ゼロトラストの導入: 初日にできる5つのこと
2023年6月22日、Tony Burgess あなたがこれを読んでいるということは、IT セキュリティに何らかの関心を持っているということですから、ゼロトラストが今この分野で最もホットなトピックの1つであることはすでにご存じでしょう。しかし、ゼロトラストが具体的にどのようなメリットをもたらすのか、まだ疑問を持っているかもしれません。そのような読者のために、いくつかの主要なユースケースと、ゼロトラストアクセスソリューションがそれらにどのように対処できるかを説明したいと思います。 ひとつ、気をつけていただきたいのは、世の中には様々なゼロトラストソリューションが存在し、その機能やセットも様々だということです。そのため、ここで説明する内容は Barracuda CloudGen Access で達成できることをかなり具体的に示しています。ほかのソリューションでは異なる場合があります。 1. もう VPN は必要ない 仮想プライベート・ネットワーク(VPN)は、長年にわたって安全な接続のためのゴールドスタンダードでした。しかし、ほとんどのVPN ソリューションは設定が複雑で、なおかつ拡張が困難であるため、専門家ではないリモートユーザーには多くのサポートが必要です。(Barracuda CloudGen Firewall に組み込まれている独自の TINA VPN プロトコルなどの例外もありますが)。 さらに重要な点は、VPN はゼロトラストの動的できめ細かいアクセス制御機能にはかなわないことです。適切な認証情報があれば、悪意のある行為者は VPN に侵入して、データやアプリケーション、その他のリソースにアクセスできます。一方、強力なゼロトラストソリューションは、複数の要素を常に監視し、許可されたユーザーとデバイスだけが、許可された時間に、許可された場所で、許可された特定のリソースにアクセスできるようにします。 これは、サイバー犯罪者に対してはるかに高いハードルを設定することになります。同時に、ユーザーには透明でシンプルなエクスペリエンスを、管理者にはよりシンプルで容易な設定と管理環境を提供します。 2. マルチクラウドアクセスを実装する 複数のクラウド環境を活用し、それぞれの強みを活かしてさまざまなビジネスニーズに対応する企業の数は急増しています。このような企業が直面する課題は、複数のクラウド環境にまたがるクラウドベースのリソースやワークロードにユーザーがシームレスかつ透過的にアクセスできるよう、セキュアに制御を構成することです。 ゼロトラストアクセス制御を使えば、複数のクラウド環境をほかのネットワーク・リソースと同じように扱うことができます。ユーザーにとっては、どこでホストされているかにかかわらず、アクセスの許可されたリソース間を行き来する際の摩擦はありません。 3. ユーザー単位またはデバイス単位でアクセスを有効または無効にする 状況は常に変化します。あるユーザーが昇進し、以前はアクセスできなかったリソースにアクセスする必要が生じることもあるでしょう。あるいは、新しい規則により、以前はアクセス可能だったリソースから特定のユーザーをロックアウトする必要が出てくるかもしれません。あるいはユーザーが海外に移住し、以前は許可されていなかった時間帯にリソースにアクセスする必要が生じるかもしれません。 強力なゼロトラストソリューションがあれば、非常に細かなレベルでの制御の更新と調整が非常に簡単になり、状況がどのように変化しても、許可されたユーザーとデバイスだけが指定されたリソースにアクセスできるようになります。 4. 重要度に応じてリソース保護のポリシーを導入する 業務を推進するデータやアプリケーションの中には、保護することが重要でないものもある。これらへの不正アクセスによるリスクは非常に低いかもしれない。一方、極めてクリティカルで、サイバー犯罪者がぜひとも手に入れたいと考えるようなものもあり、こうしたデータへの不正アクセスや漏えいが発生すれば業務が機能不全に陥る可能性があります。 ゼロトラストであれば、重要度において違いがあるという現実を反映したアクセスコントロールポリシーを導入するのはきわめて簡単です。 5. 監査目的でリソースへのトラフィックフローを可視化する リソースを最適に割り当て、効果的な投資の優先順位を設定するには、ネットワーク・トラフィックがどのように流れているか、どこにボトルネックがあるか、どのような潜在的なセキュリティ・リスクが顕在化しているかを正確に把握することが重要です。 ゼロトラストソリューションは、各接続とトランザクションを継続的に監視するため、拡張ネットワーク内のトラフィックがどのように流れているかをきめ細かく可視化し、どこに投資し、どれだけを割り当てるか賢く計画を立てる際に必要な洞察とデータを提供します。 新たなゴールドスタンダード IT 調査会社ガートナーは、2025年までに60%以上の組織が、包括的なセキュリティインフラストラクチャの基盤としてゼロトラストを採用するとみています。ゼロトラストを導入しない組織は、攻撃に対してより脆弱なままであり、セキュリティとコンプライアンスにより多くのリソースを割く必要があるでしょう。 しかし、すべてのゼロトラストソリューションが同じわけではありません。Barracuda CloudGen Access は、使いやすく、管理が簡単な強力なソリューションを提供する当社の伝統を引き継いでいます。とはいえ、この記述を鵜呑みにしないでください。実際に試して、このソリューションがいかに IT リソースを解放し、全体的な生産性を向上しつつ、安心感を高めるかを自分の目で確認してください。 今すぐ CloudGen Access の無料トライアルにお申し込みを! 原文はこちら Zero Trust implementation: Five things you can do on Day 1 Jun. 22, 2023 Tony Burgess https://blog.barracuda.com/2023/06/22/zero-trust-implementation-five-things/
海外ブログ
バラクーダ、Cloud Security Awards 2023の2部門で受賞
2023年6月13日、Anne Campbell うれしい報告があります。バラクーダが Cloud Security Awards 2023 の2部門で受賞しました。最優秀ファイアウォールセキュリティソリューションと、最優秀メール/通信システム向けセキュリティソリューションです。 Cloud Awards は2011年以来、クラウドコンピューティングの業界リーダー、イノベーター、および組織変革を評価し、表彰している国際的なプログラムで、世界中の大企業、中小企業、既存企業、新興企業を対象としています。なかでも Cloud Security Awards は、今年初登場の賞です。 最優秀ファイアウォールセキュリティソリューション Barracuda CloudGen Firewall は、最優秀ファイアウォールセキュリティソリューション部門の受賞製品に選出されました。「最先端のテクノロジーと安心が融合する場」としてクラウドセキュリティを次のレベルに引き上げている、という審査員評を受けました。 Barracuda CloudGen Firewall は、今日の分散したエンタープライズ SD-WAN のパフォーマンス、セキュリティ、および可用性を最適化するように設計されています。また、完全なセキュリティスタック、強力な SD-WAN 機能、および数百または数千のファイアウォールをごく簡単に一元管理できます。ゼロタッチのハードウェア導入とネイティブなクラウド統合により、どのような環境でも迅速かつ容易に稼働できます。 最優秀メール/通信システム向けセキュリティソリューション Barracuda Email Protection は、メール/通信システム部門の最優秀セキュリティソリューションに選出されました。審査員長のジェイソン・フォアードは次のように述べています。「メールセキュリティに対するバラクーダのプロアクティブなアプローチによって、企業は新たな脅威に効果的に対処できるようになりました」 Barracuda Email Protection は、スパムやランサムウェアから、スピアフィッシング、ビジネスメールの侵害、アカウントの乗っ取りといったソーシャルエンジニアリングの脅威まで、13 のメール脅威タイプに対する最も包括的な保護を実装しています。 称賛の声 「最優秀ファイアウォールセキュリティソリューションおよびメール/通信システム向け最優秀セキュリティソリューションで受賞した素晴らしいチームに、心からお祝いを申し上げます」と称えるのは、バラクーダの最高テクノロジー責任者フレミング・シです。「この受賞は、顧客の重要な情報を保護し、日々進化するサイバー脅威から顧客を守る最先端のソリューションを提供するという当社の揺るぎないコミットメントを裏付けるものです」 受賞者一覧はこちらからご覧ください。 原文はこちら Barracuda celebrates two wins in the 2023 Cloud Security Awards Jun. 13, 2023 Anne Campbell https://blog.barracuda.com/2023/06/13/barracuda-two-wins-2023-cloud-security-awards/
海外ブログ
柔軟に、折れることなく:攻撃側と守備側がいかに互いから学んできたか
2023年6月8日、Adam Khan 30 年以上前から、サイバー攻撃者とセキュリティチームは、デジタルの世界において戦いを繰り広げてきました。一方が隙間や欠陥を狙えば、もう一方はそれを修復し保護する。この争いのペースは加速しています。今日、既知のマルウェアプログラムは 10 億以上あります。このうち、9400万が過去 12 カ月に出現しました。2009 年の1年間では 2500万でした。 バラクーダの 20 周年を記念して、2003 年の創業以来、サイバー攻撃とサイバーセキュリティがどのように進化してきたか、そしてこの先には何が待っているのかの概要をまとめました。 2003年の状況 サイバー脅威とそれを防御するためのサイバーセキュリティは、1980年代半ば以降、本格化します。1987〜78年の Cascadeウイルス、1988年の Morris ワーム、1999年の Melissa ウイルスなどはその一部です。 2003年になると、サイバー脅威は多様化し増殖し始めますが、攻撃は断片的かつ分裂的で、しばしば場当たり的であることに変わりはありませんでした。ウイルス、ワーム、その他のマルウェアは、企業でのインターネット利用の増加に便乗しますが、組織的なサイバー犯罪の攻撃キャンペーンの一環として実際に実行されたわけではありませんでした。攻撃はノートパソコンやデスクトップ機器を標的とし、定義され管理されたアクセス境界の亀裂を探していました。 対するサイバーセキュリティは、既知のマルウェアをスキャンしてシグネチャで検出し、スパム、ウイルス、基本的な Web 攻撃をブロックすることに重点を置いていました。静的なシグネチャ検出システムはすぐに、増え続ける未知のマルウェアの亜種を発見するために設計されたヒューリスティック検出(疑わしい特性を持つコードを調べることによってウイルスを検出すること)によって補完されました。 しかし、この年に発売された最初のプッシュ型 BlackBerry 端末は、従業員とデータを従来の職場の枠から解き放つものでした。その後、ほかのデバイスやテクノロジー、アプリケーションが続々と登場し、すべてが一変しました。 2009年の状況 2009年には、モバイルデバイス、サービス、ソフトウェアがビジネスの舞台を席巻するようになりました。セキュリティの境界線はますます外側に広がり、攻撃者は組織化されました。金融詐欺、フィッシング、ランサムウェア、スパイウェア、ボットネット、サービス妨害(DoS や DDoS)などがサイバー脅威のエコシステムに加わり、その勢いは止まりませんでした。SQLインジェクションなど、この時期に初めて報告された攻撃手法のいくつかは、現在でも使用されています。 より大規模で多様なデジタルワークロードに対応するため、仮想マシン(VM)と仮想化は IT ネットワークに不可欠なコンポーネントとなりました。しかし、仮想化環境では、ワークロードやアプリケーションがサーバー間を移動するため、セキュリティ・ポリシーや設定の監視が難しくなる場合があります。保護が不十分な仮想マシンはマルウェアの標的にされ、感染すると仮想インフラ全体にマルウェアを拡散する可能性があります。一方で仮想化には、セキュリティ上の利点もあります。仮想マシンがネットワークから隔離されていれば、マルウェア解析や侵入テスト、シナリオテストに利用することができます。 2012年の状況 ランサムウェア時代の到来です。Web ベースやソーシャルエンジニアリングによる攻撃が普及し、国家が支援するグループや活動家による攻撃も増加しました。 同時に、拡張性があり、アクセス可能で、リアルタイムで更新でき、リソースを消費しないセキュリティを望むビジネスニーズに応えるために、セキュリティはクラウドや アズ・ア・サービス の消費モデルに移行します。また企業は、増え続けるクラウドホスト資産の保存と保護が可能なセキュリティや、巧妙化する電子メールベースの攻撃に対抗する高度な電子メールセキュリティも求めるようになります。 2016年の状況 2010年代も後半に入ると、サイバー攻撃はより多発し、破壊的なものとなっていきます。接続されたモノのインターネット(IoT)システムや、クラウドとオンプレミスのハイブリッド IT 環境が一般的になったことが、攻撃者に対してより広い攻撃対象と、標的とする新しい弱点と悪用するためのポイントを提供することになります。攻撃者は、ファイルレスマルウェアや正規または内蔵の IT ツールを使って、セキュリティ対策や検知を迂回するようになっていきました。 このような脅威から複雑なデジタル環境を保護するためにどれほどのスキルとリソースを必要とするかを知った多くの組織は、マネージドサービスプロバイダーの外部サポートを求めるようになっていきました。セキュリティの提供はより柔軟になり、主要なオンラインマーケットプレイスやその他のサービスプロバイダーを通じて利用できるため、今では購入して数分以内に稼働させられます。 2017年は、サイバー脅威とサイバーセキュリティの双方にとって分水嶺となる年となりました。この年、SMBプロトコルを標的とした強力なエクスプロイトツール EternalBlue が流出し、WannaCry と NotPetya という世界的に大きな影響を与える2つの攻撃が発生したのです。 2023年の現状 今日、モノのインターネットは、すべてのインターネット(Internet of Everything , I o E)へ進化しつつあります。セキュリティの統合と可視化が追いつかず、セキュリティギャップが生じ、攻撃者がそれを狙って悪用するようになりました。 攻撃者と防御者の両方が、AIと機械学習を活用しています。攻撃者はより説得力のあるソーシャルエンジニアリング攻撃やマルウェアを作り上げるため、防御者はそうした攻撃を検知しブロックできるような、よりインテリジェントなセキュリティツールを開発するためです。 マルウェアのツールやインフラが アズ・ア・サービスのかたちで広く利用できるようになったことで、サイバー攻撃はより多くの犯罪者にとって手を出しやすくなり、ランサムウェアや恐喝などの拡散を促しています。そして、多くのユーザーやデバイス、アプリケーション、データがかつての境界をはるかに超えて活動している企業に揺さぶりをかけているのです。 セキュリティ側は、シングルベンダーのエンドツーエンドネットワークセキュリティプラットフォームを導入して対応しています。このセキュリティプラットフォームはセキュア・アクセス・サービス・エッジ(SASE)と呼ばれ、ゼロトラストベースのアクセス制御、脅威情報、インシデントレスポンス、24 時間 365 日のセキュリティオペレーションセンターなど、エッジに高度なセキュリティをもたらします。 2022 年に始まったロシアによるウクライナ侵略は、DDoS やワイパーなどのサイバー攻撃戦術が、地政学的な緊張が高まった時にサイバー兵器として使われることを世界に知らしめたとも言えます。 2028年の予測 未来には何が待っているのでしょうか。...
海外ブログ
SASE を理解し、シンプルにする方法
2023年5月31日、Tony Burgess セキュアアクセスサービスエッジ(SASE、読み方は「サッシー」)は、ネットワークセキュリティと接続性の比較的新しいパラダイムの名称です。2019年にガートナーのアナリストによる造語ですから、SASEとは一体何なのかの定義を知りたければ、まずはガートナーで調べるのがよいでしょう。 セキュアアクセスサービスエッジ(SASE)は、サービスとしての統合ネットワークおよびセキュリティ機能を提供します。そこにはSD-WAN、SWG、CASB、NGFW、およびゼロトラストネットワークアクセス(ZTNA)も含まれます。SASEは、支店やリモートワーカー、およびオンプレミスのセキュアアクセスのユースケースをサポートします。SASEは主にサービスとして提供され、デバイスやエンティティのアイデンティティに基づき、リアルタイムのコンテキストやセキュリティおよびコンプライアンスポリシーと組み合わせたゼロトラストアクセスを実現します。 — ガートナー用語集 さて、まずは頭字語を解読していきましょう。SD-WAN は、software-defined wide-area network の頭文字をとったものです。SWG は secure Web gateway、CASB は cloud access security broker、NGFW は next-generation firewall、そして ZTNA はカタカナで表記したとおり、zero trust network access の略称です。 しかし、ガートナーの定義の中で最も重要な単語は「統合」です。包括的なネットワークセキュリティと接続性を提供する SASE アーキテクチャを実装するためのカギは、多種多様な機能とテクノロジーを束ね、データを共有し、透明でシームレスに相互運用できるように統合することです。そして、それこそが難しいのです。 複雑さと安全性 大規模で資金力のある IT 部門を持つ非常に大きな組織では、異なるベンダーから調達した多様なセキュリティソリューションを統合してSASEインフラを構築するという複雑な一大事業をこなせるかもしれませんが、それでも大変な仕事です。 また、たとえファイアウォールから ZTNA ソリューション、SD-WAN、Webゲートウェイにいたるまですべて同じベンダーのものを使っていたとしても、それらを真の意味での SASE システムに統合することは、リソース集約型の一大タスクとなるでしょう。 したがって、ほとんどの組織にとって、SASE にはプラットフォームベースのアプローチを採用することが最適な戦略となります。 複雑さを排除した SASE プラットフォームベースの SASE では、複数の異なる機能を統合し収束することが最初から織り込み済みです。これにより、複雑さの主な原因を排除し、導入と管理を簡単かつ迅速に行うことができます。 さらに、新たに開発された機能は簡単に統合できるように設計されています。そのため、強力な SASE プラットフォームであれば、時間が経過しても最適なセキュリティと接続性を提供し続けるとともに、シンプルな操作性を維持します。管理担当者も安心できるはずです。 原文はこちら Understanding SASE and how to make it simple May. 31, 2023 Tony Burgess https://blog.barracuda.com/2023/05/31/understanding-sase-how-to-make-simple/
海外ブログ
レポート: 2023年スピアフィッシングの動向
2023年5月24日、Anne Campbell サイバー犯罪者は、標的型スピアフィッシング攻撃で組織への攻撃の手を緩めておらず、多くの企業は対応に苦慮しています。実際、バラクーダの市場調査によると、調査対象組織の50% が 2022 年にスピアフィッシングの被害に遭い、24% がアカウント乗っ取りによって少なくとも1つのメールアカウントを侵害されました。 この点およびほかの主要な調査結果について、バラクーダは最新レポート「2023年スピアフィッシングの動向」で考察しています。本レポートでは、350 万のメールボックスに送られた 500 億通のメールで構成され、その中に 3000 万通近いスピアフィッシングメールを含むデータセットに基づくバラクーダ独自のスピアフィッシングに関するデータと分析を紹介しています。 また、このレポートでは、バラクーダが委託した調査結果も紹介しています。この調査は、独立系調査会社Vanson Bourneが米国、欧州、中東、アフリカおよび APAC 諸国において、さまざまな業種の従業員数 100~2500 人規模の 1350社で働く第一線から最上級職までの IT 専門家を対象に実施したものです。 スピアフィッシングが蔓延している スピアフィッシング攻撃は、ほかのタイプの電子メール攻撃と比較すると、量は少ないものの広く普及しており、成功率はとても高いです。 分析対象となった組織の 50% が 2022 年にスピアフィッシングの被害に遭い、典型的なケースでは1日あたり5通の高度にパーソナライズされたスピアフィッシングメールを受け取っていました。 バラクーダのデータによると、スピアフィッシング攻撃はすべてのメールベースの攻撃のわずか 1 % ですが、すべての侵害の 66 %に関与しています。 組織は苦戦を強いられている 組織は、スピアフィッシング攻撃の成功によるさまざまな対応に追われ、攻撃の検知や迅速な対応に苦戦しています。 スピアフィッシング攻撃を経験者の55%が、コンピュータがマルウェアやウイルスに感染したと回答しています。49%が機密データを盗まれ、48%がログイン情報を盗まれ、39%が直接金銭的損失を報告しています。 平均すると、組織は電子メールの脅威が配信されてから特定し、対応し、修復するまでに100時間近くかかっています。攻撃を検知するまでに43時間、そこからの対応と修復に56時間かかっているのです。 リモートワークがもたらすセキュリティの課題 さらにリモートワークがリスクを増大させ、検知や対応時間を遅くしています。 リモートワーク比率が 50% 以上の企業では、不審な電子メールの数は1日平均 12 通でした。50% 未満の企業では1日平均9通ですから、比較すると高いレベルとなっています。 また、リモートワーカーが 50 %以上いる企業では、メールセキュリティインシデントの検知と対応の両方に時間がかかると回答しています。検出に 55 時間、対応と緩和に 63 時間かかっています。リモートワーカーが少ない企業ではそれぞれ平均 36 時間、51 時間です。 「2023年スピアフィッシングのトレンド」を今すぐ入手しましょう。スピアフィッシングとその攻撃の影響、検知と対応の課題に関する最新の洞察と重要な知見を確認することができます。 レポートを入手する 原文はこちら Report: 2023 spear-phishing trends May. 24, 2023 Anne Campbell https://blog.barracuda.com/2023/05/24/2023-spear-phishing-trends/
海外ブログ
バラクーダの注目する脅威:悪意のあるHTMLファイルを添付した攻撃メールの割合が1年以内に倍増
2023年5月3日 Fleming Shi セキュリティ業界では、長年にわたりサイバー犯罪者によるHTMLの悪用に注目してきました。その証拠に、HTMLは依然として成功し、人気のある攻撃ツールであることが示されています。昨年、私たちは、2022年5月にバラクーダがスキャンしたすべてのHTML添付ファイルのうち、約5分の1(21%)が悪意を持っていたことを報告しました。10ヶ月後の2023年3月には、スキャンされたHTMLファイルの45.7%が悪意を持っていることが判明しており、この数字は2倍以上に増加しています。 HTMLの正当な利用 HTMLはHypertext Markup Languageの略で、オンラインで表示されるコンテンツを作成・構成するために使用されます。HTMLは、メールでのコミュニケーションにもよく使われます。例えば、ニュースレターやマーケティング資料など、ユーザーが定期的に受け取る可能性のある自動化されたレポートなどです。多くの場合、レポートはHTML形式(ファイル拡張子が.html、.htm、.xhtmlなど)でメール添付されます。 既知のブランドや信頼できるブランドからの通信に見える場合、受信者が不審に思うことはまずないでしょう。 HTMLの悪意ある利用 しかし、攻撃者は、巧妙に作られたメッセージや乗っ取られたウェブサイト、悪意のあるHTMLファイルの添付ファイルを使ってユーザーをだますことで、攻撃手法としてHTMLをうまく活用しています。 この手法は、攻撃者がフィッシングや認証情報の盗み出しなど、悪意を隠蔽するために使用されます。 受信者がHTMLファイルを開くと、別の場所でホストされているJavaScriptライブラリを経由して、フィッシングサイトや攻撃者が管理する他の悪意のあるコンテンツに複数回リダイレクトされます。その後、ユーザーは、情報へのアクセスやマルウェアを含む可能性のあるファイルのダウンロードのために、認証情報を入力するよう求められます。 しかし、バラクーダの研究者が見たいくつかのケースでは、HTMLファイル自体に、強力なスクリプトや実行ファイルを含む完全な悪意のあるペイロードが埋め込まれた高度なマルウェアが含まれています。この攻撃手法は、外部でホストされたJavaScriptファイルを含む攻撃手法よりも、広く使用されるようになっています。 悪意のあるHTMLベースの攻撃に対する防御は、HTMLの添付ファイルを運ぶメール全体を考慮し、すべてのリダイレクトを調べ、悪意があるかどうかメールの内容を分析する必要があります。詳しくは後述します。 最近の悪意のあるHTMLファイル添付の例は、過去に見られたものと類似していることが多い 例えば、マイクロソフトのログインを装った以下のようなフィッシングの添付ファイルは、数年前から流行していますが、攻撃に継続して広く使用されていることから、攻撃者は依然として被害者を罠にかけることに成功していると考えられます。 ユニークな攻撃の割合 悪意のあるHTMLの検出総数と、異なる(ユニークな)ファイルの検出数を比較すると、悪意のあるファイルの検出量が増加しているのは、単に限られた数の大量攻撃の結果ではなく、それぞれが特別に細工されたファイルを使用する多くの異なる攻撃の結果であることが明らかとなります。 例えば、2023年1月から3月までの3ヶ月間の日次検知データを見ると、3月7日と3月23日の2回、大きな攻撃ピークがあることがわかります。 3月7日に検出された悪意のあるHTMLアーティファクトは全部で672,145件となっており、181,176の異なるアイテムから構成されています。これは、検出されたファイルの約4分の1(27%)がユニークなもので、残りはそれらのファイルの繰り返しまたは大量展開であることを意味します。 しかし、3月23日には、475,938件の悪意のあるHTMLアーティファクトのうち、ほぼ10分の9(405,438個 – 85%)がユニークで、つまり、ほとんどすべての攻撃が異なっていたことになります。 悪意のある目的で使用されるファイルタイプにおいて引き続きHTMLの添付ファイルが上位を占める バラクーダの分析によると、悪意のあるHTMLファイルを添付した攻撃メールの全体量が増加しているだけでなく、前回のレポートから約1年が経過した現在も、HTMLファイルは悪意のある目的で使用される可能性が最も高いファイルタイプであることが明らかになっています。 2022年 2023年 攻撃方法や攻撃ツールに関して言えば、以前から存在するものだからといって、その威力が弱まることはありません。悪意のあるHTMLが攻撃者に利用されているのは、それが有効だからです。適切なセキュリティを導入することは、これまでと同様に、いやそれ以上に重要です。 悪意のあるHTML添付ファイルからの保護方法 メール保護 – 効果的なメール保護を実施し、セキュリティスキャンで悪意のあるHTML添付ファイルを識別し、ブロックできるようにすることが不可欠です。上記のような理由から、添付ファイルの特定は必ずしも容易ではないため、最適なソリューションには、添付ファイルだけでなく、メールのコンテンツを評価する機械学習と静的コード解析が含まれます。 ユーザー教育・啓発 –悪意のある HTML 添付ファイルを発見し、報告できるような訓練の実施が必要です。この種の攻撃の量と多様性を考えると、すべてのHTML添付ファイル、特に見たことのないソースからの添付ファイルには注意したほうがよいでしょう。ログイン情報を誰にも教えないよう、注意を喚起してください。 強固な認証とアクセス制御 – 多要素認証(MFA)は依然として優れたアクセス制御ですが、攻撃者は、多くのタイプのMFA保護をバイパスするために、MFA疲労などの高度なソーシャルエンジニアリング技術にますます目を向けるようになっています。セキュリティ強化のため、ゼロトラスト・アクセスへの対応を検討する必要があります。Barracuda CloudGen Accessなどの効果的なゼロトラストソリューションは、ユーザ、デバイス、場所、時間、アクセスされているリソースなどの複数のパラメータを動的に監視するため、攻撃者が盗んだ認証情報を使用してネットワークを侵害することが非常に難しくなっています。 万が一、悪意のあるHTMLファイルが侵入してしまった場合 – すべてのユーザーの受信トレイから悪意のあるメールを迅速に特定し削除するために、配信後の修復ツールを用意してください。自動化されたインシデントレスポンスは、攻撃が組織全体に広がる前にこれを実行するのに役立ちます。さらに、「Account Takeover Protection(アカウント乗っ取りからの保護)」は、ログイン認証が侵害された場合に、疑わしいアカウントの活動を監視し、警告することができます。 バラクーダは、13のメール脅威タイプを特定し、それらがどのように被害者を狙い、侵害するかを説明するガイドを公開しています。 原文はこちら Threat Spotlight: Proportion of malicious HTML attachments doubles within a year May 3, 2023...
Blog
Barracuda SecureEdge SASEプラットフォーム:ステファン・シャシンガーとのQ&A
2023年5月17日、Tony Burgess バラクーダは、新しいSASE(セキュア・アクセス・サービス・エッジ)プラットフォームであるBarracuda SecureEdgeを発表しました。もしかしたら皆さん、これについて知りたいことがあるのではないでしょうか。私もいくつか質問がありました。そこで、バラクーダのネットワークセキュリティ担当シニアプロダクトマネジャーであるステファン・シャシンガーに話を聞きました。 ステファンはSecureEdgeの開発に最初から携わっているので、SecureEdgeとは何か、なぜ今必要なのか、今日の脅威の全体像やサイバーセキュリティ業界の変化を促す動きにどう適合するのか、説明してくれるはずだと思ったのです。その期待は裏切られませんでした。以下は、ステファンとの会話です。 バラクーダの新しいSASEプラットフォームで何ができるか まずはじめに、SecureEdgeとは一体何なのか、説明してください。 簡単に説明すると SecureEdge は、ネットワークを最適化し、セキュリティを確保するための当社の既存のいくつかのソリューションの機能と性能を組み合わせたプラットフォームです。したがって、SD-WAN、ネットワークファイアウォール、ゼロトラストアクセス、Webフィルタリング、IoT セキュリティなどを提供します。SecureEdge を利用することで、顧客はさまざまなソリューションから独自の SASE システムを組み立てる必要がなく、1つのベンダーのプラットフォームソリューションで最新の SASE インフラを効果的に導入できます。 基本的にこのプラットフォームを使えば、ネットワークのセキュリティと最適化がぐっとシンプルになります。使いやすい単一のクラウドポータルで全体を管理することができるからです。また管理者は、セットアップと運用のために何週間もの集中的なトレーニングを受ける必要もありません。 そうなるとSecureEdgeは、バラクーダの既存のネットワークセキュリティ製品の代替品になるのでしょうか。 いいえ。そしてそこが重要なポイントです。Barracuda CloudGen FirewallやCloudGen Access、および当社の他のネットワークセキュリティ製品は、引き続き販売、サポート、更新される予定です。そのため、現在これらの製品を持っていたり、今後購入を検討している顧客が SecureEdge へのアップグレードを強要されることはありませんので、安心してください。 ただし、こうした当社製品をすでに使っていて、SecureEdge にアップグレードしたい場合は、非常に簡単かつシームレスな移行が可能であることを付け加えておきます。 SecureEdge が単なるバンドルではなく、真のプラットフォームである理由を教えてください。 バラクーダは他社からうらやましがられるくらい非常に広範で包括的な製品およびサービスのポートフォリオを持っています。自社開発と戦略的買収の組み合わせで、ここまで到達しました。当社の強みの1つは、提供する製品の相互運用性です。つまり、買収によって新しい製品を手に入れた場合、単にブランド名を変えて世に送り出すのではありません。新しく取得した製品が当社の他の関連製品とシームレスに動作し、データを透過的に共有できるよう、最初に多くのエンジニアリングを行います。こうして、純粋にバラクーダ製品となったことを確認するまでは販売しません。 こうして当社は、異なる製品間の複数の機能や特徴を統合するスキルを磨いてきました。SecureEdge は、私たちが長い間歩んできた軌跡につらなる次なる一歩を体現しています。SecureEdge は既存のさまざまな製品の機能を統合した、とだけ説明して済ませることもできますし、その機能の一部を伝えるうえではこうした表現はとても便利です。しかし、単に複数の製品を束ねただけではありません。むしろ、包括的な機能を完全に統合した、ひときわ新しい製品なのです。また、プラットフォームであるため、今後も新しい機能や特徴の開発を重ねて簡単に統合することができます。 SecureEdgeを必要とするのは誰で、最も恩恵を受けるのは誰なのでしょうか。 SecureEdgeは、主に中堅企業向けの製品です。しかし、非常に大規模なグローバル企業のニーズにも対応できるような拡張性を備えています。 ユースケースとしては、リモートワークへの大規模なシフトとクラウド型 SaaS ソリューションの普及により、攻撃対象が拡大かつ変化している現状に着目しています。 そのため、分散した遠隔地の従業員を抱える組織では、SecureEdgeを利用することで、社内のデータやアプリケーションだけでなく、SaaS アプリケーションなど、従業員がアクセス権限を持つリソースのみに安全にアクセスできるようにすることが容易になります。さらに、悪意や破損が確認されているサイトやサービスへのアクセスを自動的にブロックします。もちろん、管理者はニーズに応じて独自のブロックリストを構成することができます。 もちろん、従来の中央集中型のオフィスから出ていったのは、従業員だけではありません。従業員がアクセスするアプリケーションも散在しています。仕事で使うツールのほとんどはクラウド経由で提供されるようになりましたが、一部はまだオンプレミスでホストされています。こうした新しいハイブリッド的世界では、従来のオフィスやデータセンターが依然として存在し、さらにリモートワークやSaaSアプリケーションも存在するため、どこで働いていても、別の場所で稼働するリソースにアクセスできるようにするアーキテクチャにおいて、いかに安全な接続を確立するかが課題となっています。私たちがカバーしなければならないすべての場所、時には集中型ワークロードへのアクセスを必要とする分散型 IoT デバイスも含めて、スケーラブルでコスト効率の高い接続性とセキュリティがエッジで直接必要となります。そして、SecureEdge のような SASE の実装は、その課題に対処する最良の方法なのです。 SASEの主な使用例についてのより詳細な説明については、私の最近のブログ記事のこちらとこちらを参照してください。 SecureEdge の導入と運用開始には何が必要でしょうか。組織がサブスクリプションを購入した場合、管理者やユーザーは実際に何をしなければならないのでしょうか。 それは意図するユースケースによりますが、まず SecureEdge Manager と呼ばれるクラウドポータルのアカウントと、中央のセキュリティハブとしての SecureEdge Service が必要です。管理者にとって、クラウドサービスの設定は非常に直感的なものだと思いますよ。デフォルトの設定が組み込まれているため、実に簡単にサービスの利用を開始することができます。ゼロトラストアクセスやセキュアなインターネット・アクセスなど、多くの機能がすぐに使えますし、必要な情報を収集し、その入力に基づいて SecureEdge を自動的に設定するウィザードを使用して素早く設定することもできます。 ハードウェア面では、各拠点に設置する物理アプライアンスと仮想アプライアンスがあり、SD-WAN と Firewall-as-a-Service の機能を提供します。当社の高度なゼロタッチディプロイメントのおかげで非常にシンプルで、IT 担当者が現場にいる必要はありません。アプライアンスが現地に到着したら、電源とインターネット接続に接続するだけで、完了です。アプライアンスはクラウドサービスに対して自らを識別し、適切な設定ファイルを自動的にダウンロードし、インストールできます。 またユーザーにとっては、VPN 接続から SecureEdge が提供するゼロトラストアクセスモデルへの移行に伴う新たなログイン手順について説明を受けるだけで、そのプロセスはほぼ完全に透過的です。 ステファン、質問に答えるために時間を割いてくれたことに感謝します。今回の話は多くの情報が詰まっていました。読者の中には、ネットワークセキュリティとコネクティビティに対するこの新しいプラットフォームベースのアプローチについて、さらに深掘りしたいと思っている人もいるでしょう。そのような場合、どこに行けばさらなる情報を得ることができますか。 まずは、当社Wenサイトの SecureEdge のメインページで、多くの情報を得ることができます。 また、まもなく開催されるライブのウェビナーでも、皆さんの質問に答え、こうしたトピックについてさらに詳しく説明する予定です。このセミナーでは、SecureEdge がどのように機能するのかを実感していただくために、ライブデモも予定しています。登録はこちらからどうぞ。 そして最後に、もちろん、バラクーダのリセラーやMSP、またはバラクーダの営業担当者と直接連絡を取ることができます。 今すぐウェビナーの参加予約をしましょう...
海外ブログ
OWASP トップ 10 API セキュリティリスク:壊れた認証
2023年4月28日、Paul Dughi Open Worldwide Application Security Project® (OWASP) トップ 10 API セキュリティリスクのドラフトリストの第2位は、壊れた認証です。 壊れた認証さえあれば攻撃者は、認証またはセッション管理ツールの脆弱性を悪用して認証方法をバイパスできます。 攻撃ベクトル 認証方法は、サーバーに接続する誰もが利用できるため、攻撃者の格好のターゲットとなります。弱いパスワードおよび推測されやすいパスワードとブルートフォース攻撃によって侵害の糸口をつかみます。ほかにもセッション固定化攻撃、不十分なセッション・トークン/クッキー、ユーザーのログアウト後のセッション無効化の失敗も、攻撃者の侵入を許します。 OWASPが指摘するように、APIにおける認証は複雑です。そのためソフトウェアエンジニアは、認証ツールや境界を実装する際に、しばしば間違いを犯します。 OWASPは、壊れた認証に悪用可能性スコア3(ハッカーによって多少悪用可能であることを意味する)を割り当てました。 セキュリティの弱点 API セキュリティの認証が壊される際、2つの重要な問題があります。1つめは、API エンドポイントによる認証の保護が不十分であることです。API エンドポイントは、通常のエンドポイントとは異なり、追加の保護レイヤーを必要としているのです。第2に、様々な攻撃ベクトルがあるがゆえに間違ったメカニズムが適用されがちです。たとえば、Web アプリケーション用に設計された認証メカニズムは、モノのインターネット(IoT)クライアントには適さないかもしれません。 OWASP は、「壊れた認証」を普及率と検出率で2と評価しています。これはつまり、この脆弱性が一般的であり、中程度の努力で検出できることを示しています。 ビジネスへの影響 技術的な観点からは最も深刻な脆弱性ではないかもしれませんが、不正なユーザーがアクセスすることは、企業にとって大きなリスクとなります。 侵害は、以下のような深刻な被害をもたらす可能性があります 機密データへの不正アクセス アカウントの乗っ取り データ操作 個人情報窃盗 攻撃者がユーザーアカウントにアクセスできるようになると、他の潜在的な脆弱性も悪用できます。たとえば権限昇格や、ネットワーク内での水平展開などです。このような攻撃は、GDPR、CCPA、HIPAA、PCI-DSSといったデータ保護規制を順守するうえでも問題を引き起こす可能性があります。 認証破り攻撃の仕組み 攻撃者は、システムの脆弱性を探り、さまざまな手口でアクセス権を獲得します。最も一般的な手法の1つに、ブルートフォースがあります。コンピュータで大量のパスワードを生成してユーザーの認証情報を推測するのです。何年も前から警告されている手法ですが、多くのユーザーはいまだに弱いパスワードを使用していたり、システムがハッシュ化されていないパスワードを保持したりしているのが現状です。 その他にも、以下のような攻撃があります。 セッションハイジャック:攻撃者がユーザーのセッショントークン/クッキーを傍受します。 セッションの固定化:攻撃者はユーザーのセッショントークンやクッキーを既知の値に設定し、そのトークンやクッキーを使ってユーザーにログインさせてセッションを乗っ取ります。 パスワードスプレー:攻撃者は、脅威のベクトルを見つけるために、ユーザーアカウントに共通のパスワードを「スプレー」します。 クレデンシャル・スタッフィング:あるアプリケーションから盗んだパスワードを使い、ユーザーが認証情報を再利用しているシステムへ不正にアクセスします。 URLの改ざん:攻撃者は、URLの一般的な書式を悪用して、認証を回避するためにURLを操作します。 実例の紹介 このような認証破りの攻撃は、一連のインシデントで注目を集めました。マリオットホテルチェーンを狙った攻撃もその1つです。このインシデントでは、2人の従業員の盗まれたログイン情報が、520万人以上の宿泊客の情報へのアクセスに使われました。 2023年には同様の攻撃がヤム・ブランズ(タコベル、KFC)、チック・フィレイ(Chick-fil-A)、ノートン・ライフロック、T-モバイル、メールチンプ(Mailchimp)に対して行われています。 壊された認証の脆弱性を検出する 破られた認証の脆弱性を検出するには、ユーザー認証、パスワード管理、セッション管理、アクセス制御など、認証機構を包括的にセキュリティ監査する必要があります。 自動化された脆弱性スキャナーは、一般的な API セキュリティの脅威を特定するのに役立ちます。また、手動テストを導入することで、認証が破られた脆弱性を特定することができます。 認証破りの脆弱性を防ぐ ソフトウェアエンジニアとセキュリティチームは、いくつかの簡単な戦略を導入することで、認証破りの脆弱性を防ぐことができます。各ステップだけでは API パスウェイ攻撃を防ぐことはできませんが、重層的なアプローチでリスクを軽減することができます。 多要素認証の採用 ユーザーにメールやテキストで送信されるワンタイムパスワード(OTP)、多要素認証(MFA)パスコード、その他の追加の検証手段は、ブルートフォース攻撃やクレデンシャルスタッフィングを防ぐのに役立ちます。 強固なパスワードの義務化 大文字、小文字、英数字、特殊文字を組み合わせた、より複雑なパスワードを使用するようユーザーに強制しましょう。管理者は、NIST 800-63B で定められた認証情報のガイドラインにも従うべきです。 レート制限の実施 システム管理者は、ブルートフォース攻撃やクレデンシャルスタッフィングを防ぐために、ログイン試行失敗回数を制限する必要があります。試行回数の制限は、サービス拒否攻撃の抑止力にもなります。また、ログインに何度も失敗した場合には、自動警告システムを導入し、潜在的な脅威を表面化させ、さらに評価する必要があります。 ログインフォームは一貫した応答を確実に送信する アカウント列挙攻撃は、攻撃者が異なるユーザー名とパスワードを使用して複数のリクエストを送信した場合に発生します。有効な組み合わせと無効な組み合わせで異なるエラーメッセージが表示される場合、攻撃者はシステムに登録されているユーザーを特定し、ブルートフォース攻撃やフィッシング攻撃を促すことができます。 ランダムなセッションIDを生成する ユーザーがログインした時点でランダムなセッションIDを生成することで、攻撃者は予測しづらくなります。ランダムなIDは、各セッションがユニークなIDを持ち、限られた時間しか有効でないことを保証します。すべてのセッションIDは、ログアウト時に失効するようにします。これは、弱いトークンや予測可能なトークンを排除することで、セッション固定化攻撃を軽減するのに役立ちます。 APIゲートウェイやリバースプロキシーを利用する 追加の認証なしにAPIへのアクセスを許可するマイクロサービスは、攻撃対象領域を大幅に拡大する可能性があります。APIゲートウェイやリバースプロキシーの使用は、すべての受信リクエストに対して単一のエントリーポイントを作成し、すべてのAPIリクエストに対して認証と認可のポリシーを義務付けます。 包括的なAPIセキュリティ計画 包括的なセキュリティ計画の一環として、ITチームは、転送中のすべてのデータに対するエンドツーエンドの暗号化、APIエンドポイント保護、パスワードのハッシュ化、脆弱性の定期的なテストも導入する必要があります。 Webアプリケーションと API を包括的プラットフォームで保護しましょう...
海外ブログ
パスワードのセキュリティを習慣化する
2023年5月4日、Christine Barry 2023年5月4日は5月の第1木曜日、「世界パスワードの日」だそうです。ワクワクしているフリもできませんよね。 パスワードにはイライラします。 今やっていることを邪魔されるからです。どれも違っていて複雑で、推測しにくいものでなくてはならず、しかも覚えにくい。パスワードは面倒なもの、そう感じているのは私だけではないだろう。「アクティブ」なインターネットユーザーの42%以上が、パスワードのセキュリティはあまりに面倒からと「オプトアウト」しています。複数のサイトで同じパスワードを使い、しかも多くの場合、簡単に解読できる弱いパスワードを使っているのです。気持ちはよくわかります。でも、そのような行動では、この世界の危険には太刀打ちできません。 悪意あるボットと自動化された攻撃 パスワードのセキュリティは、自動化された攻撃を受けるたびに重要性を増しています。 インターネットトラフィックに関するバラクーダの最新の調査によると、少なくとも40%は「悪意あるボット」によることが明らかになっています。 これは、脅威アクターが脆弱なWebアプリケーション、ファイアウォール、およびその他のインターネットにアクセス可能なデバイスを探し出すために使用する自動スクリプトです。これらのボットの多くは、電子商取引アプリケーションやログインポータルに着目し、ブルートフォースやクレデンシャルスタッフィングなどのパスワード攻撃を仕掛けてきます。 ブルートフォース攻撃では、体系的な「トライアルアンドエラー」手法を使い、考えられるすべてのパスワードとパスフレーズをテストします。「123456」や「abc123」のような最も一般的なパスワードを使用すると、ブルートフォース攻撃は1秒未満でそれを突破します。クレデンシャルスタッフィング攻撃は少し違って、ボットがほかの攻撃で盗んだクレデンシャルのセットをローテーションしています。攻撃対象のサイトでユーザーが別のサイトでも使っているパスワードを使い回しているなら、ボットはそのユーザーの有効なログイン情報を以前データ侵害した際に入手している可能性があります。そうなるとボットは、わずかな時間さえあればユーザーになりすましてログインできるようになります。 機会を狙ったフィッシング フィッシング攻撃もまた、パスワードセキュリティの重要性をあらためて強調する攻撃です。 フィッシングメール、Webサイト、そしてメッセージは、非常にうまく機能するため、企業や個人にとって最も脅威となるものの1つです。フィッシング攻撃は、ユーザーをだまして認証情報やその他の情報を提供させようとするもので、システムからデータを盗むように設計されたマルウェアが含まれていることもあります。このような攻撃は、インフラ、機密研究、国家機密に対する攻撃の出発点となることがよくあります。受信トレイのセキュリティやユーザの認識などのフィッシング対策は、このような攻撃に対する最良の防御策であり、これらを導入していない場合は、バラクーダがこれを支援します。 こうした対策を取ったとしても、フィッシング攻撃は有効な攻撃であり、その攻撃力はますます向上しています。 爆発を止めることはできなくても、それをできるだけ小さく抑えたいものです。 ベストプラクティス ずさんなパスワード管理の習慣は、ビジネスメールの漏えい、アカウントの乗っ取り、ランサムウェア、その他の有害なサイバー攻撃につながる可能性があります。ログイン情報を保護することは、たいていの場合、自分で直接コントロールできます。 たとえば、以下が考えられるでしょう。 固有のパスワードをアカウントごとに使用する。(42% !!!) パスワードマネージャーを使用してパスワードを管理する。強力なマスターパスワードを備えたパスワードマネージャーは、すべてのアカウントに固有のパスワードを管理するための安全な方法です。これらのアプリケーションを使えば、複雑なパスワードをその場で簡単に作成できるため、万が一パスワードが漏えいした場合でも、すぐにパスワードを変更することができます。LastPassのインシデントのようなことが心配なら、KeePassのようなオフラインのパスワードマネージャーを調べてみるのもよいでしょう。 情報漏えいを監視する。パスワード管理ソフトの中には、これを監視し、情報漏えいが見つかったら警告してくれるものもありますが、これは有料の機能かもしれません。また、Webサイトの「have I been pwned」を利用して、あなたの電子メールやパスワードの侵害データベースをチェックすることもできます。 一般的なパスワードを使用しない。たとえば「qwerty」や「password」などです。こうした最も一般的なパスワードは、前述したパスワードと同様、ブルートフォース攻撃で解読するのに1秒とかかりません。 個人情報をパスワードに使わない。名前、住所、誕生日など、あなたを連想させるような情報は、誰かに推測されやすくなります。複雑なパスワードやパスフレーズを使用するのがよいでしょう。 パスワードを他人と共有しない。文書、カレンダー、電子メールなどの共有は、パスワードやアカウントアクセスを共有しなくても安全に行えます。誰かがあなたの認証情報でログインできるようにするのではなく、適切なコラボレーションワークフローを構成しましょう。ほとんどの SaaS の生産性アプリケーションは、コラボレーションツールを備えています。 ここに多要素認証を挙げていないのは、そのオプションが常に利用できるわけではないからです。しかし可能な限り、多要素認証を利用しましょう。 パスワードセキュリティを習慣にする 「世界パスワードの日」を祝う必要はありませんが、パスワードのセキュリティに改めて取り組むことでこの日を過ごしましょう。自分のアカウントや認証情報が重複していないか、漏えいしていないか、弱いパスワードがないか、見直してみてください。友人や家族、同僚にも同じことをするよう、注意を促してください。さて、来年5月の最初の木曜日までに、42%より良い結果を出せるでしょうか。 原文はこちら Make password security a habit May. 4, 2023 Christine Barry https://blog.barracuda.com/2023/05/04/make-password-security-a-habit/
海外ブログ
SASEのエンドポイント保護とセキュアリモートアクセス
2023年4月27日、Stefan Schachinger セキュア・アクセス・サービス・エッジ(SASE)に関するこれまでの深堀りブログでは、SD-WANなどの接続性、ファイアウォール・アズ・ア・サービス(FWaaS)やセキュア Web ゲートウェイ(SWG)が提供するセキュリティ機能などについて紹介しました。今回は、SASE 環境におけるエンドポイント保護について紹介します。 ご記憶にあるとおり、 SASE のコンセプトは、ネットワーク(WAN エッジ)とセキュリティ(セキュリティサービスエッジ)のコンポーネントを統合するものです。この記事では、リモートアクセス、ZTNA(ゼロトラスト・ネットワークアクセス)、および SIA(セキュアインターネットアクセス)を取り上げます。これらは SASE の展開に密接に関係しており、通常、エンドポイントソフトウェアコンポーネントが関与しています。 ここでは、SASEのネットワークとセキュリティのコンポーネントを簡単に紹介します。 SASE WAN エッジ セキュリティサービスエッジ SD-WAN FWaaS 前方誤り訂正 ZTNA ルーティング VPN 最適経路指定 CASB トラフィックフェイルオーバー SWG … SIA お気づきの通り、SASE プラットフォームに含まれるセキュリティ機能のほとんどは、かつて別の製品として展開されていたものです。これは、ここ数年の要件やユースケースの変化による自然ななりゆきです。メインオフィスとデータセンターが真ん中にある城と堀のようなアーキテクチャでは、もはや十分ではありません。ペリメーターは消え去ったか、あるいはソフトウェアで定義されるようになりました。しかし、ひとつだけ非常に簡単になったことがあります。これまでは FTP や SSH などのさまざまなネットワーク・プロトコルが使われていましたが、現在ではエンドユーザーのトラフィックはほとんどすべて Web ベースになっています。Microsoft 365のような一般に公開されているサービスでも、イントラネットのような社内のプライベートなリソースでも、使用されているプロトコルはほぼ常に HTTPS です。 パンデミックによるロックダウンで働き方が変化したことで、それまで見過ごされていた脆弱性が露呈しました。エンドポイントでの保護が十分でなく、ビジネスネットワーク VPN 上で会社のリソースへの無制限の信頼とアクセスが行われていたのです。この2つの条件が、多要素認証(MFA)の欠如やパスワードのセキュリティの低さと組み合わさると、致命的なことになりかねません。脅威者は、技術的な脆弱性を容易に利用したり、ソーシャルエンジニアリング攻撃を使って、被害者のネットワークやワークロードにアクセスすることができます。 セキュアインターネットアクセス (SIA) SIAは、セキュア Web ゲートウェイ(SWG)をエンドポイントに拡張したものです。SWG クラウドサービスが提供する詳細な Web トラフィック検査は、トラフィックのバックホールやリダイレクトを伴いますが、それらが常に必要というわけではありません。エンドポイントに Web セキュリティ機能を追加することで、この追加ステップを回避できます。これにより、クラウドに置いてある大がかりなツールを持ち出さずとも、デバイスが Web トラフィックについて簡単な判断を下すことができます。たとえば、シンプルな DNS ベースのフィルタリングを使用することで、禁止されていたり不要だったりする Web カテゴリをそれ以上検査することなく直ちにブロックできます。規制や企業のコンプライアンス、企業倫理や行動規範に抵触するコンテンツや、悪意があるとして知られている Web サイトなどが考えられます。このフィルタリングは、すでにデバイス上にあり、コマンド&コントロールサーバーに電話をかけようとする悪意のあるソフトウェアの「発信」をブロックすることもできます。この種のトラフィックは、エンドポイントでブロックできるのですから検査のためにわざわざクラウドに送信しなければならない理由はありません。 一方、信頼できるアプリもあります。なかには、トラフィックがリダイレクトされ、直接のブレイクアウトが必要な場合はうまく機能しないものも少なくありません。Microsoft 365 は、詳細な Web トラフィック検査が不要といえる例の1つです。アプリケーションに接続する前に Microsoft 365 のトラフィックを SWG に誘導すると、パフォーマンスも低下する可能性があります。このシナリオでは、エンドポイントセキュリティで十分な場合があるため、SWG のクラウド検査を回避することができます。...
海外ブログ
