7月25日の人材育成セミナーで何を伝えたか、何を伝えたかったか#4

7月25日のセミナー「ビジネスとセキュリティを守る人材育成」でお話したHardening Projectを通して得られた気づきについてご紹介。その4。

4つ目の気づきは「ビジネス継続のために防御力と復旧力が重要」です。

競技で成績が上位に来るチームに共通することは「防御力」と「復旧力」が高いということです。「事前対策」と「事後対策」ということもできるでしょう。

防御力

防御力は「いかにやられないか」ということです。事前に検討する時間が十分にあれば、システムの防御力を十分にあげることも可能です。しかし、Hardeningの競技においては事前に準備できることが限られているうえに、8時間の競技中に次から次にシナリオが発生し、状況が変化します。

よくわからない環境で、刻々と環境が変わるなかで、少人数で対応するためには選択と集中が重要です。どのサービスがビジネスにとって重要なのか、どのサービスが止められるとダメージが大きいのかということを見分けて、そこから重点的に対策を打たなければなりません。守るべき部分とあきらめる部分を見分けられる知見があるエンジニアがいるチームは防御力が高い傾向にあるようです。

日常のビジネスにおいても複数の脆弱性が同時期に報告されることがあります。どちらの脆弱性の対応を優先するべきか、どちらのシステムから対応するべきか、限られたリソースを適切に振り分ける意思決定が求められます。もちろん、ここにも「意思決定のスピード」が求められます。

復旧力

そして、復旧力も重要です。システムへのダメージを軽くし、早くシステムを元の状態に戻すことができる力です。次々に発生する問題に素早く対応し、ビジネスへの影響を最小化することが求められます。しかし、この復旧力を磨く機会がなかなかないことも問題だと思っています。システムを止めないように運用しているからこそ、システムが止まってしまった対応をする経験をする機会は多くありません。機会が多くないからこそ、復旧力の差が明確に表れてしまいます。日常においてもセキュリティインシデントが発生するのは十分な人員が確保できる平日の昼間ばかりとは限りません。人員が手薄な土日や夜間に発生することもあります。

復旧力で重要なのは「検知」と「回復」です。優秀な成績を残しているチームの多くが、ビジネスに影響が生じている状態を早く検知しています。「ログを監視する」「プロセスの状態を監視する」「コネクションの状態を監視する」など手法自体は昔からありふれたことですが、当たり前のようなことを着実に実行できているチームは日常のビジネスでも強いんだろうなということをいつも感じています。

セキュリティインシデントが発生した時には発生した事実だけではなく、対応の経緯も問われることになります。皆さんの「復旧力」は大丈夫ですか？これを機会に少し見直してください。

続いて「サービス再開は判断が難しい」を取り上げます。

• 得られた気づき　その1　 マルウェア感染にはなかなか気づかない
• 得られた気づき　その2 　意思決定のスピードが重要
• 得られた気づき　その3 　ビジネスは技術力だけではない
• 得られた気づき　その4 　ビジネス継続のために防御力と復旧力が重要
• 得られた気づき　その5 　サービス再開は判断が難しい
• 得られた気づき　その6 　トラブルは情報の不足と間違いから
• 得られた気づき　その7 　脆弱な初期設定に注意
• 得られた気づき　その8　 安易な作業がトラブルを生む
• 得られた気づき　その9　 事前準備と事後の振り返りが重要
• 得られた気づき　その10　情報共有は共同オペレーションの体験から