2022年12月28日、Phil Muncaster 2022年は多くの点で、過去5年の傾向をそのまま継続してきました。全米脆弱性データベースに公開されたCVEの数は、2022年も記録を更新する勢いです。ランサムウェアの脅威は、地政学的な対立という特殊要素を含みつつ、かつてなく大胆に展開しています。そして脅威者は、コロナ禍で常態化した新しいワークスタイルを悪用し、組織を追い詰めています。 2022年をとらえる切り口はいろいろあります。しかしここでは、私が注目するトレンドのトップ5と、そこからの学び(これが何より重要です)を紹介します。2023年の企業セキュリティ強化に大いに利用してください。 1. たとえ各国政府が身代金支払いを禁止しても、ランサムウェア攻撃はなくならない ランサムウェアの試行回数は、記録的だった2021年と比べると若干減少したとはいえ、2022年10月までの1年間で数億回に上りました。さらにこの期間中に前年比で増加したのが、英国(20%)および欧州・中東・アフリカ(38%)です。ランサムウェア・アズ・ア・サービス(RaaS)モデルが利益を生み出し続け、関連企業や開発者が敵対的な国家に保護されている限り、終わりは見えません。オーストラリアには、犯罪グループへの身代金の支払い禁止を提案する政治家もいます。しかしそれでは単に報告が表に見えなくなるだけで、むしろ重要なサービスプロバイダーへの攻撃を助長することになりかねません。 代わりにITリーダーが取るべき最善の対応は、改善したユーザーの意識向上プログラムとゼロトラストを組み合わせたサイバー衛生のベストプラクティスです。 2. Z 世代が職場を席巻するなか、インサイダーの脅威に対処する必要がある 私たちは、組織内部からの脅威を深刻に受け止めているとは言い切れません。通常、組織内部の脅威は意図的な悪意に基づくというよりも、むしろ過失によるものです。しかし、だからといって影響がないわけではありません。ある試算によると、インサイダーによるインシデントの修復には、年間1,500万ドル以上のコストがかかっています。さらに懸念されるのは、若い世代の従業員による会社のデータの扱いにリスクが伴う傾向が強いという事実です。たとえばアップデートを期限内に適用しない、仕事でも個人のアカウントでもパスワードを再利用する、個人のデバイスのセキュリティを会社のデバイスの保護よりも真剣に考える、といった具合です。 ハイブリッド型の働き方で、こうした傾向はさらに拍車がかかるでしょう。在宅勤務のときのセキュリティに関しては従業員が自分自身のルールに自由に従うからです。こうした新しい現実に対応するために、組織は適切なテクノロジーとユーザー教育を通してポリシーを書き換える必要があります。多要素認証(MFA)からゼロトラスト、セキュアアクセスサービスエッジ(SASE)の導入に至るまで、セキュリティ管理は強力かつ実質的に摩擦がないものでなければなりません。 3. WebアプリケーションとAPIは持続的かつあまり報告されない脅威 2022年は、ランサムウェアと国家による攻撃が最も注目された年だったことは間違いありません。しかし、企業が直面した脅威はほかにもあります。華やかさには欠けますが、アプリケーションとクラウドのセキュリティも同じくらい重要です。SQL インジェクション攻撃をはじめとする Web アプリケーションの脆弱性を狙った攻撃は、ハッカーの大好物です。しかもハッカーにとっては、顧客や従業員の有益なデータを直接入手する経路となる可能性があります。また API は、DX(デジタル改革)においてますます重要になっていくため、アカウント乗っ取りやデータ窃取などを目的とする脅威者の格好の標的となるでしょう。 2022年に発表されたレポートによると、95%の組織が過去 12カ月間に API セキュリティインシデントを経験し、12%が月平均 500 以上の攻撃に悩まされていたことが明らかになりました。デジタル環境のこの分野のセキュリティにも、そろそろ真剣に取り組むべき時が来ているのです。 4. 中小企業にとって、情報漏えいは存亡に関わる問題 セキュリティ侵害は、企業にとってどれほどの損害をもたらすものなのでしょうか。この質問への答えは簡単には見つかりません。というのも、多くの企業は、顧客や投資家、パートナーを遠ざけることを恐れて、インシデントについてあまり多くを開示したがらないからです。しかし、国際保険会社のヒスコックス社は2022年、米国と欧州諸国の5社に1社が歴史的な攻撃によって倒産に近い状態に陥ったという調査結果を発表しました。ほとんどの企業が、サイバー攻撃をビジネス上の脅威のトップに挙げ、リモートワークによって組織がより脆弱になったことを認めています。 この調査では、企業の規模別に評価したわけではありませんが、リソースの少ない企業のほうがランサムウェアやその他の攻撃によって存亡の危機にさらされる可能性が高いことはいうまでもありません。繰り返しになりますが、特効薬はありません。業界のベストプラクティスに従って、保護とユーザーの意識を高めることが重要なのです。 5.ディープフェイクでビジネスメール詐欺(BEC)は加速 サイバー犯罪の地下世界では、常にイノベーションが起きています。フィッシングと対峙する企業と脅威者コミュニティとの間のイタチごっこが絶え間なく続くのを私たちは目にしています。もう一つ、BEC 攻撃も激しさを増しています。FBI は2022年、BEC の手法にディープフェイク技術やビデオ会議ソフトを組み合わせた試みがあると警告を発した。 ディープフェイク音声は、ユーザーを騙して詐欺師に多額の資金を送金させることで大きな被害をすでにもたらしています。また技術が進んで安価で説得力のあるものになれば、Zoom会議で配信されるフェイク映像は、間違いなくさらなる混乱を引き起こす可能性があります。この問題に取り組むには、より優れた訓練を受けた人材、電信送金の署名プロセスの改善、ディープフェイクを発見してブロックする AI 搭載ツールの組み合わせが必要です。 経済的な逆風が吹き荒れる2023年、中小企業のITリーダーは、セキュリティ予算を堅持し、賢く活用することが不可欠となります。 原文はこちら A cybersecurity year in review: Five things we learned from 2022 Dec. 28, 2022 Phil Muncaster https://blog.barracuda.com/2022/12/28/cybersecurity-year-in-review-2022/
2022年11月29日、Mike Vizard サイバーセキュリティ純粋主義者にとってゼロトラストITとは、ネットワークに接続されたいかなるユーザーもアプリケーションもマシンも、証明されるまで信用しないというアーキテクチャです。米国立標準技術研究所(NIST)が定義するように、ゼロトラストITとは、「かつて静的なネットワークベースの境界線にあった防御をユーザーと資産、およびリソースに焦点を当てるようにした、一連の進化しつつあるサイバーセキュリティパラダイム」です。したがって、物理的またはネットワーク上の位置や資産の所有権のみに基づいて、資産やユーザーに暗黙の信頼が与えられることはありません。 ほとんどのサイバーセキュリティ専門家にとって、ゼロトラストは決して新しいアイデアではありません。フォレスター・リサーチのアナリストであるジョン・キンダーヴァグが2010年にこの言葉を広めたとされていますが、コンセプト自体は2004年にまでさかのぼることができます。しかし今日、ゼロトラストITは、キャンペーンのスローガンに近いものへと進化しています。ほぼすべての組織が、なんらかのゼロトラストアーキテクチャを採用する方向に向かっています。実際、米国防総省(DoD)はつい最近、今後1年間でゼロトラストIT目標を達成するというビジョンをまとめた37ページの報告書を発表しました。自分の組織のために同様のサイバーセキュリティ戦略を定義しようとしている担当者は、この報告書をコピー&ペーストするとよいでしょう。 当然のように、ゼロトラスト IT へのシニカルな見方も出てきます。サイバーセキュリティのプラットフォームやサービスを提供するプロバイダはこぞって、サイバーセキュリティ担当者にゼロトラスト IT の目標を達成を促すサービスを売り込みます。しかしサイバーセキュリティの現状を見れば、ゼロトラストITに懐疑や不安の目が向けられても無理はありません。 ただ、懐疑的な見方をしたくなるのはごく自然だとしても、それではより重要な点を見逃してしまいます。サイバーセキュリティ担当者が長い間直面してきた最大の問題の 1 つは、経営陣からのサポートの欠如です。サイバーセキュリティはこれまでずっと、最小化すべきコストとみなされてきました。サイバーセキュリティのなかでも絶対に不可欠だとされる項目にだけ予算が割り当てられてきたのです。一方、「ゼロトラストIT」は、ビジネスリーダーがより理解しやすいキャッチフレーズです。現在の目標は、単にコンプライアンスを達成することではなく、IT 環境を真にロックダウンすることです。そのため、景気後退期であってもサイバーセキュリティに予算を割り当てる傾向がかつてなく高まっています。もちろん、ランサムウェアの台頭も、こうした姿勢の変化に少なからず影響を与えているでしょう。 企業の経営者の関心があるのは、ゼロトラストIT目標をいかに達成するかではありません。成果がすべてなのです。一方、IT担当は、ゼロトラストと聞いて大きくうなずきはしますが、大半はそれが何を意味しているのか正確には理解していません。サイバーセキュリティの観点から最も重要なのは、すべてのステークホルダーがゼロトラストの概念を支持することです。最新の流行語やキャッチフレーズにすぐに飛びつかないほうがカッコいいかもしれませんが、ゼロトラストITキャンペーンはサイバーセキュリティ担当者のためのものではありません。サイバーセキュリティ担当者にとってゼロトラストは、すでに十分に理解されている「多重防衛」の延長線上にあるものです。現在の状況がこれまでと異なるのは、サイバーセキュリティ担当だけでなく、多くの人々がこの議論に参加している点です。 もちろん、どんなスローガンもいずれは空疎に響くことになります。それでもサイバーセキュリティ担当者は、ゼロトラストという言葉が流行している今のうちに、社内のゼロトラストITキャンペーンを開始するとよいでしょう。今ならば次世代サイバーセキュリティ技術への投資をより簡単にとりつけられる、というだけでも十分すぎる理由です。何をすべきかよく理解していない、もちろん感謝もしていない人々に代わってサイバー攻撃と闘い続けるために、セキュリティ担当者たちにはこの新しい技術が大いに必要なのですから。 原文はこちら Vote for Zero Trust early and often November 29, 2022 Mike Vizard https://blog.barracuda.com/2022/11/26/vote-for-zero-trust-early-and-often/
2022年10月31日、Mike Vizard 新しい脆弱性が公開されるときのその方法が変わりつつあります。そのこと自体は称賛されるべきでしょう。先週、OpenSSLプロジェクトの管理者は、とりわけ未知の重要な脆弱性に対処したアップデートを11月1日にリリースすることを発表しました。 ほどなくサイバー犯罪者を含むすべての人が、その脆弱性が何であるかを知ることになるでしょう。しかし、サイバーセキュリティチームにとってこれは、組織が直ちにOpenSSLへの更新プログラムをインストールできるよう準備せよ、という事前警告です。 OpenSSLコミュニティは、Webサイトやアプリケーションで広く利用されているTLS(Transport Layer Security)プロトコルの通信を保護するための暗号化ツールキットの開発を統括しています。最も有名なのは、2014年に発見されたOpenSSLのHeartbleedバグです。このバグを通してサイバー犯罪者は、脆弱なWebサイトやアプリケーションに対して、小さなマルウェアペイロードと大きなlengthフィールドを持つ不正なハートビート要求を送信できるようになりました。 この欠陥の発見が引き起こした混乱は相当なものでした。Heartbleedバグの発見から3年経っても、このバグを悪用した侵害の報告は後を絶ちません。今週公開されるパッチで、多くの企業のセキュリティインシデント対応能力が再び試されることになります。これは、時間との闘いなのです。サイバー犯罪者もまた、今週公開されるであろうOpenSSLの内容について、同じくらい注目していることは間違いないでしょう。 もちろん、脆弱性をどのように公開するかは、多くのサイバーセキュリティの専門家にとって頭の痛い問題です。特にオープンソースのコミュニティは、コミュニティによって維持されているプロジェクトに共通する精神に則って、開示が公に共有されるアプローチを好む傾向があります。しかしここ数年、それはとりわけ困難になってきています。というのも、さまざまなアプリケーションに組み込まれたオープンソースコードの量が飛躍的に増加したためです。多くの IT 組織は、Java アプリケーションからログデータを収集するために広く使用されているオープンソースの Log4J ソフトウェアの脆弱性のすべてのインスタンスをまだ探しています。 プラス面としては、オープンソースのセキュリティ危機が少なくとも無駄になることはないという点です。オープンソースソフトウェアプロジェクトの管理者は、実にさまざまな手段を使うようになっています。コード署名による暗号化もその一つですし、あらゆるコード片のインスタンスがどこで実行されているかを容易に発見できるようにするソフトウェア部品表(SBOM)の自動作成も同様です。 問題は、アクセス可能になった情報をもとに、セキュリティインシデント対応プロセスがどの程度改善されているかということです。ITチームはまず、脆弱性の重大性を判断し、続いて、DevSecOpsのベストプラクティスを適用して最も重要な脆弱性をできるだけ早く修正する必要があります。 今後数カ月の間に、パッチが適用されていないOpenSSLの脆弱なインスタンスに起因するセキュリティ侵害が発生することはほぼ間違いないでしょう。そして、同じくらい明らかなのは、こうしたセキュリティ侵害の発生を防ぐのに必要なアップデートをインストールしなかったことの責任がどこに求められるか、なのです。 原文はこちら Race to patch OpenSSL is on again October 31, 2022 Mike Vizard https://blog.barracuda.com/2022/10/31/race-to-patch-openssl-is-on-again/