Skip to main content
Securing the Digital World

サイクルを断ち切るサイバーセキュリティのベストプラクティス

  • by Jim Taylor

Image of man on a train using multi-factor authentication

サイバーセキュリティ意識月間の期間中、SecurIDは、すべての企業とユーザーが自らとリモートワークを保護し、「#BeCyberSmart」になれるよう支援する知見とベスト・プラクティスにハイライトを当てています。

マトリックスでは、キアヌ・リーブスのネオが、猫が玄関を2度一瞬にして通り過ぎるのを見ています。これは警告サインです。トリニティ (キャリー=アン・モス) は、デジャヴとは「何かを変える」ときに起こる「マトリックスの欠陥」だと説明しています。そのとき、悪意を持つ者が攻撃します。

現実世界のサイバーセキュリティに関して言えば、このシーンは半分正しいのです。デジャヴの感覚は、恐ろしいことが発生する前に起こります。しかし、その映画は順番を間違えていています。サイバーセキュリティのデジャヴは何かが変わったときには発生しません。通常、何も変更しなかった場合に発生するものです。

サイバーセキュリティ意識月間の最初の2週間は、「一般的なサイバー衛生」のベストプラクティスと、フィッシングから身を守る方法を探ります。長期にわたるハイブリッド・ワーク、デジタル変革、新たな脅威の中で、私たち一人ひとりが自分自身を守り、不正行為を防ぐために、基本的なサイバーセキュリティのベストプラクティスを優先することがこれまで以上に重要になってきています。

しかし、これらのベストプラクティスの多くは、サイバーセキュリティの黎明期から私たちが推進してきたものと同じ原則です。同様に、サイバーセキュリティの専門家が2021年に対処しようとしている脅威、プレッシャー、制限の多くは新しいものではありません。兆候は変わるかもしれませんが根本的な原因は何年も前と同じです。

私たちの多くがサイバーセキュリティ意識月間を見ているので、今日のサイバーセキュリティを形作る「新たな」機会、課題、プレッシャー、それかたサイクルを断ち切り、変化を実現し、前進するための方法をいくつか見てみましょう。

ランサムウェアを防ぐためのベストプラクティス

今日よく聞かれる質問の1つは、「ランサムウェアを防ぐにはどうしたらよいのか?」です。

タイムリーな質問です。2020年には、65,000件のランサムウェア攻撃が成功しました。これは、8分ごとに1回、ランサムウェア攻撃が成功したということです。これは報告された攻撃と成功した攻撃をカウントしただけです。

過去1年間にわたり病院、警察、NBA、マイナーリーグの野球チーム、重要なインフラがすべてランサムウェア攻撃の被害を受けていました。その結果、今年の夏にZD Netは「私たちはピークのランサムウェアに達したのだろうか?」というコラムを掲載しました。

ランサムウェアが悪質なのと同じくらい、まったく新しいものではありません。ランサムウェアは1989年から数十年間存在し続けていますが、ハッカーはコンピュータウイルス、不正なセキュリティソフトウェア、トロイの木馬、アドウェアおよびスパイウェア、コンピューター・ワーム、DOSおよびDDOS攻撃、フィッシング、ルートキット、SQLインジェクション攻撃、または中間者攻撃を展開する可能性が高かったのです。

ランサムウェアはもっと大きな問題の兆候であって、問題そのものではありません。ランサムウェア攻撃を引き起こす問題は、多くの組織でそもそもランサムウェアの発生を防ぐ基本的なセキュリティ対策を欠けていることです。

具体的には、私たちはデータやデバイスにあまりにも多くのドアや窓を作りすぎていて、それらを大きく開けっぱなしにしているのです。コロニアル・パイプラインを見てみましょう: ブルームバーグが報じたように、ハッカーは史上最も注目を集め、最もコストの高いランサムウェア攻撃のひとつを起こしました。ハッカーはa) もはやアクティブに使われておらず、b) 多要素認証に保護されていない仮想プライベート・ネットワーク (VPN) アカウント経由でネットワークに侵入したのです。

ランサムウェアは今日最も流行しているトレンドであり、サイバー犯罪者が次の大きなものに移行した場合、次の最新の脅威もまた、技術的な進化ではなく、サイバー環境の悪さと悪習のもう1つの兆候となるのです。

ではどうすればよいのでしょう?根本原因に対処します。アイデンティティとアクセス管理および認証は、あらゆるセキュリティ対策の基本です。すべての組織は、まずユーザーが誰で、何にアクセスすべきで、どのように認証されるべきかを知る必要があります。これらの基本をきちんと整えておけば、DarkSideによるコロニアル・パイプラインへの侵入・システム改竄を防げたかもしれません。

これらは決して新しい発見ではありませんが、機能的なサイバーセキュリティプログラムの出発点となります。

ハイブリッド・ワークを確保するためのベスト・プラクティス

パンデミックの影響で、あらゆる分野の企業がハイブリッド・ワークに適応せざるを得なくなりました。企業が急速な変革を推し進め、一夜にして業務を変革し、VPNやその他のテクノロジーを立ち上げて業務を維持している事例もあります。

迅速さをセキュリティと引き換えにした質の低い実装の提供は、これまでのすべてのセキュリティ・プロジェクトのような印象を与えます。パンデミックはサイバーセキュリティにユニークな課題をいくつかもたらしましたが、ほとんどの場合、私たちの部門は先回りしたものではなく、常に事後対応型でした。セキュリティ侵害、新たな規制、新たな形態のマルウェア、新たなビジネスニーズのいずれであってもサイバーセキュリティは後回しにされる傾向にあります。

ハイブリッド・ワークのような新しいダイナミクスに適応するためには、企業は一般的に、またサイバーセキュリティは特に長期的な視野を持つ必要があるのです。そのための1つの方法が、パスワードを排除して最終的にハッカーの好む脆弱性をなくすことです。2020年のベライゾンデータ漏洩/侵害調査報告書によると、ハッキング関連のデータ漏洩/侵害の80%以上が、総当たり攻撃と紛失・盗難にあった認証情報の使用だったということです。

パスワードは安全でないだけでなく、かなり高くつきます。大企業ではITヘルプデスクのコストの50%近くがパスワードのリセットに費やされているのです。これにより、100万ドル以上の人件費がかかる可能性があります。パスワードのリセットにはかなりの金額がかかるのです。

最新のパスワードレス認証は、安全性と利便性のバランスを取ることができます。また、今ほど切り替えに適した時期はありません: 従業員がおそらくITデスクから遠く離れた場所で働いていても、ほぼ常にスマートフォンを持ち歩いています。これらのデバイスは、ユーザー体験を向上させつつ、必要に応じたセキュリティ要求のステップアップをリスクベース認証に通知できます。

そしてそれは単に今日のユーザー向けです。明日はどうでしょうか?私たちの部門は、サイバーセキュリティーを子どもたちのカリキュラムの基本科目の一部にするために学校や大学と協力すべきです。子どもたちに優れたセキュリティ・プラクティスを教えることの重要性は、適切な技術スタックとプロセスを用意する重要性に勝るとも劣りません。子どもは、サイバー犯罪者が求めている情報の種類を知り、そのような情報をハッカーの手に渡さないようにする方法を学ばなければなりません。この情報は早いうちから生徒に伝えた方がよいのです。

ゼロ・トラストセキュリティを開発するためのベストプラクティス

ゼロ・トラストはこれらのスレッドの多くが集まる場所です。これはもうとっくに遅れている多くの組織にとって真の変化を表せます。

しかし念のために言っておけば、ゼロ・トラストは考え方であって実装ではありません。この考え方と違う考えを言われても無視すべきです。

なぜならゼロ・トラストは非常に強力な考え方だからです。セキュリティチームが自分たちの仕事や露出、デフォルトのプラクティスについて包括的に考えるための新しいフレームワークなのです。

もしそのことについて気を引くような言い方をしたければ、「ゼロ・トラスト」と「最小権限」の唯一の違いは15年と言えるでしょう。これは単純化しすぎではありますが、ゼロ・トラストは最小権限であり、ビジネス上の役割を果たすために必要な最低限のものを提供しています。その出発点は、企業の業務の方向性を変えることができます。  

  1. リスク・プロファイルの大幅削減。資産を公開する理由がない場合は、公開しないでください。リスクは利便性の副産物ではなく、単なる悪習にすぎません。
  2. 決して信用せず常に検証。検証に検証を重ねて、また検証するのです。このユーザーにアクセス権が必要か?なぜでしょうか?期間はどのくらいか?ユーザーがこの要求をするとき、通常どこにいるのか?何に使うのか?まず最も頻度とリスク、可能性が高いリクエストを精査し、必要に応じて認証をステップアップするプラクティスを構築します。

またもやデジャヴ

サイバーセキュリティ意識月間は今年で18回目を迎えましたが、2021年に注目された問題の多くが、またサイバーセキュリティ・チームが提唱している解決策の内容の多くが、本イベント開始当時とほぼ同じだと私は断言します。

この認識が私たちを落胆させることはないでしょう。この認識は実際、アイデンティティの優先順位付け、ユーザーの身元の把握、MFAの使用、リスク・プロファイルの最小化など重要なことへの集中に役立つと思います。これらは最低限必要なものを示しているかもしれませんが、サイバーセキュリティにおいては、最低限必要なものが非常に貴重なものとなり得るのです。 

嵐が近づいていることはわかっていますので、嵐が過ぎ去るまでためらわず保険をかけておきましょう。サイバーセキュリティを現実的に考えてみるのです。良いセキュリティとはまさに良い習慣なのですから。積極的になろう。  

なぜなら私たちは映画「マトリックス」を見たことがあるからです。何が起こるかわかっています。そしてネオと同じように、デジャヴ感を感じたときに何かをする唯一の方法は、デジャヴが再び起こっていることを指摘することかもしれません。