サイバーセキュリティの「基本」は意外と“ムズい” 何からやるべきか：Cybersecurity Dive

基本的なサイバーセキュリティ対策を怠った結果、情報漏えいやサイバー攻撃の被害に遭うケースが後を絶たない。しかし、セキュリティの「基本」は思っているより難しいようだ。

[Matt Kapko，Cybersecurity Dive]

　サイバーセキュリティの「基本」は、結局のところ「基本」という一言で示せるほど簡単ではない。

　サイバーセキュリティの専門家によると、アイデンティティーやアクセス管理、多要素認証（MFA）、メモリ安全性に優れた言語、パッチ適用、脆弱（ぜいじゃく）性管理といった基本的な防御策が社会全体で欠けているという（注1）（注2）。

なぜ基本的なセキュリティ対策に着手できないのか？

　サイバーセキュリティ企業Arctic WolfのCISO（最高情報セキュリティ責任者）であるアダム・マーレ氏は「Black Hat」におけるインタビューで次のように述べた。

　「単純な話だ。毎年情報漏えいの報告があり、ほとんどの攻撃はシステムにパッチを適用していなかったり、認証情報を適切に管理していなかったりするために発生している」

　アプリケーションやサービスの過剰供給はフィッシングに強いMFAやアイデンティティー保護を実装するための取り組みを複雑にしている（注3）。調査会社のForresterが実施した2022年の調査によると、大規模なビジネスは平均で367のソフトウェアとシステムを使用しているという（注4）。

　サイバーセキュリティ企業Reliaquestのバイスプレジデント兼CISOであるリック・ホーランド氏は「これは航空会社の整備士が飛行中の飛行機のエンジンを修理するようなものだ」と話す。

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）による2022年度の年次リスクおよび脆弱性評価で調査された攻撃の半数以上は（注5）、正当な認証情報の侵害を原因とするものだった。

　ホーランド氏は「重要なアプリケーションを特定し、組織全体でそれらのサービスに適切なアクセス権を割り当てることには課題がある。私たちはしばしば技術面にばかり焦点を当て、人材やプロセスには目を向けていない」と指摘する。

　アイデンティティー保護の強化が急務であることは広く認識されているが、多くのCISOは「MFAを適切に導入するには18カ月以上かかる可能性がある」と予想する。MFAの導入も依然としてサイロ化しているのだ。

　Microsoftでアイデンティティーセキュリティに関する業務を担当するバイスプレジデントのアレックス・ワイナート氏は、2023年初めのブログ投稿で「2022年が終わろうとしている現在、Microsoftのユーザーの28％しかMFAを有効にしていない（注6）。そして侵害されたアカウントの99.9％以上はMFAを有効にしていなかった」と語った。

　セキュリティ管理の甘さによって重大な被害またはそのリスクが高まる。基本的な対策が講じられていない場合、何度も同じ問題が発生する。

　CISAのシニア・テクニカルアドバイザーであるジャック・ケーブル氏は、Black Hatにおけるプレゼンテーションの中で次のように述べた。

　「今日のメモリ安全性の低い言語による脆弱性の3分の2は、メモリ安全性に関する脆弱性によって引き起こされている」

　情報漏えいの王とも言えるフィッシングは、2022年においてもセキュリティインシデントの最初のアクセス経路であり（注7）、IBM Security X-Forceの年次脅威インテリジェンスレポートで調査された全てのインシデントの5分の2以上を占めていた。

何もしないより、少しでも進歩した方が良い

　サイバーセキュリティは設計上、紙一重の差で成功と失敗が分かれるものではなく、必要な対処をしているかどうかによって結果が変わるものだ。「全ての問題を一度に解決することは困難だ」（ホーランド氏）

　そのため組織は、それが小さな一歩であっても進歩を止めてはならない。

　Amazon Web Services（AWS）のCISO室でディレクターを務めるマーク・ライランド氏は、Black Hatで『Cybersecurity Dive』に対して「良い状態に満足せず、最善を目指してほしい。人々は当然こう言うだろう。『フィッシングに強いMFAを使うべきだ』『古いMFAトークンは使うべきではない』。私はこれに完全に同意するが、何も対策を講じないよりは古いMFAトークンであっても使用すべきだと考える。なぜなら、MFAが全く存在しない状態よりもはるかに安全だからだ」と語る。

　これらの進歩のためにも習慣を変えなければならない。

　「私たちはまだ、サイバーセキュリティをドアの鍵や車のシートベルトのような当然のものとして捉える段階には至っていない。しかし、そこに到達する必要がある」とマーレ氏は述べた。

基本的な対策を講じることが大きな利益をもたらす

　基本的な対策の不足という落とし穴に起因する攻撃の広がりは、不十分なアイデンティティー保護に関する集団的なマインドシフトの必要性を強調している。

　サイバーセキュリティ企業CrowdStrikeにおけるCounter Adversary Operationsの責任者であるアダム・マイヤーズ氏は、Cybersecurity Diveに対して次のように語った。

　「攻撃者はアイデンティティー管理において空白となっている場所を見つけた。今こそアイデンティティーのセキュリティについて真剣に考えなければならない。アイデンティティーの使用から逃れられない以上、現実から目を背けて侵害や漏えいが自分に起こらないように願うことに意味はないのだ」

　マイヤーズ氏によると、認証情報の盗難や販売、漏えいのためのアンダーグランウドのエコシステムが発達しているという。

　防御者は自社の弱点を知っている。組織と脅威担当者は日常的に、攻撃者による侵入を基本的なセキュリティコントロールの失敗と関連付けている。

　「私たちは何をすべきか知っている。基本的な対策を適切に実行することはあなたをさまざまな脅威から守る。犯罪者や低レベルのハッカー、そして国家による攻撃から身を守れる」とマーレ氏は述べた。

（注1）Multifactor authentication is not all it’s cracked up to be（Cybersecurity Dive）
（注2）White House wants input on open source security, memory-safe languages（Cybersecurity Dive）
（注3）What is phishing-resistant multifactor authentication? It’s complicated.（Cybersecurity Dive）
（注4）Companies wade through 367 apps to get work done（CIO Dive）
（注5）Valid account credentials are behind most cyber intrusions, CISA finds（Cybersecurity Dive）
（注6）2023 identity security trends and solutions from Microsoft（Microsoft）
（注7）Phishing, king of compromise, remains top initial access vector（Cybersecurity Dive）

原文へのリンク