2020年 ISC2 Blog 和訳

2020年11月18日

#ISC2CONGRESS :ひらめきの瞬間:サイバーセキュリティ専門家の仕事は、リスクを評価することである

サイバーセキュリティ専門家のJoseph Carson氏, CISSPは、4ヶ月の準備期間を要した発電所での侵入テストを実施した後、貴重な教訓を得ました。自分が発見したことをどのように組織のリーダーに伝えるかで、情報に基づいて行動するかどうかの判断に大きな違いが出るということです。

ISC2 2020 Security Congressのバーチャルプレゼンテーションにおいて、Thycotic社のチーフセキュリティサイエンティストであり諮問CISOを務めるカーソン氏は、電力会社の取締役会が彼の指摘事項をほぼ無視したことにショックを受けたと述べています。彼は、この指摘事項はかなり問題が大きかったと思っていました。

 CMを撮影する写真家に変装して発電所の中で午前中を過ごした後、彼は発電所のコマンド&コントロールセンターに置かれているすべてのユーザー名、パスワード、URLが印刷されたリストを見つけました。  Carson氏は午前中、エンジンルームからコマンド&コントロールセンターまでの施設を捜索しましたが、ほとんど仕事にならないことがわかりました。SCADA(supervisory control and data acquisition)制御、ラップトップなどのネットワークアクセス機器は、当然のように鍵がかけられていました。

 ネットワークに侵入できず、セキュリティの脆弱性を実証しようとしても失敗してしまうのではないかと焦り始めていました。

 この日、何も得られなかった訳ではありませんでした。彼は、従業員がソーシャルメディアやストリーミングのための個人的な非ビジネスアプリケーションをインストールするための特権アクセスを持っていることに気づきました。つまりこれは、発電所のネットワークがインターネットに接続されていることを示していました。しかし、すべてが防御されていたので、ネットワークに入る方法を見つけることはできませんでした。ユーザーの情報が記載されたリストを見つけて写真を撮るまでは。

 リストは4年前のもので、スタッフは、システムのベンダーから提供されたデフォルトの認証情報やスクリプトをまだ使っていることがわかりました。

誤ったアプローチ

 Carson氏は所見をまとめた報告書を作成し、ボードミーティングに提出しました。しかし、その反応は、彼が期待したものではありませんした。その理由をCFOが説明してくれました。Carson氏は、調査結果と、それによって想定される最悪の事態で報告書を作成していましたが、取締役会が必要としていたのは、具体的なコストの計算でした。 つまり、Carson氏が、ビジネスを改善するために何を推奨するかでした。  「ビジネスのコスト削減にどのように役立つのか、イノベーションを加速させ、脅威にさらされる機会を減らし、従業員がより良い仕事をするためにどのように役立つのか、という話をしなければなりませんでした。何かを導入するときには、それは現在あるものよりも優れていなければなりません。それは利用可能でなければならないのです。」とCarson氏は言いました。

 彼は1週間後、全く新しいアプローチで、発電所のサイバーセキュリティ運用を改善する方法についての一連の推奨案を携えて取締役に戻ってきました。Carson氏は「結果を効果的に取締役会に伝え、取締役会がビジネスにとっての潜在的なリスクが何であるかを理解しているかどうかを確認することで大きな異なる結果を得ることができました。」と言いました。

 それは、彼自身に、そしてサイバーセキュリティ専門家全体に当てはまる重要な教訓だと彼は言いました。「私たちはリスクを減少(reduce)させます。私たちはリスクを低減(mitigate)させます。それが私たちの究極の仕事です。」

 彼が学んだ大きな教訓の一つは、セキュリティの改善においては人を中心に考えたアプローチをとり、あるセキュリティソリューションが、他のソリューションよりも優れているということをきちんと説明するということでした。その他の教訓としては、多要素認証の導入、特権アカウントの管理とセキュリティの自動化、リスクを判断するためのビジネスへの全体的な集中などを挙げることができます。  Carson氏は、サイバーセキュリティの専門家の役割をよりよく理解できるようになったと述べています。「自分の仕事はサイバーセキュリティではないということを実感しました。それは私のスキルの一部に過ぎないと言うことができます。私の仕事はビジネスリスクなのです。」

原文記事: https://blog.isc2.org/isc2_blog/2020/11/light-bulb-moment-the-job-of-cybersecurity-professionals-is-about-assessing-risk.html