2021:
揺るぎない
デジタルビジネスの年

5人のサイバーセキュリティのリーダーが語る成功のための秘訣

2021年: 揺るぎないデジタルビジネスの年 - 5人のサイバーセキュリティのリーダーが語る成功のための秘訣

2020年は、世界中でかつて経験したことのない予想外で先の見えない年となりました。新型コロナウイルスの感染拡大に伴い、何百万もの人々がリモートワークに移行したことで、企業のセキュリティ境界線の消滅などの問題をめぐって、企業のサイバーセキュリティの担当者に深刻な課題をもたらしました。 

パンデミックへの挑戦は2021年も継続していますが、今後の取り組みに対して私たちは何を知っておくべきなのでしょうか?どのようにすれば、組織やデータの安全性を維持しながら、必要な業務を円滑に進めることができるのでしょうか?

エフセキュアでは、サイバーセキュリティの第一人者である5人の専門家に、それぞれの視点で2021年の予測、トレンド、最重要事項について語ってもらいました。すべてのセキュリティの担当者が知っておくべき多くの質問への答えを確認するため、ぜひご覧ください。

Article #1

個人の健康情報への攻撃の意味

Mikko Hypponen (ミッコ・ヒッポネン)
エフセキュア - チーフ・リサーチ・オフィサー

詳細

Article #2

2021 年のサイバーセキュリティ – CISO の視点

Teemu Mäkelä (テーム・マケラ)
Elisa - 最高情報セキュリティ責任者

詳細

Article #3

セキュリティギャップを技術で補うには

Anders Nilsson (アンデルス・ニルソン)
Atea - リードセキュリティアーキテクト

詳細

Article #4

脅威ランドスケープは進化し続ける - 定着するマルウェア、ランサムウェア、フィッシング、スパム攻撃

Calvin Gan (カルビン・ガン)
エフセキュア - 戦術防衛ユニット シニアマネージャー

詳細

Article #5

脆弱なシステムに時間の猶予はありません

Tomi Tuominen (トミ・トゥオミネン)
エフセキュアコンサルティング - グローバル・テクニカル・ディレクター

詳細

Article #1

個人の健康情報への攻撃の意味

Mikko Hypponen

Chief Research Officer, F‑Secure

「医療データが凶悪なハッカーの標的になっているというのは本当ですか?」、「彼らは、私の病歴を知ろうとしているのですか?」など、個人の健康情報に関する質問を受けることがあります。何年もの間、私は、「そのようなことはありません」と答えてきました。

F-Secure Labs で調査するサイバー犯罪の約99%は、金儲けを目的とした犯罪です。私の考えでは、金儲けをするのであれば、レントゲン画像よりもクレジットカードデータのような金融情報の方が、ターゲットになると考えていました。

しかし、今は、この考えを改めようと思っています。

その理由は、パンデミック過で観測された病院、医療研究機関、さらには患者の健康情報への攻撃の増加にあります。特に、昨年10月に発生したフィンランドの心理療法センター「Vastaamo(ヴァスターモ)」への攻撃では、数万人もの患者の機密情報が漏洩しました。 

Vastaamoのケースは、搾取した個人データを収益化するために、医療機関ではなく患者を直接脅迫するという攻撃の典型的な例になります。 一般的に、攻撃者の中でも冷酷な犯罪者が、医療データを標的にしています。そして、患者を直接標的にする悪質な攻撃者は世界中でほんの一握りしか確認されていません。

医療機関や企業ではなく個人を標的にした攻撃はまだ一部ですが、近い将来には、これがトレンドになる可能性があると指摘されています。 私を含めて多くの専門家が、この傾向を憂慮しています。

ヘルスケア業界を標的とした攻撃の大部分は、医療機関を対象として行われており、そのほとんどでトロイの木馬型ランサムウェアが利用されています。 通常、この攻撃を受けると医療業務を中断せざるを得なくなる混乱が発生する中、攻撃者から、「医療活動を継続したければ、身代金を支払え」と要求されます。世界的なパンデミックの中、多くのトロイの木馬型ランサムウェア攻撃が観測されていますが、Ryukはその中で最も重大な攻撃です。Ryukの攻撃は、パンデミック中に数十もの病院や医療機関を襲っており、特に米国全土で、COVID-19が病院や医療機関、スタッフを崩壊寸前まで追い込んでいます。

医療業務は何としてでも継続しなければならない業務です。 純粋に金銭目的で、パンデミックの真っ只中の病院をターゲットにすること卑劣な方法ですが、この機会を利用しようとする犯罪者が存在しています。

2020年3月にパンデミックが発生した際、私はランサムウェアギャングに向けて「パンデミック期間中は病院に近づかないように」というメッセージを公開しました。 返事を期待していたわけではありませんでしたが、実際には、5 つのギャング組織から「パンデミック中には病院を攻撃にするつもりはない。」とのメッセージを受け取りました。 これは嬉しい驚きでしたが、プロの犯罪者の返事を鵜呑みにすることはできませんでした。 実際、病院、医療機関、そして患者に対する攻撃が確認されています。

山積する課題

医療データは、一般的には保護が行き届いていないため、攻撃者にとって格好の標的になっています。ほとんどの医療システムは公的資金で運営されており、古いオペレーティングシステムが稼働するレガシーシステムに保存されているケースが多いため、攻撃者はいつでもこれらのシステムに簡単にアクセスすることができました。そして、彼らがそれを悪用し始めている今、最もプライベートで機密性の高いデータ保護の必要性は、これまで以上に急務となっています。

将来にわたって世界の医療データを安全に保つためには何が必要なのでしょうか?最初に必要になるのは資金ですが、これは複雑な課題です。

2017年、WannaCryランサムウェアによるサイバー攻撃で、英国の国民健康保険サービス(NHS)が攻撃されました。この悲劇を招いた根本的な原因は、数十年に及んだNHSの予算削減に起因しています。2017年にNHS当時、使用されていたほとんどのシステムがWindows XPで稼働していました。 NHSではこの攻撃よる被害で、19,500件の診療予約と600件の手術をキャンセルせざるを得なくなり、病院、スタッフ、そして何よりも患者が非常に辛い思いをしました。

WannaCry攻撃による大規模な問題発生が契機となり、NHSはこの攻撃を可能にした最大の問題を修正するための大幅な予算増額が認められました。 政治家の失態で、必要としていた予算を手当てすることができなかった事実は、この問題がサイバーセキュリティにおける最大の難問の一つであることを浮き彫りしました。 つまり、災害を未然に防ぐための手段ではなく、災害発生に対応するための予算確保の難しさです。サイバーセキュリティの専門家は、適切な仕事をしてサイバー攻撃を阻止していることを意識されることはほとんどありませんが、失敗した場合、それは誰の目にも明らかになってしまいます。 

"失敗しなければ認知してもらえないというのは辛い任務です"

もう 1 つの問題は、医療データが企業データとは異なっている点です。一般に、企業データは、比較的短期間保存され、その後は公開されるか破棄されます。一方、医療データは、いつまでもアクセス可能な状態で、安全性とプライバシーが確保され続ける必要があります。予算が限定されている状況では、これは途方もなく大きな課題であり、しかもようやくそのことが認識され始めたばかりです。 

私たちの医療データは、紛れもなく恐喝や、その他の攻撃の標的になり始めています。 この深刻な課題を解決するためには、さまざまなレベルで考え方の変革が必要です。 そして、決して一人だけで取り組める問題ではありません。 新たに出現し拡大しつつあるサイバー脅威をより深く理解し、あらゆるレベルで取り組む強い意志が必要になります。 

サイバーセキュリティの専門家の知識、知見、行動は、私たちが直面している問題を解決するうえで大きな役割を占めていますが、問題を解決するためには一緒に解決していくしかありません。 

"企業のEメールについて考えると、20年ほどで歴史的な資料になりますが、医療データは、いつまでもアクセス可能で、永遠に安全でなければなりません"

F-Secure Blog - Mikko Hypponenが語る Ransomware の進化

Article #2

2021 年のサイバーセキュリティ – CISO の視点

Teemu Mäkelä

Chief Information Security Officer, Elisa

私たちが使用しているネットワークやテクノロジーは、人間が管理するには、あまりにも複雑になりすぎてしまいました。考慮すべきイベント、システムが多すぎ、それらすべてがサイバーセキュリティにおける最大の脅威の1つであるヒューマンエラーにつながっています。脅威ランドスケープがすさまじいスピードで変化しているため、企業は追いつくのに精一杯です。セキュリティチームが一歩前進した時には、脅威の状況は既にその先に進んでいます。 

効果的なサイバーセキュリティ戦略を策定し、適切なテクノロジーを導入することは、 CISO の職務の重要な部分を占めていますが、それ以外にも大切なことがあります。それは、信頼の構築です。ゼロトラストは、組織をサイバー脅威から守る効果的な考え方ですが、信頼の構築は、一般社員から経営者に至るまで、サイバーセキュリティが習慣となる企業文化を形成するための鍵となります。 

信頼の構築

私のモットーは、社員、経営陣、パートナー、仲間との信頼関係を常に築くことです。 そして、この信頼関係は、コラボレーション、透明性、明確なコミュニケーションの上に築かれています。 

サイバーセキュリティの専門家として、同業者以外の人と話すときは、明確で理解しやすい内容にすることが大切です。 これは私の場合、経営陣に向けて話す内容が明確で理解しやすいものでなければならないことを意味しています。 経営陣から、サイバーセキュリティの現状と、今後の課題やリスクについて尋ねられた際、あなたの説明が経営陣に理解されなければ、あなたはセキュリティリーダーとしては失格の烙印を押されることになります。 経営陣に、あなたの説明が理解されていることを確認することこそがCISOの仕事なのです。明確なコミュニケーションが信頼を構築し、信頼こそが効果的なサイバーセキュリティの根幹を為すのです。 

CISOは、経営陣を知り、信頼を得て、彼らの考え方や優先事項を理解する必要があります。そして、説明を理解できていない人のサインを読み取ることも重要です。あなたの説明の途中にスマートフォンをいじり始めた人を見つけたら、話題を変えるべきです。 技術的な話や略語を多用するのではなく、金額的なインパクトやリスクについての話題に移ったほうがよいでしょう。 

サイバーセキュリティにおけるコンピテンシーのギャップは、私たちの業界の最大の課題の1つであり、2021年のCISOにとって最も差し迫った課題です。熟練したサイバーセキュリティの専門家を適正な人数確保できる能力は、運用レベルではもちろん重要ですが、効果はそれだけではありません。適切な人材をチーム内に配置できることは、信頼の構築に役立ち、セキュリティに対する従業員のコミットメントを高めることにつながります。

さらに、サイバーセキュリティを重視した企業文化の形成が、物事を成し遂げる鍵となります。「企業文化は戦略に勝る」という有名な言葉があります。素晴らしいサイバーセキュリティ戦略はいくらでも策定することができますが、企業文化がそれを活かすことができなければ、絵に描いた餅になってしまいます。

ゼロトラスト

コロナ過のデータ漏洩、データ侵害、リモートワークなどによって発生したセキュリティホールなどが組織や従業員に大惨事をもたらしている中、ゼロトラストは、 CISOが持っている武器の中で最も効果的なツールの1つです。 

アフターコロナの時代には、すべてのユーザーとエンドポイントが認証を必要とするゼロトラストやパスワードレス利用などのモデルへの移行が進むと思われます。エンドポイント保護はもちろん重要ですが、アイデンティティ保護の重要性はますます高まっています。組織のデータにあらゆる種類のデバイスを介してアクセスされています。あなたの仕事は、すべてのデータを安全に保つことです。

新しい働き方には、新しいセキュリティ対策が必要です。しかし、企業にとってパスワードは今後も最大の問題であり続けると私は考えています。企業は、ユーザーがどこからでも企業ネットワークにアクセスできることを可能にするアイデンティティ管理とアクセス管理ソリューションへの投資を強化し、厳格な集中型セキュリティを維持しながら対応することになるでしょう。

もはや、社内外のネットワークの区別はなくなりました。 そのため、様々なクラウドサービスを介したデータ漏洩が増え、攻撃者が組織への侵入手段としてサードパーティを利用した攻撃が増えることは明らかです。ゼロトラストは基本的に、こうしたインタラクションの中で発生するセキュリティギャップを検証することで、サードパーティからのリスクを最小限に抑えるための枠組みを確立します。組織内のセキュリティポリシーを統一し、外部ベンダーの不十分なセキュリティ対策によって生じる脆弱性を最小限に抑え込むことができます。

"CISOは、経営陣を知り、信頼を得て、考え方や優先事項を理解する必要があります"

2021年のCISOの行動計画トップ5

  1. 検知と対応 ネットワークがクラウドなどの環境に移行し、利害関係者のネットワークが拡大し、サードパーティが大きく関与するようになると、たとえ正当な利用者であったとしても異常行動を検知して対応できるかどうかが鍵となります。
  2. 防御 防御に対する綿密な戦略の策定は最優先事項であり、アイデンティティ管理やアクセス管理の役割は拡大しています。ポイントソリューションではなく、階層化されたアプローチに焦点を当てることが重要です。
  3. 自動化 - 将来の柱 脅威ランドスケープは常に進化し、セキュリティチームが単独では管理できないほどさまざまなことが起こっています。自動化できる作業はすべて自動化すべきです。 セキュリティチームの時間を解放し、もっと付加価値のある業務に集中できるようにする必要があります。
  4. 攻撃対象領域の管理技術 攻撃対象領域の規模に関わらず、インターネット上に存在すべきでないデバイスやホストを確実に排除することが重要です。また、ハニーポットのような脅威欺瞞技術を使用することも検討ください。攻撃対象領域管理と脅威欺瞞に関するソリューションは成熟しつつあり、目を見張るような取組みが見られます。
  5. 侵害と攻撃のシミュレーション技術 トレーニングや演習の実施は良いアイデアです。プロセスを自動化できれば、さらに効果的です。 導入中の技術だけでなく、プロセス全体をエンドツーエンドで継続的にテストすることが重要です。使用している技術の機能がSOC ( セキュリティ運用センター ) のアナリストに警告することができても、アナリストがその重要性を理解できずに何も行動を起こさなければその技術は役に立ちません。
"完璧なセキュリティを構築しようとしないでください。攻撃に強いシステムで適切なセキュリティを構築し、チームが攻撃を迅速に検知して対応できるようにしましょう"

Article #3

セキュリティギャップを技術で補うには

Anders Nilsson

Lead Security Architect, Atea 

2020年3月に新型コロナウイルス感染拡大し始めて以来、多くのことが変化しました。このウイルスが甚大な被害をもたらし、企業、医療インフラ、政府機関をはじめとした世界中の多くの人々を苦しめていることは誰の目にも明らかです。そして、サイバーセキュリティに携わっている私たちにとって、パンデミックによる最大の変化は、従来のセキュリティパラメータが完全に消滅したことです。 

組織がサイバー攻撃に適切に対応できるかは、テクノロジーとヒトの2 つの要素に依存します。 

リモートワークへの急激なシフトにより、誰もがオフィス以外の「どこか」で仕事をするようになりました。そして、組織は従業員がどこで仕事をしていても、この「どこか」を信頼しなければなりません。リモートワークへの移行、脅威ランドスケープが高度化する中、有能なセキュリティ専門家の不足等によって生じるセキュリティギャップを解消するため、ますますテクノロジーの活用が不可欠であることは明らかです。

組織の課題は、従業員の生産性を維持しながら、いかにして従業員を保護し、データを安全に保つことができるかということです。つまり、セキュリティはバックグラウンドで実行され、従業員のワークフローの一部として、自然で直感的に機能する必要があります。 

エンドポイントから始まるセキュリティチェーン全体に焦点を当てることが、これまで以上に重要になっています。そのためには、バリューチェーン全体をカバーするソリューションを提供できるセキュリティベンダーやパートナーの存在が不可欠です。

"テクノロジーの活用は、人が業務に集中するために必要な時間、可視性、知見を提供します"

2021年はXDRの年

CIOやセキュリティチームは、高度化する脅威ランドスケープに対処する必要があり、可視性を提供するテクノロジーはこれまで以上に重要になります。 

パンデミック時に見られた最大のシフトの1つは、XDR (クロスレイヤーでの検知と対応) とEDR (エンドポイントでの検知と対応) の必要性です。 サイバー脅威の高度化は、膨大な量の検知アラートの分析の必要性を意味しています。 機械学習とAIを活用して最も重要なタスクを選別する技術は、セキュリティチームを忙殺から守る鍵となります。 テクノロジーを有効に活用することで、チームメンバーは帰宅時に、「今日は10,000件ものアラートが発生したが、5件の優先事項に集中するとができた」と振り返ることができるようになります。 これは大きなメリットです。 

CIOが2021年に優先的に投資する領域を選ぶとしたら、それは可視性を提供するXDRの導入であるべきです。 XDRによってもたらされる可視性は、エンドポイントである従業員からもたらせれます。星が見えなければ、船の舵をどこに取れば良いか分かりません。夜空がクリアになれば安全な航海できるようになるのです。

"優れたセキュリティは、バックグラウンドで動作し企業が本業に集中できるようにするイネーブラーです。それができなければ、すべてが崩れ落ちてしまう可能性があります" 

マルチベンダー環境の見直し

リモートワークへの移行やITインフラの複雑化によって、企業のサイバーセキュリティ能力が低下し、セキュリティ担当者の疲労に伴うリスクはかつてないほどに高まっています。 セキュリティベンダーの数は大幅に増えており、マルチベンダー環境の管理が疲労の主要因になっています。 

CISOは、セキュリティチェーンを可視化できるトップレベルのベンダー数社に注力する重要性に気が付いています。常に「次の新しい技術」を求めるよりも、よく理解しているいくつかの包括的ツールに焦点を当てた方が良いでしょう。

従業員のサイバー疲労もまた大きな問題です。だからこそ、従業員のワークフローに自然に溶け込み、正しい行動ができるように導くシステムやソリューションの構築が重要なのです。そうしないと、セキュリティチームが認識していない、あるいは承認していないシステム、デバイス、ソフトウェア、アプリケーションを従業員が使用してしまうというシャドーITが発生してしまいます。

2021年以降、様々なクラウドソリューションサービスへの移行が進むと予想しています。従業員が業務に集中できるようにしながら、組織を安全に保つセキュリティツールを活用して、さまざまなユーザの多様なニーズをカバーする必要があります。

能力のギャップを補完

高度なスキルを備えたセキュリティの専門家を見つけることは困難です。幸運にもそのような人材を雇うことができたとしても、導入する対策はいくつかの優れたベンダーに絞り込むことが重要です。例えばテクノロジーを「フィッシングメールの識別」に集中させ、セキュリティの専門家の時間を、アーキテクチャへの価値を付加することに費やすることは理にかなっています。

企業は、セキュリティ製品の導入からセキュリティサービスの導入へシフトしており、2021年以降もこの傾向は続くでしょう。 組織が小規模であるほど、サービスを利用することでセキュリティ能力を強化することのメリットは明らかです。セキュリティサービスを信頼できるベンダーから導入できれば、時間を節約し、コストを削減し、セキュリティ態勢を大幅に強化することができます。 最も優れたサービスは、フォレンジック、追跡、攻撃を受けた場合の対応について合理的な判断に役立つ経験豊富な専門家のサポートも提供されます。

単にテクノロジーを販売するのではなく、バリューチェーン全体が顧客に提供されていること重要であり、その重要性はますます高くなります。技術だけを販売する時代は終わりました。なぜなら、人々は技術だけに関心を持っているわけではないからです。販売すべきは信頼です。これが、セキュリティベンダーが他社と差別化する大きな要素になります。

"組織がサイバー攻撃を受けている時、マニュアルを読みかえす余裕はありません。今何か起きていて、それを解決するために今やるべきことは何なのか、というアドバイスをしてくれるパートナーが必要です。"

2021 年にCISOが注力すべき2つのこと

2021年にCISO が注力すべき最初の点は、セキュリティの観点から実行可能で実用的なKPIを設定してくれるツールの導入を検討ください。

2点目は、啓蒙活動です。一般的な問題の発生原因は、人々の頭の中にあるファイアウォールが故障し、不正なものをクリックしてしまうことです。脅威の状況、利用可能なツールの使用方法、セキュリティ部門が実際の脅威や問題を特定するための支援方法について、ユーザーがより意識するための啓蒙が不可欠です。

F-Secure Elements Endpoint Detection and Response (EDR)

Article #4

脅威ランドスケープは進化し続ける - 定着するマルウェア、ランサムウェア、フィッシング、スパム攻撃

Calvin Gan

Senior Manager, Tactical Defense Unit, F-Secure

2020年3月、COVID-19が拡大した際、世界中がステイホームの世界に移行しました。それは、サイバー攻撃者にも当てはまります。 

パンデミックの発生後、企業と個人の両方を標的にしたオンライン資格情報に対するフィッシング攻撃が増加しました。 COVID-19をテーマにし、「緊急」と記されたEメールが大量に送信され、リモートデスクトップポートへの攻撃者のトラフィックが大幅に増加しました。従来のセキュリティ境界は消え去り、セキュリティチームとエンドユーザーは、その対応に負われることになりました。 

年が明けた2021年、CISOは非常に難しいバランスをとる局面を迎えています。サイバー攻撃の直接の標的になっていない組織であっても、サードパーティ製ソフトウェアや、Facebook、Googleなどを使用している限り、ほぼ確実に何らかの影響を受けざる得ません。重要なのことは、組織に大きなリスクを負わせたり、従業員の業務への支障をきたすことなく、どれだけのデータを手放すことができるかについての評価を実施することです。 

スパムとフィッシング

攻撃者は、絶えず最新のニュースを利用し、悪意のあるEメールの緊急性と緊密性を高め、ユーザーがクリックするように仕向けます。これは昨年のパンデミック中に顕著になりましたが、2021年も続くと思われます。

攻撃者がマルウェアを拡散させるために使用する最も一般的な手法はスパムメールです。スパムメールは、2019年には感染ベクターの43%を占めていましたが、2020年には51%にまでに高まりました。

パンデミック時に観測されたスパムの傾向は、パンデミック関連の「緊急」と題した情報を餌とするケース、添付ドキュメントを感染ベクターとして使用するケース、パスワード保護した悪意のある添付ファイルを使用したケース、悪意のあるコンテンツをホストするためのクラウドサービスの利用などがあり、この傾向は今後も継続する可能性が高いと考えられます。

スパムの増加に加えて、特に金融機関や情報を標的としたフィッシングが増加しています。また、過去3か月間に観測されたもう1つの大きなトレンドは、 Zoom、Microsoft 365、 Microsoft Teams、DocuSignなどのクラウドサービスを標的にしたフィッシングメールの観測です。攻撃者は、組織に侵入するための最初のステップとして、組織の資格情報を搾取します。 これを利用して、企業内部で動き回ることができるようになります。

感染ベクターとしてのEメールはますます増え、このトレンドは今後も続くものと思われます。感染ベクターにおけるEメールの割合は2019年に43%でしたが、2020年には51%にまで増加しています。

ランサムウェア

ほとんどの場合Eメールが攻撃者にとって最初の手段であるため、ランサムウェアは攻撃ランドスケープの最前線で使われるのではなく、攻撃の第2または第3段階で使われています。ランサムウェアは、Eメールを介して個人や企業に配布されており、受け取った社員の誰かが不正なリンクをクリックするか、悪意のある添付ファイルを開いた場合、攻撃者 (ほとんどが犯罪集団) に侵入される可能性があります。また、アクセスリクエストのEメールに対して、実際のアカウント所有者になりすまして返信するマルウェアによるEメールハイジャックも観測されています。 

ランサムウェアギャングたちは、世界中の何百万人もの人々の命を奪ったパンデミックに乗じることに気が咎めることはまったくありません。私たちは、病院や医療施設を標的とした攻撃も直接見てきました。これらの組織は患者のケアに忙殺されているため、医療活動を妨害する者には直ぐに屈服する可能性が高いことを攻撃者は見抜いています。

ソフトウェアの脆弱性を悪用する

リモートデスクトッププロトコルのポートは、攻撃の最も一般的な侵入口ですが、最近では、ソフトウェアの脆弱性を標的とした攻撃が増加し始めています。特にリモートワークへの移行で、セキュリティアップデートがほとんど行われていなかった新しいオンラインソフトウェアの利用が増加しているため、攻撃に対して脆弱になっており、この傾向は今後も続くと思われます。たとえば、Zoomはパンデミック発生前までは、定期的なセキュリティアップデートはリリースされていませんでした。 

ランサムウェアなどの攻撃が組織内で顕在化されるまでに、通常45~90日かかり、多大なコストと甚大な損害が発生します。しかし最近のマルウェアギャング集団の中には、24時間足らずで攻撃を展開するケースも観測されています。これは、最初に極めて強固な足場が築かれるため、最高レベルのアクセス権を即座に取得できることを物語っています。 

消費者を標的にするモバイルマルウェア

リモートワーク時代のセキュリティ上の最大の課題の1つは、デバイス、Eメール、ログイン認証情報の個人使用と業務使用の境界線が完全にあいまいになっているため、脅威アクターの侵入口がますます増加していることです。 

組織を標的とした攻撃の増加に加え、モバイルマルウェアを介して個人を直接標的にした攻撃も増加しています。リモートワークへの移行によって、モバイルアプリケーション、サードパーティ製ソフトウェア、さまざまなベンダーの製品を経由して組織に侵入する脅威アクターの急増が予想されます。

組織にとって欠かせないことは、テクノロジーの融合がもたらす深刻なセキュリティリスクを従業員に認識させ、すべてのデバイスで業務用途とプライベートでの使用を分離する方法を教育することです。

アクセスポイントを最小限に抑えてリスクを最小化する

あなたの会社のCEOが研究開発のシステムにアクセスする必要があると思いますか? アクセスポイントごとに、すべてのユーザーのアクセス権に対する検証プロセスが不可欠です。 

今日のニューノーマルによってリスクレベルが上昇しており、セキュリティ態勢の強化は、パンデミック以前よりも重要です。 今こそ、セキュリティチームがリスクを再評価し、防御戦略を再評価する時です。私たちは、ゼロトラストポリシーを推奨しています。誰も信頼せず、どのシステムも信頼しないということです。 

多くの組織では、適切なセンサーやログインを使用してファイアウォールのパラメータを保護することに長けていますが、アカウントへのアクセスに関しては疎かになっています。手始めに、組織内のアクセス権を検証し、アクセス権の設定を必要最小限に留めてください。検証の際は、すべての人とアクセスポイントの検証が実施されていることを確認ください。その対象にはCEOや他の経営幹部も含めてください。基本的な考え方は、すべてを許可するのではなく、すべてをブロックすることが有効です。 

結局のところ、攻撃されるかどうかの問題ではなく、いつ攻撃されるかの問題であることを理解すべきです。攻撃は、直接かも知れませんし、サードパーティを経由するかもしれません。CISOが直面する課題は、防御策が従業員のワークフローに与える影響を最小限に抑えながら、いかにセキュリティを最大限に高めるかということです。CISOは今年もこの微妙なバランスを取りつつ進まなければなりません。 

無料体験: F-Secure Elements for Microsoft 365

Article #5

時間の猶予のない脆弱なシステム

Tomi Tuominen

Global Technical Director,
F-Secure Consulting

最新の脅威から企業を守ることは 決して簡単なことではありませが、十分に対処は可能です。

ネットワークに接続されているコンピューターとデバイスで構成される攻撃対象領域を理解し、細心の注意を払うことが重要です。これらのシステムやデバイスには 攻撃者が悪用できる 古いソフトウェアが含まれていたり、脆弱性が含まれている可能性があります。 

数年前までは、脆弱なシステムへのパッチ適用には数週間かかることもありました。当時はそれでも良かったのですが、今は通用しません。脆弱性が検知されてから侵害されるまでの時間はどんどん短くなっています。攻撃者は自動化されたツールを使用して、脆弱なインスタンスを発見し、即座に侵害します。また、攻撃者の中には、このツールを改良して自分のスマホにプッシュ通知を 送るようにしている攻撃者もいます。さらに、人間が介入せずに侵害が自動的に行われることもあります。 

私は、近い将来、脆弱性の発覚から攻撃までの時間はさらに短くなると予測しています。それが自分の身に起きないようにするためには、何を知っておくべきでしょうか?

是非、私のビデオをご覧ください。