サイバーセキュリティに関する米大統領令、元USSSが組織へのヒントを解説

本記事は2022年9月にUSで公開された記事の抄訳です。

2021年5月に発生した米国の大手石油パイプライン企業コロニアル・パイプライン社に対する壊滅的なランサムウェア攻撃を受けて、バイデン米大統領は2021年5月12日に大統領令14028「Improving the Nation’s Cybersecurity（国家のサイバーセキュリティの強化)」※に署名しました。
※Executive Order on Improving the Nation’s Cybersecurity 2021/5/12

発令後の状況を振り返り、大統領令の有効性や課題、またあらゆる規模の組織のCISOがサイバーセキュリティ戦略を強化するために、この法令から何を学ぶことができるのか、解説していきます。

サイバーセキュリティに関する米大統領令の概要

ホワイトハウスが発行したファクトシート※によると、バイデン米大統領による大統領令には7つの重要なポイントがあります。

1.政府と民間企業の間のサイバー脅威情報共有に対する障壁を排除
2.連邦政府におけるより堅牢なサイバーセキュリティ基準の近代化と実装
3.ソフトウェアサプライチェーンセキュリティの強化
4. Cybersecurity Safety Review Board（サイバーセキュリティ安全審査委員会）の設置
5.サイバーインシデントに対応するための標準的なプレイブックの作成
6.連邦政府のネットワークにおけるサイバーセキュリティインシデントの検出改善
7.調査および修復能力の向上

※FACT SHEET: President Signs Executive Order Charting New Course to Improve the Nation’s Cybersecurity and Protect Federal Government Networks　2021/5/12

大統領令ではまた、ゼロトラストアーキテクチャ、多要素認証の実装、およびエンドポイントの検出と対応 (EDR) イニシアチブの展開について複数の期限が設定されました。
その他、CISAに対し、クラウドサービスガバナンスのフレームワークおよび、クラウド移行やデータ保護の推奨アプローチを示したクラウドセキュリティ技術参照アーキテクチャ文書を開発し、発行することなどを要求しました※。
※CISA（Cybersecurity and Infrastructure Security Agency）は米国国土安全保障省傘下のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁。CISA EXECUTIVE ORDER ON IMPROVING THE NATION’S CYBERSECURITY

セキュリティの成功と課題

2021年11月、大統領令にて義務付けられた46タスクのうち19のタスクが完了したとアメリカのニュースメディアが報じましたが※、すべての連邦機関が進捗を報告したわけではありません。また、業務の機密性が高いため、報告できないものもあるかもしれません。
※Biden’s cybersecurity executive order, a progress report 2021/11/1

組織がどこまで影響を受けているかは分かりませんが、成功しているセキュリティチームは、自組織のセキュリティ戦略を連邦政府のセキュリティ戦略に合わせた、“連邦ファースト（federal-first）“のアプローチを採用しています。連邦政府は最先端のサイバー攻撃を阻止しなければなりません。
したがって、ここから得られる教訓と導き出される戦略は、さまざまな組織に役立つはずです。
これを念頭に置いて、大統領令で示された7つのポイントを組織が実施するにあたって、重要となる成功のヒントと課題を解説します。

脅威情報の共有に対する障壁を排除

成功 : より成熟した脅威インテリジェンスと情報の共有
以前は、コンテキストが欠如した情報共有のため、運用が難しく、ネットワークの防御に利用されていました。疑わしいものから悪意のあるものまで含んだ膨大なIPリストを PDFにして渡していましたが、最小限のコンテキストを自動化された大量のフィードとして送る方法に移行してきました。
現在では、MITRE ATT&CK フレームワークのような標準化されたフレームワークで情報が共有されており、セキュリティチームがサイバー脅威を調査し修正するために必要なコンテキストが提供されるようになっています。

課題 : 法的責任
民間企業は、脅威インテリジェンスや IoC の共有をためらうかもしれません。その情報には機密情報が含まれている可能性があり、誤って共有されてしまうと訴訟に発展しかねる可能性があるからです。
競合他社が情報を共有する場合、独占禁止法の問題も存在します。過去2年間で、機密情報の編集に関する法的課題が緩和される進歩が見られていますが、インテリジェンスと情報の共有は、まだ本来あるべきレベルには至っていません。

ソフトウェアサプライチェーンセキュリティの向上

成功 : 認識の向上
組織のソフトウェアサプライチェーンセキュリティを向上に対する認識が大幅に高まっています。
これにより、ソフトウェア部品表 (Software Bill of Materials：SBOM) のような取り組みが推進されています。
SBOM は、その定義から、重要なソフトウェアの構築に使用されているさまざまなコンポーネントの詳細とサプライチェーンの関係性を含む正確な記録を提供するものです。ソフトウェア開発者とベンダーは、多くの場合、既存のオープンソースおよび商用のソフトウェアコンポーネントを組み合わせて製品を作成します。 SBOMは、製品に含まれるこれらのコンポーネントを一覧表にしており、セキュリティチームがリスクをより適切に特定・評価するのに役立ちます。

課題 : オープンソースコード
多くのレポートによると、オープンソースソフトウェア (OSS) の使用は増え続けています。複数の調査によると、約80%の企業がOSSを利用しているといわれています※。
※80 percent of enterprises use open source software and nearly all worry about security

DevOpsに関してトレンドマイクロのパートナーであり、開発環境向けに脆弱性管理ソリューションを提供するSnyk※は、調査を通じて、多くの組織にOSSのリスク対応に課題があることを明らかにししました。
※Snykとトレンドマイクロのパートナーシップについて

OSSリスクと組織の対応状況
･組織の 41% は、OSSのセキュリティに不安を感じている
･オープンソースプロジェクトの脆弱性に要する修正時間は着実に増加。2018 年には49 日だった修正に要する時間は、2021 年には 110 日と倍増している
･組織の 51% は、OSSの開発または使用に関するセキュリティポリシーを保持していない
･ OSSのセキュリティポリシーを持たない組織の 30% は、OSSのセキュリティに対応する責任者がチームにいないと回答している
※State of Open-Source Software Security 2022 Report

オープンソースコードは、スピードを求められるプロジェクトにおいて不可欠になっていますが、同時に重大なセキュリティリスクをもたらします。適切なツールやパートナーシップがなければ、ソフトウェア内のオープンソースコードの異なる側面を特定することは困難であり、攻撃に対して脆弱なままになってしまいます。このため、ソフトウェアサプライチェーンのセキュリティに関しては、安全なコードの開発が最優先事項といえます。

グローバルなソフトウェアサプライチェーン攻撃に対する標準的なプレイブックの作成

成功 : レジリエンスの向上
プレイブックは、定期的に実践し、演習すれば有効であり、サイバー攻撃に備える上で非常に効果的です。プレイブックに基づき、迅速に脆弱性にパッチを適用できれば、システムの回復力は高まります。
攻撃にさらされる時間が1ヶ月以上から数時間に短縮されることを考えると、これは特に重要なことと言えます。組織はしばしば、重要な脆弱性そのものよりも、非効率的なプロセスや壊れたプロセスの犠牲になっていると感じています。

課題 : 万能なセキュリティはない
一方、グローバルなソフトウェアサプライチェーン攻撃に対応するためのプレイブックはほとんどありません。フレームワークは、組織のプレイブックを確立する際のスタート地点としては最適ですが、組織ごとの IT 環境や地域固有のコンプライアンス規制は、念頭に入れておかなければなりません。

サイバーセキュリティインシデントの検出改善

課題 : 可視化の欠如
大規模な組織では、セキュリティスタックに50 ～ 60のソリューションを有しており、脅威アクティビティデータの収集と関連付けだけで時間がかかります。平均検出時間（Mean Time To Detect：MTTD）が遅ければ遅いほど、組織のアーキテクチャの奥深くまで攻撃が広がっていきます。もちろんポイント製品の数が増えれば、その分問題も多くなります。状況を改善するには、ポイントソリューションを統合サイバーセキュリティプラットフォーム上に集約することが適切な出発点です。
これにより、セキュリティの効率を改善し、自動化を促進し、コストを削減できます。
ポイントソリューションから、サードパーティと包括的に統合された統合サイバーセキュリティプラットフォームに移行することで、セキュリティ専門家はアタックサーフェス（攻撃対象領域）に渡るサイバーリスクを迅速に特定して軽減できます。XDR 機能を備えたプラットフォームを検討することで、プラットフォームのソリューション全体でデータを収集して関連付け、脅威をより迅速に検出し、対応し、修復することができます。

Ed Cabrera（エド・カブレラー）

トレンドマイクロ株式会社
Chief Cybersecurity Officer

ジョージW.ブッシュ大統領の大統領保護部門で勤務し、その後NCCICのシークレットサービス戦略アドバイザーを務める。CISOも含め米国シークレットサービスでの経験は20年以上に渡り、情報セキュリティ、サイバー調査および保護を主導した。現在は、トレンドマイクロでChief Cybersecurity Officerを務める傍ら、フロリダ国際大学シニアサイバーセキュリティフェロー兼非常勤教授、ニューヨーク工科大学のゲスト講師を務めるサイバーセキュリティの専門家。