この記事では、2021年度の攻撃を振り返りながら、2022年度に発生するであろうサイバー攻撃を防ぐための方法についてご紹介致します。
はじめに
現代は、どのような規模、形態の企業でもサイバー犯罪の被害に遭う可能性があるといっても過言ではありません。政府機関、教育機関、医療機関、銀行、法律事務所、非営利団体など、さまざまな組織からサイバー攻撃を受けたという報告がされています。
また、サイバー犯罪は一種類ではなく、ハッカー、内部脅威、ランサムウェアなど、さまざまな危険性が同時に存在しています。
セキュリティ製品を開発・販売するメーカーも努力を重ねていますが、攻撃者は組織が守る機密データを窃取するための新しい方法を常に捜索し、発見しているため、脅威の検知はより困難になってきています。さらに、近年のリモートワークの普及、複数の従業員への特権アクセス付与により、特権を持つユーザーやリモートユーザーがインサイダー(内部不正)行為の上位に位置するようになっています。
アメリカの非営利団体Identity Theft Resource Centerの「2021 Data Breach Report」(英語のページ)によると、2021年のサイバー攻撃傾向は、「アカウントなどの認証情報を窃盗したり、大量のデータを悪用したりする時代」から「アカウントなどの認証情報に対する詐欺の時代」へと正式に移行した節目の年、と見ることができるそうです。
更に、情報漏洩の原因のうち、サイバー攻撃がトップ(1,862件中1,613件)を占めています。
データ漏洩やサイバー攻撃の増加が倍増している中で、組織はどのようにして機密データを保護すればよいのか。そして、組織がサイバーセキュリティに取り組む際に行うべき、最善の方法は何か。この記事では、これらの疑問を解決すべく、進めて参ります。
サイバーセキュリティ 15のベストプラクティス
このような疑問に対する答えを見つけ、サイバー攻撃を防ぐために役立つ、ITセキュリティのベストプラクティス・チェックリストをご紹介します。
サイバーセキュリティに対する意識の向上
一つ目のアドバイスは、従業員全員と効果的なコミュニケーションしながら、サイバーセキュリティが我々をどのように脅かす可能性を秘めているかを知らせ、その脅威を経験する方策を取るように、従業員を教育する手段です。
人を中心としたセキュリティ・アプローチを採用する
企業に所属している従業員は最大のセキュリティリスクにもなり得ますが、同様に、最強のセキュリティ対策になることも出来ます。
サイバー攻撃が日々報告される今日、技術面のアプローチだけでは万全なセキュリティを確保することはできません。なぜなら、攻撃者は従業員を始めとする「人」を侵入口にしようと狙っている事が多いからです。リスクを軽減するためには、技術面を意識しながらも人中心のアプローチを用いることが最善です。
人を中心としたセキュリティ対策を考える時、重要な境界線となるのは従業員自身となります。企業は、従業員にセキュリティ対策の導入、情報の取り扱い、デバイスの使用について、次のような意識をもって活動をしてもらう必要があります。
- 企業は、従業員を信頼していること
- 従業員自身が、使用している企業のデータに対するセキュリティに責任を持つこと
その上で、すべての従業員が企業のセキュリティ・ポリシーで推奨されるサイバーセキュリティの実践に従うことを保証する必要があります。ここでは、組織のサイバーセキュリティに人を中心としたアプローチを導入する方法について考えてみましょう。
まずは従業員が、セキュリティの維持における従業員の重要性と、従業員自身が企業にもたらす危険性を理解することが重要です。サイバー環境の防御を実現するためには、従業員の教育と監視の2つを考慮する必要があります。
従業員の過失のレベルを下げる
続いて、企業のセキュリティポリシーを守ることがなぜ重要で、サイバーセキュリティに繋がるのか、従業員に理解してもらう必要があります。
2022 Ponemon Cost of Insider Threats Global Report (英語のページ)によると、昨年、企業の内部データが侵害された問題の62%が、従業員のミスや過失によって引き起こされました。
従業員が起こすセキュリティ上のミスに対処する確実な方法は、サイバーセキュリティのルールを守ることがなぜ重要なのかを、従業員に伝え、教育することです。
- 自社が直面しているサイバー脅威と、それが収益に与える影響について伝え、認識を深めてもらう。
- コンピュータのセキュリティ対策(信頼できるアプリケーションのみをインストールすること・エンドポイントをマルウェアから保護すること)の重要性を説明する。
- 実際に起きたセキュリティ侵害の例とその結果、復旧プロセスの難しさ、かかる費用、期間を紹介する。
- 現在の会社のセキュリティ・システムについて、従業員から意見を求める(強固なセキュリティと効率的なワークフローをいかに両立させるか)。
例として、英国国立サイバーセキュリティセンターのページ(英語のWebページ)で、従業員のエンゲージメント(関係性)とトレーニングのステップに関する情報を見ることができます。また、英国政府の新しいサイバーセキュリティビジネスガイダンスはこちら(英語のWebページ)で確認できます。経済産業省のサイバーセキュリティ経営ガイドラインと各企業向けの更新情報はこちらからご確認頂けます。国や地域によって、要件や推奨事項が異なる場合がありますので、ご注意ください。
従業員をサイバー攻撃から防御する存在の一つとして企業内に周知し、セキュリティを意識させることで、過失やミスの事例を減らすことが期待できます。偶発的な行動によるデータ漏洩に対処するよりも、適切なトレーニングでサイバーセキュリティの最善の手法を従業員に教える方がはるかに効率が良いと言えます。
フィッシングの一般的な手口について従業員に周知する
ハッカーがばら撒く撒き餌を回避する方法を従業員に教えることも大切です。サイバー攻撃者は、従業員の認証情報を入手して組織のシステムをマルウェアに感染させたり、従業員の財務情報を取得するために、フィッシングの手法を用いることがあります。
Identity Theft Resource Centreのレポート(英語のWebページ)によると、2021年に最も多かったサイバー攻撃の種類はフィッシングとそのバリエーションのスミッシングやビジネスメール攻撃(BEC)でした。
スミッシング、またはSMSフィッシングは、テキストメッセージ(SMS)を通じてフィッシングサイトに繋がるリンクをモバイル端末に送信することです。このような方法で、攻撃者はクレジットカード番号や社会保障番号などの貴重な機密情報を集めようとします。
BEC(ビジネスメール攻撃)は、ハッカーがメールの受信者に企業、技術、データに関する秘密情報を開示させたり、被害者をだまして金銭を送らせようとする、巧妙な電子メール詐欺の一種です。主なターゲットは、電信送金を扱う従業員や海外の取引先です。
フィッシングに対する基本的な防御方法は非常にシンプルで、2つの重要なステップから構成されています。
- スパムフィルターを適切に設定し、スパムメールが常にブロックされるようにする。
- 一般的なフィッシングの手法と、それを見破る最善の方法について、従業員を教育する。
フィッシングに関する詳しい情報は、US-CERTのWebサイトをご覧ください。日本国内の情報は、フィッシング対策協議会のWebサイトに詳しい情報が掲載されています。
攻撃者は、フィッシングを用いて被害者を騙し、金銭や認証情報、クレジットカード情報などを得るために常に新しい方法を考案しています。巧妙なフィッシングには騙されてしまう被害者も出ているため、攻撃者の間で人気が高まっています。スパムフィルターを使用してフィッシング、スミッシング、BEC(ビジネスメール)攻撃を防ぎながら、スパムフィルタリングだけでは防ぎきれない現実を伝え、メール処理に対するセキュリティ意識を高める必要があります。
テクノロジーソリューションの中には、データ保護の取り組みに従業員を参加させることができるものもあります。例えば、弊社でもご案内している証跡管理製品「Ekran」では、重要なセッションを監視し、操作ごとに画像やテキストに保存されますので、悪意のある攻撃・活動があった際に報告に使用でき、その報告データは監査に使用することができます。また、「Ekran」には通知機能があり、定期的にアラートを出すことで、従業員への教育手段として活用することができます。
従業員向けにセキュリティ向上トレーニングを行う際は、フィッシング、マルウェア、リモートワークなど、企業のサイバーセキュリティリスクとして報告されている内容をカバーするようにすることが望ましいです。従業員の意識を高めるだけでなく、最小特権の原則に基づいた効果的なアクセス管理など、人を中心としたアプローチも必要です。
重要な資産へのアクセスを保護する
企業の中で最も重要なデータにアクセスできるのは何人か、その従業員はいつそれらの情報へアクセスできるのか、そしてどのような方法でアクセスできるのか。これらの質問に対する正確な答えがわからない場合は、最近の世界的な変化に対応するため、アクセス管理の方法を見直す必要があります。
リモートデバイスからのアクセス保護
種類に関わらず、ユーザーに対するアクセス管理を確実に行う。
あらゆる場所、あらゆるデバイスから行われる機密データへのアクセスを保護することは非常に重要です。リモートワーカーだけでなく、BYODデバイスを使用する従業員も、今日では組織のセキュリティにおいて重要な役割を担っています。
ビットグラスの2021年BYODセキュリティレポート[PDF]によると、2021年4月に調査した271組織のうち82%がBYOD(Bring Your Own Device)アプローチを積極的に導入しています。その一方で、セキュリティへの懸念はBYOD採用の上位障壁の一つとなっています。
COVID-19の大流行により、リモートアクセスに関わるリスクは急激に増加しました。しかし、正しいアプローチを行えば、リスクを回避することができます。
リモートデバイスからのアクセスを安全にするために、以下のような対策が求められています。
- 従業員へのセキュリティ教育により、「どこにいても企業の情報にアクセスができる」新しい働き方に紐づくリスクを軽減することができます。従業員には、自分のコンピューターへのログオンや企業情報へのアクセスを他の誰にも許可しないように指導する必要があります。そして、従業員には自分の職場をサイバー攻撃の脅威に晒すことなく安全に保つことの重要性を伝え、不要な時には企業へのネットワークアクセスを停止することで安全を保つことが出来ることを理解してもらう必要があります。
- 自由度が増した従業員の行動を監視し、従業員がどこにいても重要な情報資産への安全なアクセスを確保する、包括的な技術的ソリューションを持つことが不可欠です。また、遠隔地の従業員のためにVPNサービスを有効にすることも選択肢の一つです。その際、VPNサービスの中には安全でないものもあるので、注意が必要です。
従業員が社内の端末で仕事をしているのか、自宅で仕事をしているのか、自分のデバイスを社内に持ち込んでいるのかといったシーンは関係なく、悪意のある攻撃や過失を防ぐために、従業員のすべてのセッションを完全に可視化する必要があります。
最新のテクノロジーは従業員の行動を可視化出来ますが、それでも従業員のセキュリティトレーニングも忘れてはいけません。
パスワードの安全な取り扱い
特権アカウントは、機密データや貴重なビジネス情報へのアクセスを試みるサイバー犯罪者にとっては、宝石のように高価なものです。そのため、特権アクセス管理(PAM)に関連するパスワード管理は、企業のセキュリティの中で重要な要素です。
発生した過去最大のパスワード流出といえば、2021年に起こった32億7000万件の流出でしょう。オンラインハッキングフォーラムであるCompilation of Many Breachesに、32億7000万件のクレデンシャルペア(認証情報/アカウントとパスワードのペア)が掲載されました。このオープンデータベースには、Yahoo、Gmail、Hotmail、Netflix、Bitcoin、LinkedIn、Exploit.inなど、過去の多くの情報流出から得たパスワードが含まれています。Compilation of Many Breachesで発生したこの大規模な流出は、パスワード管理と定期的なパスワードの変更の重要性を示しています。
適切なセキュリティを確保するためには、パスワードマネージャーやPAMソリューションなどの専門ツールを使用する事が一番です。これらのソリューションは、権限のないユーザーが特権アカウントにアクセスすることを防ぐと同時に、従業員のパスワード管理を簡素化することができます。
ここでは、従業員のパスワード要件を作成する際に考慮すべき主なヒントを紹介します。
- 1つのアカウントには1つのパスワードを使用する。
- ランダムな文字の短い文字列ではなく、覚えやすいフレーズを使用する。
- 長いパスワードを記憶するために、ニーモニックやその他の方法を使用する。
- どんなに便利でも、お互いに認証情報を共有しない。
- パスワードは一定期間経過後に変更する。
全米サイバーセキュリティ通信統合センター (NCCIC)は、強力なパスワードの選択と保護に関する一連のサイバーセキュリティの推奨事項(英語のページ)を作成しました。
企業のセキュリティの観点から見る特権アクセス管理は、特権ユーザーのアクセスを保護し、セッションを監視します。併せてパスワードの自動ローテーションを可能にし、結果的に資格情報を使った作業を簡素化する包括的な方法といえます。
最小特権の原則の使用
データにアクセスできるユーザーの数が多い、という状況には注意してください。
新入社員にデフォルトですべての権限を与えると、自分の業務に必要でない場合でも機密データにアクセスできてしまいます。このようなアクセス権限の管理は内部脅威のリスクを高め、従業員のアカウントが1つでも侵害されるとすぐにハッカーが機密データにアクセスできるようになってしまいます。
Verizonによる「2021 Data Breach Investigations Report(2021年データ漏洩調査報告書)」によると、「手軽な特権の付与」はデータ侵害の主要な原因となっています。
より良い解決策は、最小特権の原則(POLP)を使用することです。
つまり、新入社員や中途入社の社員用に作成するアカウントにはできるだけ少ない権利を割り当てておき、承認や配属された部署に応じて特権を昇格させる方法です。そして、異動や退職等、アカウントを与えた社員が機密データへアクセスする必要がなくなったら、その社員に紐づいたアカウントが持つすべての特権をすぐに停止します。
しかし、多くの従業員を管理する大企業では、恒常的な権限管理は難しく、対応に時間がかかる場合があります。そういった場合は、アクセス管理ソリューションの運用でカバーが出来ます。
特権管理が手動、文書上での管理に留まっている、といった管理体制に不安が残る場合は、EkranのPAMソリューションが役立ちます。例えば、重要な情報が入っている端末に特権でアクセスする日付、時間に対してのみ、機密データへの特権的アクセスを提供することが可能です。また、昇格した権利を管理し、アクセス認証外の時間帯に特権ユーザーでログインを希望する場合には、管理者へ許可申請を実施させることが出来ます。
最小特権の原則は、社員のアカウントに持たせる信頼を大幅に減らすことで、インサイダー脅威のリスク低減を目的としている点で、ゼロトラストのモデルに似ています。ゼロトラストは、システム内ですでに認証・検証されたユーザーとデバイスにのみアクセスを許可することを言います。
まとめると、これら3つのアプローチを併用、または入れ替えながら使用することで、常に組織の中で必要な従業員のみに特権アクセス権を与えることができるようになります。
重要なシステムへのアクセスを保護するということは、「誰が、いつ、どのような理由でアクセスしようと考えているのかを把握すること」です。
また、アカウントにパスワードを作成するという原則を従業員が遵守することは、とても重要な事ですが、Ekranの持つアクセス管理ソリューションを使用すれば、自動的にパスワードを処理し、より重要な企業リソースへのアクセスを保護することができます。従業員がパスワードを覚えておく必要がなく、決められた日時にのみアクセスし、そのアクセスは画像で記録されているため、情報漏洩のリスクが低下します。併せて、クラウド上のすべてのユーザーアクションを可視化することも可能です。
そして、最小特権の原則を適用して、特権を持つユーザーとサードパーティーベンダーの行動に目を光らせる必要があります。次のセクションでは、これらとその他のデータ保護方法について説明しましょう。
データを守る
企業が持つデータの安全性を確保するためには、定期的なバックアップと、機密を保管した領域に接続したすべてのユーザーの行動を綿密に監視し、異常な活動を確認した際はアラートとレポート記録によって対応する必要があります。これにより、データの盗難、データ漏洩データ消去といったリスクを軽減することができます。
特権ユーザーから目を離さない監視体制
悪意を持った従業員が特権アクセス権を持っている場合、企業の機密データを盗むために必要なあらゆる手段を使いながらも自身の暗躍を隠し、管理者に気づかれることなく行動をしています。また、悪意を持って行動しているわけではなくても、操作の中で意図せず情報漏洩を引き起こしたり、ハッカーに特権アカウントの情報を盗まれて侵入されたりすることがあるのです。
このようなリスクを、4つの簡単なステップで、抑えることができます。
Cybersecurity Insidersによる「2021 Insider Threat Report」(英語のページ)によると、多くの組織が特権アカウントに対して、他のアカウント(調査対象組織の61%)や、アプリケーション、デバイス、ドキュメントよりも詳細に監視していることが報告されています。
特権アカウントに関連するリスクを最小限に抑えるにはどうすればよいのでしょうか。シンプルで効率的なステップをいくつかご紹介します。
つまり、機密データにアクセスできる特権を持ったユーザーやアカウントを管理し、その一方では脅威対策によってその活動を監視することが極めて重要なのです
第三者によるデータへのアクセスを監視する
目的:誰が何のためにネットワークに接続しているのか、正確に把握する。
第三者行為者(ベンダー、パートナー、請負業者)は、組織のリソースにアクセスできるユーザーであり、サプライチェーン攻撃で簡単に犠牲者になり得る存在です。ITRCのレポートによると、サプライチェーン攻撃を受けたサードパーティによって影響を受けた組織の数は、2017年からほぼ5倍に増加しました。
攻撃を受けたパートナー企業のアクセス侵害から機密データを保護するために必要な手段は、サードパーティの活動も監視することです。関連企業に所属するユーザーの行動を監視・記録することで、すべてのユーザーの行動を記録に残し、悪意のある行動を検出し、必要に応じて監査や調査を実施することができます。
サードパーティによるアクセスは、インサイダー攻撃のリスクを高めるだけでなく、マルウェアやハッカーがシステムに侵入する道を開くことにもつながる可能性があります。サードパーティによるアクセスを管理し、本当に必要な領域のみに制限することが必要です。
サードパーティへのアクセス制限と活動の監視を行うことで、サイバー環境におけるサプライチェーン攻撃、ハッカー、マルウェアのリスクを大幅に低減することができます。
機密データのバックアップ
目的:定期的にバックアップを取ることで、データの安全性を確保する。
ランサムウェアの出現により、バックアップデータは命の綱です。特に、最新かつ、差分ではないフルバックアップのデータは重要と言えます。データをバックアップすることは、情報セキュリティのベストプラクティスの一つであり、近年その重要性が増しています。
ランサムウェアは、2021年に行われたサイバー攻撃の中でフィッシングに次いで2位の出現率を占めました。2022年に入ってもランサムウェアは増加の一途をたどっており、フィッシングを用いた攻撃数を上回る可能性が高まっています。ランサムウェアを用いた攻撃数は、過去2年間、それぞれで2倍の増加率となっています。ランサムウェア攻撃では、感染した端末のデータが暗号化される上に、ランサムウェアはNW上の端末へ広がっていきます。そのため、ランサムウェアに感染してしまったユーザーは、身代金の支払いと引き換えに暗号化の解除鍵を手に入れるまで、データにアクセスすることができなくなります。しかも、データが正常に開錠される保証はありません。
ランサムウェアの話題を別にしても、データが1つの場所にしか保存されていない場合、データの損失のリスクは避けられません。機器の故障、攻撃者によるクラウドストレージへの侵入、誤操作による削除など、様々な要因でデータ損失が発生する可能性があります。
では、バックアップはどのように対処すればよいのでしょうか。
バックアップ環境は徹底的に保護され、バックアップデータは暗号化され、ハードウェア、OS、ソフトウェアが頻繁に更新されることを確認することが大切です。また、内部脅威を軽減するために、バックアップ業務を複数の従業員に分担させることも大切です。
強力なバックアップ戦略は、アクシデントに強いということと同義です。オンライン・バックアップのみの運用を避け、本番環境とバックアップに同じパスワードを使用しないようにし、セキュリティを強化します。その代わり、オフラインのエンドポイントに取得したバックアップを保存し、バックアップデータにアクセスできる特権については、アクセス管理を実施します。
アメリカの企業であるTechTargetは、データバックアップ戦略の策定に関する包括的なガイドを提供しています。また、FBIによるランサムウェアの防御に関するプレスリリース(英語のページ)や、CISAから発信されている休日や週末におけるランサムウェアへの注意喚起(英語のページ)が参考になります。日本では、警視庁が公開しているランサムウェア被害防止対策や、内閣サイバーセキュリティセンター(NISC)が公開している情報サイトで情報を得ることができます。
安全、かつ定期的なバックアップを行うことで、万が一攻撃者によるサイバー攻撃や内部不正が発覚した際も、ビジネスの復旧を妨げられる可能性が大きく軽減されます。
第一に、定期的なデータバックアップを実施すること。第二に、組織のデータは毎日何十人、何百人もの社員やパートナーに使われており、彼らは皆、ただの人間であることを常に念頭に置くことが大切です。Ekranによるサードパーティの操作画像記録機能と、特権ユーザーのアクセス制限を使用することで、行動を制御するプロセスを簡素化することができます。更に、Ekranで取得したログを信頼できる機関へ送り、人の手で詳細な行動分析を行い、アラートを出すEkranIRIも有効です。
監視技術に求められているものは、オンライン、オフラインに関わらず従業員の持つアカウントと特権ユーザーアカウントをカバーし、定期的な監査につなげることです。監査や組織のサイバーセキュリティを強化するため、その他の重要なヒントについては、次のセクションで詳しく説明します。
強固なサイバーセキュリティポリシーと保護されたネットワークの構築
近年、複数のデバイス、アプリケーション、サーバー運用が組織内で行われ、インフラやネットワーク構成が複雑化するケースが発生しています。サイバーセキュリティポリシーと、サイバー環境を構築・改善する時期が来ているといえましょう。
階層的なサイバーセキュリティポリシーを形成する
明文化されたポリシーは、社内に適用されるべきサイバーセキュリティポリシーの正式なマニュアルとして機能します。その結果、セキュリティの専門家が期待する行動を従業員が理解し、同じ見識を持つことができます。そしてデータを保護するためのルールを守るべきこととして社内に展開することが出来ます。
しかしながら、各部門の業務フローは独特であり、不必要なサイバーセキュリティポリシーや対策を提示してしまえば、容易に混乱が生じます。
次に、組織の下で一元化されたセキュリティポリシーは、会社全体の基本的なガイドラインとして有益ですが、すべての部門のすべてのプロセスをカバーするものにはなりません。その代わりに、元となるポリシーに基づいて各部門が独自のセキュリティポリシーを作成できるように促しましょう。
このようにセキュリティポリシーを階層的に定めることには、多くのメリットがあります。各部門のニーズを考慮したポリシーを構築することで、セキュリティポリシーが原因で各部門のワークフローと、得られる筈の利益を損なわずに済むからです。
IoTのセキュリティを管理し、企業ネットワークを保護する
IoTは年を追うごとに企業へも、家庭へも普及し続けています。
IoTデバイスに対するセキュリティにおいて最も困難なことは、IoTが持つ機密情報へのアクセス権を制限することです。これらのデバイスを適切に管理するために、IoTネットワークセキュリティの方策実施を検討してください。
Markets and Markets社(英語のページ)では、IoT(Internet of Things)市場が2021年の約3840億ドルから2027年には約5670億ドルに成長すると予測しています。とはいえ、新しい技術を導入したいと考えても、そこには常にセキュリティとの兼ね合いが発生します。
防犯カメラ、インターフォン、スマートロック、暖房器具、オフィス機器など、ビジネスネットワーク内にある小さな部品はすべて、サイバー攻撃を媒介する存在と言えます。例えば、プリンターが危険にさらされると、攻撃者に印刷やスキャン中のすべての文書を閲覧される可能性があります。
ここでは、データの安全性を確保するために企業が行うべきセキュリティの手法をいくつか紹介します。
- 侵入テストを実施し、デバイスに侵入される真のリスクを理解し、それに応じてセキュリティ戦略を計画する
- データの保存と転送の両方を暗号化する(E2E暗号化)
- 信頼できる接続のみを許可するため、適切な認証を確保
- デフォルトやインターネット上に書かれているようなパスワード例を認証情報に使用しない
- 安全かつ新しいルーターを購入し、ファイアウォールを有効にする
- すべての IoT 導入をサポートするために、拡張性のあるセキュリティフレームワークを開発する
- エンドポイントセキュリティソリューションの導入を検討する
これらのルールを導入して、企業やIoTのネットワークを保護し、攻撃者や意図しない外部からの侵入を防ぎましょう。
定期的なサイバーセキュリティ監査の実施
目的:常にサイバーセキュリティの現状を把握する
従業員、特権ユーザー、サードパーティベンダーが見せたおかしな行動や動きをタイムリーに分析することは、突発的なインシデントに適時対処するための鍵になります。ここでは、なぜ監査証跡が必要なのかを説明します。
監査の質は、監査ログ、セッション記録、メタデータなど、さまざまな方法で収集したデータやさまざまなソースから見つけたデータの完全性によって決まります。
Cybersecurity InsidersのInsider Threat Report(英語のページ)で報告された2021年の調査によると、組織はユーザー行動に関するデータの最大40%をサーバーログから得ています。また、User and Entity Behavior Analytics(UEBA/ユーザとエンティティの行動分析)により、さらに30%のデータを取得しています。
詳細なセキュリティログとして、エンドユーザーと特権ユーザーの活動に関する情報(アクティビティのメタデータ、スクリーンショット、その他の詳細)が必要です。これらの情報は、セキュリティ・インシデントの根本原因の分析や、サイバーセキュリティの弱点の特定に役立ちます。
特定の種類のアクション、インシデント、ユーザーなどに対応して作成される自動レポートは、監査の大幅なスピードアップと簡素化に貢献します。
技術インフラの簡素化
サイバーセキュリティツールが多すぎると、今度は脅威の検出が困難になります。
組織のサイバーセキュリティに関するサーバーやアプリケーション群は、セキュリティ脅威の進化によって見直しが行われると、新たな対策製品が追加されることがあります。すると、少しずつインフラが増加し、管理が煩雑になります。その結果、データ侵害のリスクが高まってしまいます。そのため、セキュリティツールはできるだけシンプルで、異なるソリューションに分割されていないものを選択したほうが安全です。
複数の専用セキュリティ・ツールを導入した場合、いくつかのデメリットが考えられます。
- 複雑なインフラストラクチャ、多くのソリューションとなるため、管理にはコストがかかる可能性がある
- セキュリティ管理が複雑になり、管理を行う技術担当の負荷が高まる可能性がある
- リソースを必要とするセキュリティソフトウェアが複数稼働していると、業務の円滑な履行に必要な他のプログラムのリソースを奪う可能性がある
市場に展開されているITシステムの中には、一見シンプルに見えても、実際の動作は複雑であるものが存在します。これらのデメリットを避けるため、必要な機能を包括的に備えたソリューションの導入を検討してみてください。そうすれば、セキュリティ・インフラストラクチャをシンプルかつ合理的に管理・運用することができます。
サイバーセキュリティ・テクノロジー・ソリューションは、その方がずっと良いものになるでしょう。
コスト削減し、応答時間を高速化したい場合は、アクティビティの監視、脅威の検出と防止、分析、アクセス管理など、必要なすべてのツールが統合されたソリューションであることを確認して導入検証を行う必要があります。
セキュリティツールとイベントログ集中管理(SIEM)機能が統合されたソフトウェアを導入するのも良い選択肢の一つです。SIEM 機能を使用すると、すべてのセキュリティに関連するデータを 1 か所に集め、サイバーセキュリティの全体像を把握することができます。
このように技術インフラを簡素化することで、組織内のネットワーク環境も適正化します。セキュリティツールが不正行為に気づくためには、リアルタイムのインシデントレスポンスを受け、即座に監査に入ることが重要です。バックアップやセキュリティツールの管理に関するリスク管理の取り組みがなければ、階層的なサイバーセキュリティポリシーは不完全なものとなります。これまでのヒントをどうか忘れないでください。
ここからは、UEBA(User and Entity Behavior Analytics/ユーザとエンティティの行動分析)についてご紹介します。UEBAはユーザー行動監査と生体認証セキュリティの両方に対応することができます。UEBAやその他のツールがどのように機能し、アクセスを保護するかを紹介します。
効率的なID管理でアクセスを保護
ユーザーのログインアカウントを始めとする認証情報を保護するには、パスワードの安全性を確認するだけでなく、多要素認証や生体認証を実装する必要があります。また、適切な権限を持つユーザーのみが重要な資産にアクセスできるようにアクセス管理を行うことも重要です。
バイオメトリクス・セキュリティの採用
バイオメトリクス(眼球の虹彩や声紋など、個人が持つ身体的特徴、生体認証)を活用した認証方式は、迅速な認証作業、安全なアクセス管理、正確な従業員監視を実現します。
音声認識、指紋、静脈等のバイオメトリクス、顔認識、歩行分析などは、ユーザーが本人であるかどうかを確認するための重要な情報となります。情報資産へのアクセスを提供する前にユーザーの身元を確実に確認することは、セキュリティに携わるビジネスにとって不可欠な認証手法となってきています。
バイオメトリクスは、パスワードやSMS認証よりも信頼性の高い認証を提供します。そのため、バイオメトリクスはすでに多要素認証に不可欠な要素となっています。
バイオメトリクスの用途は認証だけではありません。セキュリティ担当者は、バイオメトリクスを活用したさまざまなツールにより、危険にさらされた特権アカウントをリアルタイムで検出することができるのです。
行動バイオメトリクスは、ユーザーが入力デバイスをどのように操作しているかを分析します。端末の持ち方、入力の速さなどから作成された行動パターンと異なる異常行動が検出されると、ツールからセキュリティ担当者に警告が送られ、直ちに対応することができます。
以下に、UEBAシステムで採用される行動バイオメトリクスの種類を紹介します。
- キーストローク動態 – タイピング速度や特定の単語で典型的なミスをする傾向などを考慮し、ユーザーの行動プロファイルを作成
- マウスダイナミクス – クリック間の時間、カーソルの動きのスピード、リズム、スタイルを追跡
- 眼球運動バイオメトリクス – 視線追跡装置を使って目の動きを動画で記録し、独自のパターンを検出
Techsci Research 2021 Report(英語のページ)によると、2020年の世界のバイオメトリクス市場は330億ドル以上と評価されています。2026年には840億ドル以上に成長すると予測されています。そして、「Research Dive Global Forecast, 2021-2028」(英語のページ/ダウンロード時に個人情報入力あり)によると、2028年には1050億ドルを突破すると予想されています。
今後はバイオメトリクス・セキュリティ技術に関連したニュースが続くと考えられます。組織のユースケースに最適なものを選んでください。
多要素認証の利用
高度なセキュリティ戦略には、多要素認証(以下、MFA)が欠かせません。
MFAは、たとえ悪意のある攻撃者があなたのパスワードを知り得たとしても、第2、第3の「認証要素」が必要となる仕組みです。認証要素には、セキュリティ・トークン、携帯電話、指紋、音声などがあります。多要素認証を行うことで、パスワードを盗まれてなりすましをログインをされるリスクの回避に役立ちます。
MFAは基本的な認証機能ではありますが、サイバーセキュリティにおける有効な手段の1つに数えられています。その効果は絶大で、GoogleやTwitterのような技術大手は、ユーザーにMFAの採用を促しています。また、マイクロソフトのセキュリティ・マネージャーの一人は、多要素認証の使用は、アカウントがハッキングの試みから99.9%以上保護されることと同義だと述べています。
さらに、MFAを利用することで、共有アカウントのユーザーを明確に区別することができ、アクセス制御の能力が向上するというメリットもあります。EkranでMFAを確保するだけでなく、共有アカウントや組み込みアカウントに二次認証を要求することで、目的に応じたアクセス権限の制御を行うことができます。
特に大企業においては、今日のハッキング技術の進化を見るに、ユーザー認証を1つだけにしておく事はお勧めできません。あらゆる手段で安全な認証を確保することをお勧めします。
Ekranでデータセキュリティのベストプラクティスを実践する
上述したデータセキュリティのベストプラクティスは、組織の持つ重要なデータとブランドイメージを守る事に役立ちます。しかし、それらをまとめて実施することは、また別の課題です。
Ekranは、上記の優れたサイバーセキュリティ対策の多くをカバーする、堅牢なインサイダー脅威対策ソリューションを提供しています。Ekranの持つ幅広い機能には、広範な監視機能、対応ツール、アクセス制御ソリューションが含まれます。
また、Ekranは世界中にあるサイバーセキュリティに関する法律や規制の遵守をサポートすることができます。
1つの軽量なソリューションにこれだけの機能があれば、セキュリティギャップを解消し、2022年に上記のベストプラクティスの多くを実施することができます。
まとめ
ここまでお読みいただいた皆様は既にお分かりのように、情報セキュリティに関する推奨事項は相互に関連し合っています。
サイバーセキュリティポリシーや従業員向けガイドラインの内容は組織の環境によって異なりますが、Ekranは、必要な監視・監査、パスワード管理、インシデント警告、対応ツールなど、セキュリティ強化に役立つツールの多くを提供します。1つのソフトウェアで企業向けの最新のサイバーセキュリティのベストプラクティスを実施することができるのです。
この記事は、Ekran System社のブログ「15 Cybersecurity Best Practices to Prevent Cyber Attacks in 2022」を意訳したものです。
以上で、今回の記事を終わります。