セキュリティメトリクはS.M.A.R.T. !!

役立つメトリックは、セキュリティゴールの達成率を示し、組織のセキュリティプログラムを改良するための活動を進めてサポートする。その性質ほどの指数としてメトリクは、明確であり、測定可能、メトリクによって決定する目的数値が達成可能、測定の再実施可能と、時間の依存性がある。

後述に詳しく取り上げるが、特徴によってメトリクの性質がかわるので、性質要素とも言えるだろう。下記の「S.M.A.R.T.」^[1]方式で性質を判断して、セキュリティのプログラムにどのメトリクを取り入れるかと計画に役立つと思う。

明確である - Specific

メトリクは複雑であればあるほど、情報のエンドユーザには、指数の重要性、情報とする価値と、セキュリティ環境を改善する動機が与え難くなり得ることである。

逆に、一定のメトリクは情報のエンドユーザに説明し易いし、エンドユーザにとって理解し易いことである。その上、改善活動の為の対応が求められる時に、対応する部門やマネジャーに納得するのがより簡単で、担当部署のどこにセキュリティ　パフォーマンスを向上するべきかと関連づけることがより明確である。

と言えば、最近の（いわゆる）数量的なリスク分析のような１から５までのスケールで何かの状況を主観的に評価するみたいな判断に頼られるようなメトリクやメトリク測定項目^[2]を絶対に避けた方が情報とする納得力があるだろう。リスク評価にも使われているヒートマップや虹色スケール等は、（ビジネス上の判断をするべきの）情報を受ける相手に理解させ難いことは少なくないことである。それに、曖昧な評価基準、不明確な計算、又は、明確で大変複雑で、数学博士でも理解時間が１００時間以上掛かるメトリクを作成して報告する必要が一切ないことである。

測定可能 - Measurable

メトリクを作成するための情報収集の活動には、測定する必要な項目を実際に測定ができるかと確認するべきである。ある情報をシステムから取り出したいと思ったら、何でもすぐに抽出できる訳ではなく、ログのシステムから取り出せても、ログ項目別の洗い出しと分析は大量時間がかかる場合が少なくないだろう。これを考えると、人間、時間、予算等の話しすぐ上がってくるので、とてもシンプルなファイル参照アクセス拒否の件数を取り出すことだけが多大な仕事が掛かるだろう。しかし、コンピューチング環境、当該組織の業界、システム管理環境などの要素によって測定能力が変わることがある。

達成可能 - Attainable

メトリクをKPIとして使われた場合には、事前に決定された目的値や目的数が実際に達成が可能であるかどうか確認するべきである。目的値は達成可能でなければ、改善をするために協力する方々にとっては、やってもやらなくてもという態度になりかねないことだろう。この状況を避けるのには、ベースライン^[3]を定めた後に、目的値を決定するべきであるが、セキュリティメトリクのプログラムの中には、定期的なレビューとゴール、KPI調整も必要である。

測定の再実施可能 - Repeatable

測定結果を正確に報告するのにキーであるのは、標準化された測定手順がなければならない。測定方法は余り難しければ、その他の測定手続きを検討した方が推奨であり、システムのログ等をスクリプトや管理ソフトのフィルタを使用して自動化にすることも強く進めることである。スクリプトのフィルタを使ってログ情報を収集すると、スクリプト作成段階で、ログ項目の選別基準を文書化する機会があり、協力部署の人材と時間という抵抗がなくなり、自動の測定手順と結果の安定さに対する疑問がなくなるであろう。

時間の依存性がある - Time Dependent

測定結果は、ある時点に当該システムのセキュリティ状況の「写真」とのことであるので、数日間に渡って測定手順を実施すると、測定とメトリクの情報とする価値が下がることである。

２００８年４月の報告をする為には、２００８年４月１日から２００８年４月３０日までの測定情報を集めてから、メトリクを迅速かつ適時に報告するべきである。上記に取り上げた例として、２００８年５月１０日以前が望ましいと思う。

全てはログではない

この章の最後には、前述に測定とログの話しが続々とでてきたが、全てのセキュリティメトリクはログではないだろう。特に、アタックパターンを分析するような予防活動に関しては、ログに共有項目のアクセス拒否とアプリケーションのアクセス拒否情報は典型的なシステムログには見つからないことである。[IN]SECUREというオンライン雑誌記事では、２００７年で異彩を放るセキュリティ事件要約の中、「ログのデータ分析から始まりのがよい考えだが、問題は殆どのログ管理システムはイベントログを中心にして、全てのセキュリティ関係データが含まれていない」^[4]と説明する。それに、日常のデータだけではなく、月次、新半期、年次のデータを分析する時代になり、最近の攻撃は低いフットプリントで長期間という傾向がある。

---

^[1] A Guide to Security Metrics, SANS Security Essentials GSEC Practical Assignment Version 1.2e; Shirley C. Payne, June 19, 2006. http://www.sans.org/reading_room/whitepapers/auditing/55.php

^[2] この文書には、「メトリク」と「メトリク測定項目」をよく使われるが、前述されたようにメトリクは一つの測定からなることもあることである。

^[3] 事前に最低２回計った結果を見て、平均値、中央値などを加えたトレンド提示である。

^[4] Vijay Basani. "Building a secure future: lessons learned fro 2007's highest-profile security events." [IN]SECURE Issue 16 (April 2008): 31+. HNS Consulting Ltd. 2008. http://www.net-security.org/dl/insecure/INSECURE-Mag-16.pdf

Automatic Patch-Based Exploit Generation - The Time Has Come!!

Security Focus has a good article on Automatic Patch-Based Exploit Generation (APEG) where researchers from Carnegie Mellon and Berkeley warn Microsoft of the software patch update system currently in place. Good stuff! I am going to look into this approach a little further, since I have been watching it develop over the past couple years - and now it can be automated.

セキュリティメトリクの定義

One of the other tasks on my preparation checklist involves formatting a Japanese newsletter for two purposes - to announce my new career move, and to send out a monthly digest of seminars in the Tokyo/Osaka area, and a digest of interesting blog items that I archive during a month. I have a couple of English newsletters like this that I read regularly, but nothing in Japanese. So I am either just not connected to the right group that has such a newsletter (not likely at this point) or it does not exist. Of course, abide by all the newsletter and anti-spam rules along the way - previous permission and unsubscribe options. Short of working on the newsletter today, however, I compiled some of the first pages of a Japanese book that I am working on - Security Metrics. Enjoy the following excerpt if you can read Japanese. Also, please excuse the Japanese since it has not been proofed. Will update along the way.

セキュリティメトリクとは、事前に、測定期間と対象となるシステムを決定し、決定済みかつ文書化された測定方法に従って計り、システムやセキュリティ関係の情報を収集、測定して、あるベースラインに比べて、パフォーマンスを報告する指数である。セキュリティメトリクを使用して、あるKPIに基づいて、ゴール、目的を達成するように進んでいるかと判断する。この定義を少し分析すると、下記の物事は事前に決定される：

• 測定期間
  すべての測定結果は一貫した期間を代表する為に、決定されたタイミングと頻度に従って測定を行うことである。


• 対象システム
  言うまでもないかも知れないが、殆どの測定からなるセキュリティメトリクはシステムの関係がある。例えば、ファイアオールの有効性を判断する為には、FWのポリシー表、ログ、そして侵入検知システム（IDS）のスキャン検出事項など集めなければならない。


• 測定方法「決定済みかつ文書化された」というのがキーである。どの方でも初めて測定する場合、測定手続説明書を読んだら適切に情報が収集できるようにしなければならないことである。

メトリクは測定結果そのものではなく、メトリクは複数の測定が関係するケースもある。例えば、ウィルス対策の有効性を評価する為のメトリクは、ウィルス検知システムの正確さである。このメトリクを提示するための情報を集めるには、ウイルス管理システムと障害報告システムの両方からデータを収集しなければならない。

上記の図表のように、メトリクを特定してから、測定方法に関する詳細を決定し、文書化し、各関係者に通達しなければならないことである。組織、場面によって変わることがあるが、関わる部門の合意、協力を集めなければならない。メトリク、当該システム、計る方法等を決定してから、計算が必要となる場合、下記の図表のように、明確に文書で記述しなければ、一環した測定とKPI報告ができない。
上記の図表では、測定とメトリクの相違点を描き、KPIやその他の効率性を報告するような方法に結び付く。

Going Security and Privacy - A Look At Blogs and Newsfeeds

In my new position at a Big Four audit firm here in Tokyo, I will have to lead, coordinate, promote, and execute within the Security & Privacy Services team.

STOP!

Within a single sentence above, I have provided all the clues any one would need to deduce which Big Four firm I am talking about. Heh... hold on a couple days. I will send an announcement out in a couple days. I start work on Thursday next week, and since it will be much narrower of a working requirement than I have recently undertaken, I have been assembling a listing of security blogs. First, I just started with the first blogs that came to mind, like SANS Reading Room (news feed) then Schneier on Security (blog) and worked from there. Then I started up DevonAgent and performed an intelligent deep search for "security blog", which finished several hours later with a solid listing of 148 hits.

The listings are mixed between personal and organizational, are not distinguished between a newsfeed or a blog, and listed in alphabetical order. The idea behind this little project was to create a listing of news sources that one could scan briefly and daily for the latest news, so of course, all 148 hits listed are not included in the list. If you use Newsfire (OS X), you can import this file to list all the sources, and here is the listing in OmniOutliner format. Again, just to clarify, the listing is in alphabetical order and does not reflect any ranking of the sites.



Organizational
Most of these news sources speak for themselves, but a couple popped up that I haven't paid much attention to or noticed. First, the SANS Reading Room has come a long way since I last read the material a couple years ago. The subjects covered are now more narrow and deeper, so when a paper gets posted, it's probably worth the time to see if the subject is in your area of security or not. Another feed that surprised me because it is right down my area of expertise is the Build Security In site. Finally a security site that focuses on the basis of many, if not most, security issues - secure software development and programming!

• @RISK: The Consensus Security Alert: feeds.feedburner.com—SansInstituteAtRiskAll
• Black Hat Announcements: www.blackhat.com—BlackHatRSS.xml
• BSI - Build Security In - Dept. of Homeland Security: buildsecurityin.us-cert.gov—normal-rss.xml
• CERT Announcements: www.cert.org—cert_announcements.rss
• CGISecurity.com: www.cgisecurity.com—index.rss
• Computer and Network Security, Malaysian Style: security.org.my—index.php
• Digital Common Sense: feeds.feedburner.com—DigitalCommonSense
• Google Online Security Blog: feeds.feedburner.com—GoogleOnlineSecurityBlog
• Latest Secunia Security Watchdog Blog Entries: secunia.com—o.rss
• OSVDB Blog: osvdb.org—blog
• Packet Storm Security Last 20: packetstormsecurity.org—whatsnew20.xml
• SANS Information Security Reading Room: feeds.feedburner.com—SansInstituteRRLast25
• SecuriTeam Blogs: blogs.securiteam.com—feed
• Security Bytes: feeds.feedburner.com—SecurityBytes
• Security Fix: blog.washingtonpost.com—index.xml
• Security Resources on ZDNet: updates.zdnet.com—security.html
• SecurityFocus News: www.securityfocus.com—news.xml
• Vulnerability Analysis Blog: www.cert.org—rss.xml
• WindowSecurity.com: rss.windowsecurity.com—allnews.xml
Personal

Some of the authors listed below because I labelled their sites as 'personal', but I just call them like I see them. Of course Bruce Schneier is deserving of organizational status, but a quick peruse of his site lends a very personal (good) feeling. Dancho needs to take some medicine and mellow out a bit, but his postings are worth perusing regularly. Also, Mark Collier's VOIP Security Blog offers some good information worth staying on top of.

• d4rkr1d3r's Computer Security Blog: synthasoft.blogspot.com—default
• Dancho Danchev's Blog: feeds.feedburner.com
• David Lacey's IT Security Blog: www.computerweekly.com—atom.xml
• Derek Slater's blog: blogs.csoonline.com—feed
• Digital Soapbox - Security, Risk & Data Protection Blog: preachsecurity.blogspot.com—default
• Jeremiah Grossman: jeremiahgrossman.blogspot.com—default
• Kees Leune: feeds.feedburner.com—kees
• Mark Collier's VoIP Security Blog: voipsecurityblog.typepad.com—index.rdf
• Laptop Security Blog: blog.absolute.com—atom
• Recognize-Security: www.rec-sec.co.il—feed
• Schneier on Security: feeds.feedburner.com—fulltext
• securitymetrics.org : www.securitymetrics.org—rss.jsp
• The Security Skeptic: www.securityskeptic.com—feed.xml
• Writing Secure Software: http://securesoftware.blogspot.com

Metasploitフレームワークとアンチウイルスソフトの有効性

新しい１７”マックブックプローでNewsFireというニューズ収集ソフトを使っている間、SANS Reading Roomにとても面白い論文がありました。

（恐縮ですが、英文だけです。でも、セキュリティ、技術、科学の最先端は殆ど英語です。）

論文のタイトルは、「Effectiveness of Antivirus in Detecting Metasploit Payloads」と言い、Metasploitフレームワークの基本レベルから説明します。

セキュリティメトリクのプレゼン

前日、セキュリティメトリクの導入、実施の第一歩程度の資料をウェブサイトに投稿しました。残念ですが、とりあえず、英語です。日本語版は来週あたりに投稿します。http://www.sysrisk.com.

Playing Around With Photo Booth

You smell funny!

Damn this hay fever!

From this next picture, you can see that the twins are at least normal.

Remote Access - 7.2 MB Over Cell Phone

This is great! For the past two weeks I have been using a mobile phone network-based remote access service available here in Japan from a company named EMobile. This is really nice and zippy. This allows me to go to consulting engagements and work from my Mac without having to worry about acceptance forms and applications required to set my system up for LAN connectivity and internet access.

Hayfever, Jabber, MBP 2.6 Ghz

Over the past month I have been stricken with a serious case of seasonal hay fever. Apparently Pine hay fever season is mostly passed and now is Japanese Cypress hay fever season. If that is the case, then I may very well be allergic to those trees as well. Itchy eyes, ears and nose stuffed, and watery blurry mornings...

Okay, now what is it with getting Jabber working on anything? I go to www.jabber.org and try to sign up for a Jabber account, but jabber.org has not sent a 'prompt' response mail to my enrollment and any of the other free services listed are either not in English or the registration interface is not intuitive enough for me to figure out where to sign-up! The frustrating thing about this whole experience is that I did have a reliable Jabber connection up until about one month ago with www.amessage.info - but this service is up and down, then up for a while, and now has been unavailable for about three days consecutive. So I go to find another Jabber service. Hold on! I will boot up Psi and see if I can get anything to work this morning since my last attempts last night. BRB.

30 minutes later ....

Still a Jabber die hard, but starting to give up for other solutions.

2 hours 30 minutes later ...

Okay, now I have settled with something else - Adium. I tried this software about four years ago and was not too impressed with it, which is exactly why I went through the trouble of setting up Jabber before. A few minutes ago, I downloaded Adium and was thoroughly impressed. Especially, if you use this Skype plugin , you can even get rid of Skype from your desktop. On my installation, Skype still pops up then automatically hides when Adium logs into the Skype account, but I don't mind that because will probably need to open it again anyway for phone call and video chats. No more Jabber for me! Good bye iChat, Adium here I come!!

A couple of weeks ago, Apple finally delivered my custom, order-to-made MacBook Pro 17", LED backlight, 2.6 Ghz, and 4 GB RAM. Gotta serious machine here. A screamer that does not skip a beat even for Parallels on Coherence to boot a Visio drawing.