攻撃者視点のサイバー攻撃リスク診断

近年、サイバー攻撃による企業のビジネスへの影響として、営業活動停止や身代金支払いなどの金銭的損失、レピュテーション低下を招く事態が発生しています。また実被害を受けておらずとも自社のセキュリティ維持に努める方々は、日々新たなサイバー攻撃リスクへの対応に奔走し、見えない敵との戦いを強いられています。
ABeam Security® はサイバーセキュリティ対策をより一層強化するため、一連のサイバー攻撃の流れ(攻撃経路)を断絶できているかに着目した診断を通じて、企業におけるセキュリティリスクを明らかにします。また安全性の定量的な評価とリスクの根源となっている脆弱性要因を提言することで組織のセキュリティ向上に寄与します。

サイバー攻撃対策が進まない主な要因は、情報セキュリティを推進する部門において、サイバー攻撃対策の有効性を定量的に評価できていないことです。また攻撃者の視点でリスクを評価できていないため、サイバー攻撃対策において対処すべきリスクを把握できていないことも要因として挙げられます。
これらの要因が解消されないまま、検出されたリスクに対して場当たり的に対策を講じた場合、サイバー攻撃対策への投資の一貫性が欠如し、期待する投資効果を得られません。
投資の一貫性を確保することで、サイバー攻撃対策をより強固なものにしていくためには、サイバー攻撃対策の有効性を定量的に評価したうえで、攻撃者視点でリスク分析・評価し、企業が行わなければならない対策を明らかにすることが重要です。

サイバー攻撃対策を評価する方法として脆弱性診断が活用されていますが、脆弱性診断は脆弱性を特定することが目的であり、実際に攻撃が可能であるか否か判断するには十分とは言えません。また、実際に攻撃行為を実行することで診断するペネトレーションテストはサイバー攻撃時に悪用可能な脆弱性を特定することは可能ですが、企業負荷が大きいため、導入のハードルが高いのが実態です。
ABeam Security® は、診断対象の環境にて収集したデータをサイバー攻撃の手法を体系化したフレームワークである『MITREATT&CK®』に沿って分析します。これにより、診断対象組織への負荷を最小限に抑えながら企業の資産にどのように到達するか攻撃者の視点から明らかにします。
診断結果から組織の安全性を向上するための課題を提起し、課題に対する具体的な施策案を提案することで企業のサイバー攻撃対策の強化に寄与します。

サイバー攻撃リスク診断においては、攻撃者視点で企業環境への侵入から実害に繋がる攻撃行為の実行可能性まで検証することで、サイバー攻撃の実行可能性を明らかにします。
また、診断結果報告書ではサイバー攻撃の実行可能性がどれほどあるかを報告するために、 ABeam Security® が独自で考案したセキュリティ指標を用いて分析し、企業の安全性を定量的に評価・提示します。

セキュリティ指標を用いて診断した結果をもとに、攻撃手法が実行される可能性を低減するために必要となる対応を課題として定義します。さらに課題をリスク重大性の観点から評価し、課題優先度を付けることで企業は重大性の高い課題から対応することが可能となります。
しかしながら、定量的な診断結果と課題の優先度付けだけでは、課題に対処するための具体的な対策を立てることができず、リスクの低減につながりません。そこで診断結果の考察に加え、課題に対する施策案を ABeam Security® が提唱するセキュリティ対応策整理のためのフレームワーク「Security Quadrat」に基づいて策定し、企業におけるリスク低減の達成を支援します。

なお、セキュリティ対策の意思決定に向けては、セキュリティ全体戦略とロードマップ、それに至る根拠とコスト算出が必要となります。
ABeam Security® ではこれらの業務を支援するサービス『セキュリティ投資計画策定サービス』を有しており、施策にかかる費用並びに管理会計上で計上される管理コストを含めたトータルコストを可視化することができます。これにより意思決定に向けた活動へスムーズに移行することが可能です。