データの可視性
Krebs On SecurityがGoogle Groupsからの情報漏洩とTrelloからの情報漏洩を、2018年6月に報じた。これらの共通点は、いずれもエンタープライズ系のSaaSからの情報漏洩であり、いずれも公開範囲の設定誤りである。
利用しているサービスに保続しているデータの可視性(Visibility)を、利用者が適切に把握するのは難しい。
Google Groupsの事例は、Kenna Security社の研究者による調査結果で、Fortune 500の企業を含む9600社がGoogle Groupsを公開状態にしており、その3分の1が機微情報を漏洩させているとのこと。
Trelloの事例では、セキュリティ企業のSeceon社のTrelloも公開状態にあり、機微情報を漏洩させていると、Krebs On Securityは報じている。
IACDフレームワークとは
IACDフレームワークは、JHU(Johns Hopkins University)が考案したアイデアで、ざっくりした理解では、将来的にサイバーセキュリティ製品が満たすべき要件である。IACDはIntegrated Adaptive Cyber Defenseの頭字語であり、4つの要素から構成されている。
- Integrate: 複数の異なる情報源を統合
- Automate: リスクの同定、対応の自動化
- Synchronize: 組織ポリシーを反映したPlaybookによる同期のとれた製品動作
- Inform: セキュアかつ自動化された情報交換
少し補足する。IACD自体は新しいアイデアというよりは既存アイデアの組み合わせで、セキュリティオーケストレーション、Information Sharing(情報共有)、インシデント対応の自動化あたりを混ぜたものである。
私の理解では、1と4はInformation Sharingの話で、STIX/TAXIIとか標準的な構造やプトコロルで、やりとりしましょうねということ。また、2と3は、あらかじめて定義した対応ルール(Playbook)とOpenC2みたいな標準化されセキュリティ(あるいはネットワーク)機器のオーケストレーションをしましょうねということ。
IACD 101とか、マテリアルはたくさんあるんだけど、抽象的すぎて理解が難しい。IACDは、モダンなサイバーセキュリティのコンセプトを統合したキワードだと考えて良さそう。