「次のLog4j」対応の鍵はサイバーオペレーション連携

This post is also available in: English (英語)

今週初め、筆者は米国上院国土安全保障政府問題委員会に出席し、「Log4Shell」脆弱性の影響と範囲について議論する機会をいただきました。そのなかでは、CISA長官のJen Easterly氏が「情報共有を情報実現に変えるもの」と表現した、サイバーオペレーションにおいて協業の果たす重要な役割」についても話し合われました。

出自が軍人ということもあり、私は共通の目標に対する奉仕の精神をたたきこまれてきました。この精神は弊社でも共有されていますし、ひろくサイバーセキュリティ業界全体の規範たるものと考えています。私たちは本当の意味で一蓮托生なのです。

いまの私たちは、Log4Shellのような国家的レベルの脆弱性に直面しています。ですから、情報を共有し、共有された情報をもとに組織が今日のサイバー脅威から自身を守る具体的推奨事項に落とし込んでいけるようなイニシアチブの構築は、かつてないほど重要になっています。

サイバーオペレーション連携: サイバーセキュリティコミュニティのための有望なイニシアチブ

米国議会のリーダーシップにより発足したJCDC（Joint Cyber Defense Collaborative）は有望な共同体であり、私たちはその設立同盟メンバーであることを誇りに思っています。

この共同体のおかげで、Log4Shellが登場した土曜日の午後には、業界競合他社同士が政府のパートナーとして生の状況認識を共有しあえる体制をただちに立ち上げることができました。

これは官民連携の成功事例といえるものでしょう。具体的には、JCDCは商業的には競合となる企業が同士として行動し、急速に進展する状況認識を共有する場として機能し、国家の重要機能の安全保障に貢献しています。CISA長官のJen Easterly氏から「今後もJCDCを成熟させJCDCがもたらす双方向の価値を最大限に高める」とお約束をいただいたことに感謝申し上げます。今後も私たちは、このパートナーシップを継続していかねばなりません。

また先週、私の同僚でもあるUnit 42シニアバイスプレジデントWendi Whitmoreが、政府ならびに産業界の著名サイバーセキュリティリーダーの皆さんとともに、国土安全保障省の「Cyber Safety Review Board (CSRB)」のメンバーに選ばれたことを誇りに思います。CSRBの最初の任務は、「Log4jの脆弱性の根本原因と、その脆弱性の悪用および兵器化に関する重要な事実」を明らかにすることです。

JCDC および CSRB への積極的参加に加え、パロアルトネットワークスは、大統領の国家安全保障電気通信諮問委員会 (NSTAC) のメンバーも務め、そのなかで国家安全保障政策と技術的な問題に関し、産業界がホワイトハウスその他の米国政府上級関係者に助言を行っています。このほか私たちは、国土安全保障省と IT 業界との間で主要調整機関として機能するITセクター調整評議会 (IT-SCC) の執行委員や、防衛産業基盤セクター調整評議会 (DIB-SCC) のメンバーも務めています。

また私たちは国土安全保障省のICTサプライチェーン リスクマネジメント タスクフォースにも積極的に参加しており、NIST (米国国立標準技術研究所) のNational Cybersecurity Center of Excellenceの5G Cybersecurity Projectのテクノロジーパートナーに選ばれたことも嬉しく思います。

最後に、弊社は国土安全保障省、Cyber Threat Alliance（弊社は設立メンバー）、インテリジェンス コミュニティ、国際的コミュニティと強固な脅威情報共有パートナーシップを維持し、技術的脅威データを共有し、SolarWindsやMicrosoft Exchange Server、Log4Shellなどの重大サイバーインシデントに対する政府・業界の対応を支援するために協力しています。

私たちは、統合された国土安全保障のパートナーとしてのコミットメントを継続し、進化する脅威に共に立ち向かうために、サイバーセキュリティ コミュニティと協力していきたいと思います。

ベストプラクティスの重要性は変わらない

こうした話し合いをするなかでは、リスク低減の明らかな、セキュリティの根幹から目をそらすことはできません。たとえば次のようなものです。

1. 攻撃者目線で攻撃対象領域を正確に把握する。
2. クラウド、エンドポイント、オンプレミスなどのシステムをまたいでの可視化を促進し、データを孤立させない。
3. 開発セキュリティオペレーション（DevSecOps）のベストプラクティスを業界に普及させる。
4. 特に、脆弱性管理、インシデント対応、コンプライアンスに関連するセキュリティオーケストレーションを可能な限り自動化する。
5. もちろんこれまで積み重ねきたサイバー衛生の基本も有効で、守らなかった場合にどうなるかは明らか。社会として私たちは、サイバー空間における運転でシートベルト装着義務違反をすべきでない。

サイバーセキュリティ関連ニュースを見れば、なぜこうしたことが重要なのかがよくわかります。筆者が日々分析している脅威情勢は、最大限の警戒を求めてきます。

Log4Shellのような脆弱性であれ、ランサムウェア脅威であれ、揺れ動く地政学的情勢であれ (最近私たちが公開したウクライナを執拗に標的とするロシアとつながりをもつAPT脅威グループに関する調査結果もそれを裏付けている)、サイバーセキュリティが国家安全保障体制の根幹であり続けることは間違いないでしょう。今まで以上に、社会全体でのアプローチが求められています。

「Log4Shellの脆弱性はあまたある脆弱性の新たな1つにすぎず、これからもサイバーセキュリティコミュニティはその対応のために集結せざるをえない」と皆さんが感じているなら、それはそのとおりです。だからこそ、Log4Shellを単独の脆弱性として個別に分析するのみならず、急速に進化するサイバー脅威情勢のより広い文脈でも捉える必要があります。Log4Shellは国家レベルの脆弱性として、最初のものでも最後のものでもないでしょうから。

筆者の証言はこちらの公聴会のリプレイからご覧ください。