この記事はNTTテククロス Advent Calendar シリーズ2の7日目の記事です。
NTTテクノクロス株式会社セキュアシステム事業部、クロステックセンター兼務、TX-CSIRT兼務、エバンジェリスト、テクニカルプロフェッショナルの武井です。
毎度肩書きが異常に長いです。簡単に言えば色々やっている人です。
前回は増田さんのAWS CloudWatch Logs S3退避についてのお話でした。今日はガラッと変わって経営にちょっと関する話です。
はじめに
武井のいつものネタといえば日本セキュリティオペレーション事業者協議会(ISOG-J)の「セキュリティ対応組織の教科書」とかITU-T勧告X.1060とかなのですが、今日はそれじゃないです。「じゃない方芸人」の方です!
本記事は、セキュリティの体制を作って運用監視をして、統合的に可視化したその先、それをどう活かして経営層にビジネスリスクの一つとして理解してもらうのか、という話です。
運用監視の見える化してますか?
見える化、可視化、よく言われてますね。その先、どうしてますか?
「セキュリティは投資」という言葉はよく聞かれるようになりました。
一方で「経営者がセキュリティの重要性を理解してくれない、予算をつけてくれない、丸投げで無理難題を押し付けてくる」と言った現場の悲鳴のような声も聞こえてきます。
まずはログをちゃんと集めましょう
何はともあれログです。
元データがないと始まりません。エラーログだけ集めてても何かあった時に困るので、正常な時のログとか取りましょう。
集めたデータは次の可視化のために溜め込みましょう。Elasticとか最初溜め込むにはいいでしょう。
Elasticの使い方とかログの集め方とか色々なところでやり方とか記事とかあるのでそれを参考にしてもらえれば。
よく、ログはどれくらい貯めれば?という問題があります。ざっくり分けて保存しておけば良いのではないでしょうか。
- とりあえずいつでも見たい分
- 法律的に決められて保持しておく分
- それ以上でいつか必要になる時に取り出す分
と言った感じで段階に分けて保存しておけば良いかと思います。
常にハードディスクのストレージに入れてアクセスできるようにしておく必要のある量は直近の分くらいでしょう。Elasticで使う分とかと考えると良いと思います。当然、システムリソースにも限りはあるので、当面見える分くらいですね。
ある期限がたった分は別メディアにバックアップして保管しておけば良いでしょう。
何かインシデントが起こると、数年前どころではなく遡ってログを探すこともあります。
その時に取り出せて確認できれば良いのでコストを抑えてログを保管しておきましょう。とにかくログが残っていることが大事です。テープでもDVDでもBDでもなんでも良いです。何かで残してあることが大事です。
次に可視化しましょう
ログが溜まったら可視化です。Elasticならkibanaですね。
可視化すると、異常な状態だけでなく、通常の状態が見えるようになります。
そうなると、「いつもと違う」とか何か予兆的なものも見えるようになってきます。
リアルタイムで可視化できると、今何が起きているかが見えやすくなります。
今何が起きているかをみるためにも、エラーのログだけではなく、色々なデータソースから色々な状態のログが欲しくなります。
ログの取得から可視化を色々と試してみて、見えるものを増やしましょう。
経営層が理解できる数値に変換しましょう
さて、ログを集めて可視化するとなんとなく会社内でのレポートがしやすくなった気がします。
ですが、ほとんどの場合においてそれで喜ぶのは担当とその上司くらいで、事業部長レベルやその上の経営層レベルになると個別のデータまで見てくれないことがほとんどです。
経営層は経営の判断をするためのデータが必要なのであって、個別のデータまでは見ていられない、と言ったところでしょうか。
そのためにも、今自分たちが見ている状況が、経営的に見てどうなのかに変換して見える化する必要があります。
サイバーセキュリティは数あるビジネスリスクの一つ、と世界でも言われていますが、そのビジネスリスクとしてどう認識してもらうのかが必要になっています。
いくつかその視点のガイドラインやドキュメントがあるので紹介します。
CISOハンドブック、CISOダッシュボード
日本ネットワークセキュリティ協会(JNSA)のCISO支援ワーキンググループが出しているドキュメントです。
現在は書籍も出ています。
2つ目の方はCISOハンドブックの実践書的な感じでしょうか。CISOは必見の書籍ですね。
じゃぁ担当レベルは読まなくていいかというとそうではなくて、経営者がどんな視点でものを見ているのか、ビジネスリスクとしてセキュリティを認識してもらうにはどうすれば良いかのヒントになります。
いきなり本を買えというのは難しいので、誰でも見れる公開されているCISOハンドブック 1.1β版を元に紹介します。
ここで注目したいのは「CISOダッシュボード」です。
経営層が何に興味があるのか、経営の判断のための数値はなんなのか、これを紐解いた上でCISOダッシュボードとしてどのように見せるのか観点を示しています。
いきなり経営が理解できような数字にせよと言われても、という時にまずはここから見てみると良いと思います。
単にnnnn件検知しましたとか、今月はインシデント0件でしたというだけでは「ふーん」で終わってしまうので、ビジネス全体としてどう見ればいいのか、こういったダッシュボードを利用して可視化してみましょう。
サイバーセキュリティ経営可視化ツール
みんな大好きIPA、そのIPAから出ている経済産業省、サイバーセキュリティ経営ガイドライン Ver.3.0 の付録A-2に対応したツールです。
サイバーセキュリティ経営ガイドラインでは、経営者に向けて10の指示が出ています。その10の指示がどれくらいできているのかを可視化するツールです。
NISTのサイバーセキュリティフレームワークとの関連も示されており、そちらとの対応を見たい方も利用できるかと思います。
従業員300名以上の企業・組織を対象としています。
ただし、従業員300名未満の企業・組織を対象としないものではなく、グループ企業との比較等にも活用可能です。
Excelでできており、40個の設問に対して自社の状況に最も近い選択肢(成熟度)を選びます。
こちらはチェックシートでのチェック結果なので、年に1回とかそれくらいの頻度で見てみると良いかと思います。
単純に自組織のログから積み上げるものではなく、組織のセキュリティがどれくらいできているかを可視化しているものですが、先のCISOダッシュボードと合わせてみると、経営ガイドラインの指示がどれくらいできているか、結果どの程度組織のセキュリティができているか多面的に見えるようになると思います。
おわりに
経営に見えるようなダッシュボード、と言われるとBIツールを連想する人もいるかもしれません。
すでにBIツールを使っているのであれば、そこに統合して見えるようにするのも良いと思います。
ツールはあくまでツールです。
ログをどう集めるのか、どう可視化するか
さらにそこから経営の指標にどうやって変換して理解してもらうか。
自分たちがやっていることはどれくらいの意味があるのか、意義があるのか。
「インシデントが0件だから暇なんでしょ、次年度予算削るね」とか言わせないために経営指標へ見える化をしましょう!
いざインシデントや障害が起こるとその責任を取るのは経営者です。
そうならないためにもシステム部門やネットワーク部門、セキュリティ部門の状況を理解し、必要なコストをかけてビジネスを守るように行動することが今経営層に求められています。
「なんとかかんとか認証をとった」とか「セキュリティ対策の実施状況は年1回リストでチェックしています」とかは実際どんな効果があったでしょうか?それに安心せず、「今本当に何が起きているのか」「安全が保たれているのか」こそ見える化して判断していただきたいです。
明日は岡崎さんによるiOS/Androidについてのお話だそうです。乞うご期待!