかもしれませんが、なるべくノイズは減らして本質的なことに注視したいと思っている方は少なくないはずです。

MoveitやらHAFNIUMやら何やら、具体的な固有名詞に惑わされることなく、何をどんな視点と視座で検討すべきかを常に意識すればノイズを減らすことができるかもしれません。