2022年12月28日、Phil Muncaster 2022年は多くの点で、過去5年の傾向をそのまま継続してきました。全米脆弱性データベースに公開されたCVEの数は、2022年も記録を更新する勢いです。ランサムウェアの脅威は、地政学的な対立という特殊要素を含みつつ、かつてなく大胆に展開しています。そして脅威者は、コロナ禍で常態化した新しいワークスタイルを悪用し、組織を追い詰めています。 2022年をとらえる切り口はいろいろあります。しかしここでは、私が注目するトレンドのトップ5と、そこからの学び(これが何より重要です)を紹介します。2023年の企業セキュリティ強化に大いに利用してください。 1. たとえ各国政府が身代金支払いを禁止しても、ランサムウェア攻撃はなくならない ランサムウェアの試行回数は、記録的だった2021年と比べると若干減少したとはいえ、2022年10月までの1年間で数億回に上りました。さらにこの期間中に前年比で増加したのが、英国(20%)および欧州・中東・アフリカ(38%)です。ランサムウェア・アズ・ア・サービス(RaaS)モデルが利益を生み出し続け、関連企業や開発者が敵対的な国家に保護されている限り、終わりは見えません。オーストラリアには、犯罪グループへの身代金の支払い禁止を提案する政治家もいます。しかしそれでは単に報告が表に見えなくなるだけで、むしろ重要なサービスプロバイダーへの攻撃を助長することになりかねません。 代わりにITリーダーが取るべき最善の対応は、改善したユーザーの意識向上プログラムとゼロトラストを組み合わせたサイバー衛生のベストプラクティスです。 2. Z 世代が職場を席巻するなか、インサイダーの脅威に対処する必要がある 私たちは、組織内部からの脅威を深刻に受け止めているとは言い切れません。通常、組織内部の脅威は意図的な悪意に基づくというよりも、むしろ過失によるものです。しかし、だからといって影響がないわけではありません。ある試算によると、インサイダーによるインシデントの修復には、年間1,500万ドル以上のコストがかかっています。さらに懸念されるのは、若い世代の従業員による会社のデータの扱いにリスクが伴う傾向が強いという事実です。たとえばアップデートを期限内に適用しない、仕事でも個人のアカウントでもパスワードを再利用する、個人のデバイスのセキュリティを会社のデバイスの保護よりも真剣に考える、といった具合です。 ハイブリッド型の働き方で、こうした傾向はさらに拍車がかかるでしょう。在宅勤務のときのセキュリティに関しては従業員が自分自身のルールに自由に従うからです。こうした新しい現実に対応するために、組織は適切なテクノロジーとユーザー教育を通してポリシーを書き換える必要があります。多要素認証(MFA)からゼロトラスト、セキュアアクセスサービスエッジ(SASE)の導入に至るまで、セキュリティ管理は強力かつ実質的に摩擦がないものでなければなりません。 3. WebアプリケーションとAPIは持続的かつあまり報告されない脅威 2022年は、ランサムウェアと国家による攻撃が最も注目された年だったことは間違いありません。しかし、企業が直面した脅威はほかにもあります。華やかさには欠けますが、アプリケーションとクラウドのセキュリティも同じくらい重要です。SQL インジェクション攻撃をはじめとする Web アプリケーションの脆弱性を狙った攻撃は、ハッカーの大好物です。しかもハッカーにとっては、顧客や従業員の有益なデータを直接入手する経路となる可能性があります。また API は、DX(デジタル改革)においてますます重要になっていくため、アカウント乗っ取りやデータ窃取などを目的とする脅威者の格好の標的となるでしょう。 2022年に発表されたレポートによると、95%の組織が過去 12カ月間に API セキュリティインシデントを経験し、12%が月平均 500 以上の攻撃に悩まされていたことが明らかになりました。デジタル環境のこの分野のセキュリティにも、そろそろ真剣に取り組むべき時が来ているのです。 4. 中小企業にとって、情報漏えいは存亡に関わる問題 セキュリティ侵害は、企業にとってどれほどの損害をもたらすものなのでしょうか。この質問への答えは簡単には見つかりません。というのも、多くの企業は、顧客や投資家、パートナーを遠ざけることを恐れて、インシデントについてあまり多くを開示したがらないからです。しかし、国際保険会社のヒスコックス社は2022年、米国と欧州諸国の5社に1社が歴史的な攻撃によって倒産に近い状態に陥ったという調査結果を発表しました。ほとんどの企業が、サイバー攻撃をビジネス上の脅威のトップに挙げ、リモートワークによって組織がより脆弱になったことを認めています。 この調査では、企業の規模別に評価したわけではありませんが、リソースの少ない企業のほうがランサムウェアやその他の攻撃によって存亡の危機にさらされる可能性が高いことはいうまでもありません。繰り返しになりますが、特効薬はありません。業界のベストプラクティスに従って、保護とユーザーの意識を高めることが重要なのです。 5.ディープフェイクでビジネスメール詐欺(BEC)は加速 サイバー犯罪の地下世界では、常にイノベーションが起きています。フィッシングと対峙する企業と脅威者コミュニティとの間のイタチごっこが絶え間なく続くのを私たちは目にしています。もう一つ、BEC 攻撃も激しさを増しています。FBI は2022年、BEC の手法にディープフェイク技術やビデオ会議ソフトを組み合わせた試みがあると警告を発した。 ディープフェイク音声は、ユーザーを騙して詐欺師に多額の資金を送金させることで大きな被害をすでにもたらしています。また技術が進んで安価で説得力のあるものになれば、Zoom会議で配信されるフェイク映像は、間違いなくさらなる混乱を引き起こす可能性があります。この問題に取り組むには、より優れた訓練を受けた人材、電信送金の署名プロセスの改善、ディープフェイクを発見してブロックする AI 搭載ツールの組み合わせが必要です。 経済的な逆風が吹き荒れる2023年、中小企業のITリーダーは、セキュリティ予算を堅持し、賢く活用することが不可欠となります。 原文はこちら A cybersecurity year in review: Five things we learned from 2022 Dec. 28, 2022 Phil Muncaster https://blog.barracuda.com/2022/12/28/cybersecurity-year-in-review-2022/
2022年11月29日、Mike Vizard サイバーセキュリティ純粋主義者にとってゼロトラストITとは、ネットワークに接続されたいかなるユーザーもアプリケーションもマシンも、証明されるまで信用しないというアーキテクチャです。米国立標準技術研究所(NIST)が定義するように、ゼロトラストITとは、「かつて静的なネットワークベースの境界線にあった防御をユーザーと資産、およびリソースに焦点を当てるようにした、一連の進化しつつあるサイバーセキュリティパラダイム」です。したがって、物理的またはネットワーク上の位置や資産の所有権のみに基づいて、資産やユーザーに暗黙の信頼が与えられることはありません。 ほとんどのサイバーセキュリティ専門家にとって、ゼロトラストは決して新しいアイデアではありません。フォレスター・リサーチのアナリストであるジョン・キンダーヴァグが2010年にこの言葉を広めたとされていますが、コンセプト自体は2004年にまでさかのぼることができます。しかし今日、ゼロトラストITは、キャンペーンのスローガンに近いものへと進化しています。ほぼすべての組織が、なんらかのゼロトラストアーキテクチャを採用する方向に向かっています。実際、米国防総省(DoD)はつい最近、今後1年間でゼロトラストIT目標を達成するというビジョンをまとめた37ページの報告書を発表しました。自分の組織のために同様のサイバーセキュリティ戦略を定義しようとしている担当者は、この報告書をコピー&ペーストするとよいでしょう。 当然のように、ゼロトラスト IT へのシニカルな見方も出てきます。サイバーセキュリティのプラットフォームやサービスを提供するプロバイダはこぞって、サイバーセキュリティ担当者にゼロトラスト IT の目標を達成を促すサービスを売り込みます。しかしサイバーセキュリティの現状を見れば、ゼロトラストITに懐疑や不安の目が向けられても無理はありません。 ただ、懐疑的な見方をしたくなるのはごく自然だとしても、それではより重要な点を見逃してしまいます。サイバーセキュリティ担当者が長い間直面してきた最大の問題の 1 つは、経営陣からのサポートの欠如です。サイバーセキュリティはこれまでずっと、最小化すべきコストとみなされてきました。サイバーセキュリティのなかでも絶対に不可欠だとされる項目にだけ予算が割り当てられてきたのです。一方、「ゼロトラストIT」は、ビジネスリーダーがより理解しやすいキャッチフレーズです。現在の目標は、単にコンプライアンスを達成することではなく、IT 環境を真にロックダウンすることです。そのため、景気後退期であってもサイバーセキュリティに予算を割り当てる傾向がかつてなく高まっています。もちろん、ランサムウェアの台頭も、こうした姿勢の変化に少なからず影響を与えているでしょう。 企業の経営者の関心があるのは、ゼロトラストIT目標をいかに達成するかではありません。成果がすべてなのです。一方、IT担当は、ゼロトラストと聞いて大きくうなずきはしますが、大半はそれが何を意味しているのか正確には理解していません。サイバーセキュリティの観点から最も重要なのは、すべてのステークホルダーがゼロトラストの概念を支持することです。最新の流行語やキャッチフレーズにすぐに飛びつかないほうがカッコいいかもしれませんが、ゼロトラストITキャンペーンはサイバーセキュリティ担当者のためのものではありません。サイバーセキュリティ担当者にとってゼロトラストは、すでに十分に理解されている「多重防衛」の延長線上にあるものです。現在の状況がこれまでと異なるのは、サイバーセキュリティ担当だけでなく、多くの人々がこの議論に参加している点です。 もちろん、どんなスローガンもいずれは空疎に響くことになります。それでもサイバーセキュリティ担当者は、ゼロトラストという言葉が流行している今のうちに、社内のゼロトラストITキャンペーンを開始するとよいでしょう。今ならば次世代サイバーセキュリティ技術への投資をより簡単にとりつけられる、というだけでも十分すぎる理由です。何をすべきかよく理解していない、もちろん感謝もしていない人々に代わってサイバー攻撃と闘い続けるために、セキュリティ担当者たちにはこの新しい技術が大いに必要なのですから。 原文はこちら Vote for Zero Trust early and often November 29, 2022 Mike Vizard https://blog.barracuda.com/2022/11/26/vote-for-zero-trust-early-and-often/
2022年10月31日、Mike Vizard 新しい脆弱性が公開されるときのその方法が変わりつつあります。そのこと自体は称賛されるべきでしょう。先週、OpenSSLプロジェクトの管理者は、とりわけ未知の重要な脆弱性に対処したアップデートを11月1日にリリースすることを発表しました。 ほどなくサイバー犯罪者を含むすべての人が、その脆弱性が何であるかを知ることになるでしょう。しかし、サイバーセキュリティチームにとってこれは、組織が直ちにOpenSSLへの更新プログラムをインストールできるよう準備せよ、という事前警告です。 OpenSSLコミュニティは、Webサイトやアプリケーションで広く利用されているTLS(Transport Layer Security)プロトコルの通信を保護するための暗号化ツールキットの開発を統括しています。最も有名なのは、2014年に発見されたOpenSSLのHeartbleedバグです。このバグを通してサイバー犯罪者は、脆弱なWebサイトやアプリケーションに対して、小さなマルウェアペイロードと大きなlengthフィールドを持つ不正なハートビート要求を送信できるようになりました。 この欠陥の発見が引き起こした混乱は相当なものでした。Heartbleedバグの発見から3年経っても、このバグを悪用した侵害の報告は後を絶ちません。今週公開されるパッチで、多くの企業のセキュリティインシデント対応能力が再び試されることになります。これは、時間との闘いなのです。サイバー犯罪者もまた、今週公開されるであろうOpenSSLの内容について、同じくらい注目していることは間違いないでしょう。 もちろん、脆弱性をどのように公開するかは、多くのサイバーセキュリティの専門家にとって頭の痛い問題です。特にオープンソースのコミュニティは、コミュニティによって維持されているプロジェクトに共通する精神に則って、開示が公に共有されるアプローチを好む傾向があります。しかしここ数年、それはとりわけ困難になってきています。というのも、さまざまなアプリケーションに組み込まれたオープンソースコードの量が飛躍的に増加したためです。多くの IT 組織は、Java アプリケーションからログデータを収集するために広く使用されているオープンソースの Log4J ソフトウェアの脆弱性のすべてのインスタンスをまだ探しています。 プラス面としては、オープンソースのセキュリティ危機が少なくとも無駄になることはないという点です。オープンソースソフトウェアプロジェクトの管理者は、実にさまざまな手段を使うようになっています。コード署名による暗号化もその一つですし、あらゆるコード片のインスタンスがどこで実行されているかを容易に発見できるようにするソフトウェア部品表(SBOM)の自動作成も同様です。 問題は、アクセス可能になった情報をもとに、セキュリティインシデント対応プロセスがどの程度改善されているかということです。ITチームはまず、脆弱性の重大性を判断し、続いて、DevSecOpsのベストプラクティスを適用して最も重要な脆弱性をできるだけ早く修正する必要があります。 今後数カ月の間に、パッチが適用されていないOpenSSLの脆弱なインスタンスに起因するセキュリティ侵害が発生することはほぼ間違いないでしょう。そして、同じくらい明らかなのは、こうしたセキュリティ侵害の発生を防ぐのに必要なアップデートをインストールしなかったことの責任がどこに求められるか、なのです。 原文はこちら Race to patch OpenSSL is on again October 31, 2022 Mike Vizard https://blog.barracuda.com/2022/10/31/race-to-patch-openssl-is-on-again/
トピック: User Training and Security Awareness 2022年10月26日、Phil Muncaster 企業のサイバーセキュリティにおいて、従業員が最大の弱点であるとよく言われます。しかし、特定のタイプの従業員が他の従業員よりも大きなインサイダー脅威となるかどうかについては、あまり議論されていないのが現状です。これは、収益に大きな影響を与える可能性があります。ある試算によると、インサイダーの脅威を是正するために、グローバル企業は昨年、平均1500万ドル以上のコストを要しています。 EY の最新調査によると、サイバーセキュリティにあまり真剣に取り組んでいないのは、若い世代の働き手です。デジタルネイティブの行動を変え、情報に基づいた責任あるアプローチを奨励する方法を見つけることは、IT リーダーにとって簡単なことではありません。しかし、それは可能です。 EYの所見 この調査は、米国の従業員1000人を対象に、セキュリティに対する意識と習慣について調査したものです。「Z世代」や「ミレニアル世代(Y世代)」と呼ばれる世代は、あまり意識が高くないようです。具体的には、次のようなことが明らかになりました。 Z 世代の約半数(48%)とミレニアル世代の 5 分の 2 (39%)は、仕事用のデバイスの保護よりも個人用デバイスのセキュリティのほうが重要であると認めています。 Z 世代(58%)と Y 世代(42%)は、X 世代(31%)とベビーブーマー世代(15%)よりも、IT の必須更新を可能な限り長く無視する傾向がある。 Z 世代(30%)と Y 世代(31%)は、X 世代(22%)とベビーブーマー世代(15%)よりも、仕事と個人のアカウントに同じパスワードを使用する傾向が強い。 一見すると、この調査結果は直感に反しているように思われるでしょう。デジタルネイティブが技術に精通しているならば、サイバーリスクをよりよく理解し、セキュリティのベストプラクティスに従おうとするはずではないですか。なぜそうでないのか、その理由はこの調査では明らかにされていません。明らかになったのは、調査対象の従業員の大多数(83%)が、雇用主のサイバーセキュリティプロトコルを理解しているということです。つまり若い従業員は、意図的にプロトコルに従わないことを選択しているように見えるのです。 ハイブリッドで働くリスクの新時代 このことは、Z 世代が社会に出て主要な労働力となるにつれて、IT およびセキュリティのリーダーにとってますます大きな課題となることでしょう。Z 世代は2025年には、労働者の4分の1以上(27%)を占めると予測されています。インターネットのない世界を知らずに育った最初の世代であるがゆえに、危険な行為がもたらす潜在的な影響について、より無関心になったということでしょうか。 このことは、ハイブリッドな職場環境において、ますます大きな問題となります。 ハイブリッドな働き方では、リスクを取る自由度が高くなります。2021年のある調査によれば、多数の在宅ワーカーが会社のノートパソコンでゲームをしたり、オンラインショッピングをしたり、インターネットからダウンロードしたりするなど、個人的な用途に使っていました。 リモートワークをしている従業員は注意力が散漫になりがちです。その結果、フィッシングメールをうっかりクリックする可能性があります。 個人所有のデバイスやホームネットワークは、企業のものほど保護されていない可能性があります。 まずはトレーニングから始める このような背景から、企業のサイバーセキュリティは、人を中心に設計される必要があります。つまり、暗号化や多要素認証、データ損失防止など、ユーザーがミスをする前提で、重要なデータやシステムを保護するためにコントロールする必要があるのです。また、パッチやリモートデバイス管理に関するポリシーをより積極的に実施し、かつてなく分散化した IT 環境全体における攻撃対象領域を縮小する必要があります。しかし、これはユーザーの意識向上トレーニングプログラムの見直しと更新も意味します。 企業のサイバーセキュリティ戦略において、この重要な部分を評価する際には、以下の点を考慮してください。 適切なツールを見つける:トレーニングソリューションは、高度にカスタマイズされた実環境のシミュレーションを提供する必要があります。フィッシングの手口は日々進化していますから、その進化に合わせて微調整のできるものがよいでしょう。また、ユーザーの行動に関する詳細な測定基準を提供し、従業員へのフィードバックやトレーニング方法の変更に利用できるとよいでしょう。 レッスンは短時間かつ簡潔に:退屈なレッスンを長時間、不定期に行うよりも、10~15分のインパクトのあるセッションを定期的に行うほうがよいでしょう。 誰も排除しない:役員からパートタイマー、契約社員に至るまで、誰もが潜在的な脅威の媒介者となります。すべての人がトレーニングや意識向上プログラムに参加する必要があります。 文化を作ることに焦点を当てる:脅威に対する認識を高めることと、インシデントの報告を促すように行動を変えることは、別の問題です。EYの調査によると、回答者の16%は、セキュリティ侵害の可能性がある場合、報告するよりも自分で対処しようとする傾向があることがわかりました。「報告しすぎている」という批判を受けたりせず、従業員が安心して報告できる環境が必要です。 プログラムの拡充を検討する:仕事とプライベートの境界線があいまいになりつつある今日、トレーニングと意識改革を両輪とする必要性が高まっています。社員の自宅をマイクロサテライトオフィスととらえましょう。 2 人として同じ従業員はいない:人事部と協力して、行動や役割に応じてユーザーを個別のグループにプロファイリングすることを検討する価値はあるでしょう。そうすれば、トレーニングプログラムを個人により特化し適切なものにすることができます。 人目を引く見出しとは裏腹に、ユーザーのセキュリティ意識は、Z および Y 世代だけの問題ではありません。EY によると、強力なパスワードの使用、業務用デバイスの最新状態の維持、フィッシングの特定、その他のベストプラクティスについて「非常に自信がある」と回答した人は、全体的に半数以下であることがわかりました。IT とセキュリティのリーダーは、人とプロセス、そしてテクノロジーに焦点を当てることによって初めて、インサイダーリスクをより適切に管理することができます。 セキュリティ啓発トレーニングでセキュリティの脅威に対抗しましょう 原文はこちらMitigating the insider threat from digital nativesOctober...
