画像をタップして拡大する

2021年9月10日

セキュリティの対策のポイントは基本を押さえること: 取り返しのつかない被害を未然に防ぐために

サイバー衛生とセキュリティの基本を重視している企業ほど、より効果的に攻撃を防ぎ、より早期に侵入を発見することができます。
2020年、リモート管理ベンダーであるSolarWinds社のアップデートにマルウェアを侵入させるという手法で、国家支援型のサイバー犯罪者が実に1万8,000社もの企業を侵害しました。今年の初めには、3万もの組織が、Microsoft Exchangeのゼロデイ脆弱性を利用した攻撃の被害を受けました。

これらの攻撃を見れば、セキュリティチームの人々は、サプライチェーン侵害やゼロデイ脆弱性などの最も洗練された攻撃を防ぐか、少なくともそれに対する備えが必要だと感じるかもしれません。しかし、サイバー衛生と、常にセキュリティの基本に重点を置くことこそ、企業がネットワークとシステムに侵入した攻撃者を突き止める能力を高めるための最も重要なプラクティスであることは、今も変わりません。

「私が思うに、国家支援型の攻撃者や高度な犯罪グループの約95%が使用する手段は、ゼロデイを利用することではなく、単に攻撃者に対して扉を開いている被害者を標的にすることです。」情報システム監査および制御協会 (ISACA) の取締役であり、カーネギーメロン大学のサイバーセキュリティの教授であるGregory Touhill氏はそう言います。同氏によれば、パッチングや優れた構成管理の適用などの方法によってネットワークへの入り口を閉じておくだけでも、長期的には非常に大きな効果があります。鍵のかかっていない裏口から簡単に入れるのに、わざわざ高度な攻撃テクニックを使う攻撃者がどこにいるでしょうか?

このことは統計からもわかります。Accenture社のレポート「サイバーレジリエンスの近況」によれば、最新のサイバーセキュリティプログラムを実施している企業は、攻撃を特定して侵害を発見できる可能性が4倍高く、侵害への対応が3倍優れていて、侵害の影響を小さくすることでも2倍優れています。

「完全な可視性と一貫性を実現するには、ネットワークとエンドポイント、そしてアクセスに対する適切な運用モデルを確立するとともに、クラウドサービスとネットワークコンポーネントをロックダウンするための最小権限の原則を理解する必要があります。」こう語るのは、Accentureのセキュリティ部門で北米サイバー防御リーダーを務めるRob Boyce氏です。

高度で大規模な攻撃ばかりが目立ちますが、退屈な、日常的なセキュリティ対策こそが、リスクを最小化する鍵となります。ここではセキュリティの基本を、従業員、プロセス、テクノロジーという、典型的な3つのカテゴリーに分類してみました。

多くのセキュリティチームでは、従業員を脆弱性の原因だと考えていますが、適切なトレーニングによって最前線の防御力ともなります。

従業員 -  原則、アウェアネス、強力なパスワード

従業員がリモートワークに移行している現在、強力なセキュリティ原則について教育を施すことが、これまでよりもさらに重要となっています。多くのセキュリティチームでは、従業員を脆弱性の原因だと考えていますが、適切なトレーニングによって最前線の防御力ともなります。

従業員にベストプラクティスを教える — パスワードマネージャーを使用する、パスワードは再利用しない、多要素認証を使用する、Eメールを信用しないといったプラクティスは、企業を安全に保つために非常に有効です。これらのプラクティスを実行しないとどのような被害が出るか、という具体例を従業員に示すことで、実行に移してもらえる可能性が高くなります。

必要なチームの規模はどの程度でしょうか。SANS Institute社の2019年のセキュリティアウェアネスレポートによれば、一般的な企業は、平均的なセキュリティアウェアネスのレベルを達成するために2人のフルタイム従業員を割り当てて、アウェアネスや行動の変化を促進しています。平均以上のレベルを達成するためには、企業の規模に応じて、3人以上のフルタイム従業員が必要となります (この調査は、最低でも1,000人の従業員がいる企業を対象としています)。

セキュリティ対策に最も優れている企業は、進捗状況を頻繁に測定し、従業員のトレーニングと実践状況を追跡しています。フィッシング攻撃テストの結果を使用することは、最初の一歩に適しています。Touhill氏は米国輸送軍の准将を務めていた頃、定期的にフィッシング攻撃テストを実施し、その結果を公開していました。

「最初のクリックレートは17%でした。そのメッセージのどこがおかしいかを指摘すると、すぐにクリックレートは1%未満になりました」とTouhill氏は言います。「また、兵士の名前を伏せて結果も公開したので、まるで競技会のようになりました」

プロセス -  アセット、財務取引、データを保護

組織を保護するには、重要なアセットとそれを保護する方法を把握する必要があります。アセットの最新の状況を調査することは、企業にとって不可欠で基本的なセキュリティ対策です。すべてのアセットを把握してはじめて、常にパッチが適用された状態を維持でき、各アセットカテゴリに対する適切な制御を実施できます。

「所有しているアセット、アセットの場所、アセットの重要性を知らなければ、それらのシステムやデータを保護するための追加の制御レイヤーを根本に組み込むことは不可能です。」Deloitte Risk & Financial Advisoryのゼロトラスト部門で責任者およびリーダーを務めるAndrew Rafla氏はそう指摘します。

多様な形式の請求書詐欺の台頭 — これは、ビジネスEメールの侵害 (BEC) から、財務部を標的とするスピアフィッシング攻撃にまで及びます。銀行と連携して堅牢な会計処理プロセスを構築することが、ますます重要となっています。ビジネスEメールの詐欺は、エグゼクティブのアカウントの侵害から始まることが一般的です。そのアカウントが請求書と銀行取引の詳細を転送するために利用されます。

ますます高度になるBECの手法から組織を守るために、複数の担当者がさまざまな確認方法を駆使して請求書を検証することで、起こりえる詐欺の被害を最小限に抑えることができます。

他の攻撃手法としてはランサムウェア攻撃があります。特に、最近登場した亜種である二重の脅迫では、データが盗難された後に暗号化されます。身代金を支払わない企業は、データを復号するためのキーを得られないだけでなく、データをインターネットに公開されてしまう可能性もあります。

企業にとって防御の第一歩は、最も重要なデータのバックアップを取り、定期的に復旧を検証することです。復旧プロセスは、可能な限り円滑に実行できなければなりません。バックアップを取っているにもかかわらず、企業が身代金を支払ったケースもあります。データの復旧に時間がかかりすぎるためです。

テクノロジー -  ID、エンドポイント、クラウドサービスの保護

企業がゼロトラストアーキテクチャの導入を計画するもう1つの理由は、リモートワークです。ゼロトラストの焦点は、すべてのデバイスが侵害されていると想定し、デバイスがクリーンであることを検証して、異常な動作がないか監視することです。

ゼロトラストの最初の要件はIDインフラストラクチャです。ユーザーとデバイスを別個の対象として、挙動の変化を監視します。デバイスが突如として新しいロケーションから接続してきたり、誰かが初めてリソースにアクセスしたりする場合、追加のセキュリティチェックを実行する必要があります。多要素認証は、認証情報の盗難を伴う攻撃を防ぐために役立ちます。

さらに、デバイス管理ソフトウェアを導入し、デバイスが最新の状態で、適切に構成されていることを確認する必要があります。エンドポイントの検出と対応によって、リモートデバイスを管理して遠方からインシデントに対応できます。より多くの自動化がシステムに組み込まれるにしたがって、セキュリティチームはより迅速に潜在的な侵害に対応できます。

「テクノロジースタックを可能な限り統合することが重要です。また、自動化とオーケストレーションの機能を活用して、手動のアクションによる受動的なアプローチではなく、リアルタイムで迅速に対応できるようにすることも重要です」と、Deloitte社のRafla氏は言います。最後に、ゼロトラストネットワークアクセスのテクノロジーによって、企業アセットへのアクセスを厳重にし、クラウドサービスによる拡張アレイを保護できます。Rafla氏によればこのようなサービスは、ネットワークとサービスをセグメント化することで、重要なアセットとサービスの周りにマイクロペリメーターを確立します。

「仮に侵害されたとしても、脅威が及ぶ可能性のある範囲を限定でき、侵害による被害を軽減できます」と同氏は説明します。

多くの企業は、新しい製品やサービスがセキュリティ問題を解決してくれることを期待し、最新のテクノロジーに焦点を当てますが、プロセスの明確化や従業員への優れたトレーニングのほうが賢明な方法である場合もあります。テクノロジーは、セキュリティの基本全体における1つの構成要素にすぎません。従業員とプロセスも同じくらい重要です。

コンプライアンスだけでは不十分

多くの企業にとって、デフォルトのセキュリティアプローチは、組織として法的に要求されていることに従うことです。つまり、コンプライアンスです。しかし、そのアプローチだけでは十分とはいえません。

「コンプライアンスがセキュリティだと思い込むのはやめてください。コンプライアンスは必要最低限の処置であり、それも18か月前の必要最低限です」と、ISACAのTouhill氏は言います。「コンプライアンスではベストプラクティスはまかなえませんが、ベストプラクティスで必ずコンプライアンスを達成できます」

リーダーへのアドバイス

  • 新聞の見出しを飾るのはSolarWinds社のハッキングのような高度な攻撃ですが、プロフェッショナルが注意を払う必要があるのは退屈なセキュリティのベストプラクティスです。
  • 多くのセキュリティチームが従業員を脆弱性の原因だと考えていますが、適切なトレーニングによって最前線の防御となります。
  • セキュリティのベストプラクティスに厳重な注意を払うことで、実際の被害が生じる前に大部分の攻撃を防ぐことができます。

この記事/コンテンツは、記載されている特定の著者によって書かれたものであり、必ずしもヒューレット・パッカード エンタープライズの見解を反映しているわけではありません。

enterprise.nxt

ITプロフェッショナルの皆様へ価値あるインサイトをご提供する Enterprise.nxt へようこそ。

ハイブリッド IT、エッジコンピューティング、データセンター変革、新しいコンピューティングパラダイムに関する分析、リサーチ、実践的アドバイスを業界の第一人者からご提供します。

enterprise.nxt
ニュースレターのご登録

enterprise.nxtから最新のニュースをメールで配信します。