アジア太平洋地域のほとんどの企業は、2022年1月から10月の間に少なくとも1度はサイバー攻撃を経験しています。
最もよく使用される攻撃手段は相変わらずマルウェアですが、アジア太平洋地域の全企業の3分の1以上が、攻撃を受けた場合に備えたインシデント対応計画を策定していないことには驚かされます。こうした背景を考えると、重要データの喪失は、この地域のほとんどの企業にとって依然として最も深刻なサイバーセキュリティ課題です。
サイバー犯罪の大半は、間違い(Mistake)、設定ミス(Misconfiguration)、ずさんな管理(Mismanagement)という「3つのM」のいずれかに起因すると考えられます。よく言われるように、鎖の強さは最も弱い部分によって決まります。悪意のあるアクターは動きが速く、絶えず進化しており、たとえ最もセキュアなサイバーセキュリティ要塞であっても、3つのMによって生じる脆弱性を常に探しています。データの価値が高いほど、悪意のあるアクターには魅力的に映ります。
間違い:サイバー攻撃の背景にあるヒューマンエラー
間違いを犯すのは人間の常です。さまざまな研究者によると、過去10年間に東南アジアで発生したサイバー攻撃も、ほとんどはヒューマンエラーが原因でした。巧妙なソーシャルエンジニアリング攻撃は、ユーザーやテクニカルサポート担当者、サプライチェーンパートナー、ベンダーを、システムへの不正アクセスにつながるソーシャル操作手法にさらす可能性があります。
ヒューマンエラーとは、セキュリティ用語では、サイバーセキュリティ攻撃の発生または拡散につながる、従業員やユーザーの意図しない行動または不作為と定義されています。例えば、従業員になりすましたハッカーが、テクニカルサポート担当者が急いでいるときにパスワードをうっかり漏らすように言葉巧みに仕向けることがあり得ます。
不作為による過失が大規模なサイバー攻撃につながることもあります。2017年、米国の大手消費者信用調査会社のITチームは、システムの脆弱性に関する政府通達と自社の社内通達に基づいた行動をとりませんでした。結局、サイバー攻撃者が同社のシステムに不正に侵入して、アクセス可能な状態を丸2か月間維持し、米国の総人口の40%以上に相当する1億4,300万人の個人データ(クレジットカード情報を含む)が流出した可能性があります。
また、従業員を巧みに操ってマルウェアを添付したメールを開封させるスピアフィッシング攻撃も、ヒューマンエラーに起因するインシデントの一種です。このマルウェアは感染後、標的企業のシステムの間を次々と移動し、横方向に侵害範囲を広げていきます。
ヒューマンエラーを最小限に抑えるには
ヒューマンエラーによるインシデントを削減または排除するには、セキュリティポリシーを継続的に更新し、ポリシーの最新版を従業員に教え込むことが不可欠です。データを保護し、内部エラーを削減する一番の方法は、従業員にシステムやデータへの特権アクセスをケースバイケースで許可することです。つまり、常に作業の実行に必要なデータへのアクセスのみを許可します。
ネットワークの境界があいまいで、スタッフがクラウド内のリソースに頻繁にアクセスする現代のハイブリッドワーク環境では、IDとアクセスのみに基づいて信頼を確立するゼロトラストセキュリティ戦略の実施が不可欠です。
ゼロトラストセキュリティポリシーの実施に際しては、専門家の支援が非常に大切になります。これは、円滑な作業をサポートするだけでなく、各スタッフの作業環境を取り巻くセキュリティフレームワークの中でポリシーを明確化する必要があるからです。また、ゼロトラストポリシーを維持しながら、スタッフが各自の職務遂行に必要なすべてのリソースに常にアクセスできるようにすることも不可欠です。
設定ミスがシステム内にサイバー脅威を招く
ソフトウェアサブシステムまたはコンポーネントに存在する設定ミスは、企業をサイバー脅威にさらすもう1つのヒューマンファクターです。この種のエラーは、Web/アプリケーションサーバー、データベース、ネットワークサービス、カスタムコード、開発プラットフォーム/フレームワーク、仮想マシン、クラウドコンテナー、ストレージなど、アプリケーションスタックのあらゆるレベルで発生する可能性があります。設定ミスのほとんどは、システム管理者が得てしてアプリケーションやデバイスのデフォルト/標準設定を変更しないことに起因します。また、人の怠慢や見落としによって発生する場合もあります。
サイバー攻撃につながり得る設定ミスの例として、古いソフトウェアまたは不要な機能やサービスの実行、不適切なアクセス制御(リモートアクセス制御を含む)、パッチ適用の遅れ、ハードウェア保守不良などが挙げられます。Amazon CloudFormation、CloudTrail、S3のクラウド設定ミスに起因するサイバー攻撃もよく目にします。
Azureサービスでも同様に、ストレージアカウント、仮想マシン、ネットワークセキュリティグループなどの設定ミスが発生することがあります。また、IRC TCP、TFTP UDP、およびRDP/TCP 3389ポートに関する未使用または競合ファイアウォールルールを削除しないと、設定ミスに基づく攻撃の原因になる可能性があります。
設定ミスを回避するには不断の努力が鍵
設定ミスによるサイバー攻撃を回避するには、ソフトウェアを定期的かつ速やかに更新することが不可欠です。
ゼロトラストセキュリティまたは最小特権の原則は、業務に必要なリソースやデータのみへのアクセスをユーザーに許可することでサイバーセキュリティを強化します。クラウドの設定ミスは、不適切なアクセス制御によって発生することがよくあります。したがって、クラウドの設定ミスを最小限に抑えるには、クラウドの可視化とクラウドリソースの集中監視を徹底することが極めて重要です。
設定ミスによるサイバー脅威を緩和できるその他の対策として、脆弱性スキャン、サードパーティーのデフォルトクレデンシャルの変更、ログ管理の一元化などがあります。
クラウドはずさんなセキュリティ管理の可能性を高める
ずさんなセキュリティ管理に起因するサイバー攻撃は通常、ITセキュリティチームが受動的または事後対応的な戦略(ファイアウォールやマルウェア対策システムなど)のみを頼りに、サイバーセキュリティの課題に対処している場合に発生します。ハイブリッドワークによってクラウドサービスの導入が拡大した現在、そうした戦略では十分とは言えません。クラウド利用の急増に伴い、クラウドデータやクラウドセキュリティのずさんな管理も業界にはびこっています。
AWSやMicrosoft Azureなどのパブリッククラウドプラットフォームは高度なセキュリティを備えています。しかし、クラウドサービスの管理担当者はクラウドサービスを適切な方法で運用するためのスキルが不足していることが多く、データの完全性や可用性の低下やデータ漏えいにつながることも少なくありません。
マネージドサービスプロバイダーはどう役立つのか
現代のほとんどの企業にとって、事業活動におけるサイバーセキュリティ管理の複雑さに対処するための第一歩は、意識向上とトレーニングから始まります。企業は、自社のデータだけでなく顧客のデータも社内外のリスクから保護するセキュリティ文化を構築することが不可欠です。「ヒューマンファイアウォール」という用語は、人こそがサイバー脅威に対する防御の最前線であるこのアプローチを最もよく表しています。この継続的な取り組みでは、従業員にリスク環境や会社とその顧客を保護する上での各自の役割を教育して、警戒と責任の文化を育てる必要があります。マネージドサービスプロバイダーは、侵入を未然に防いで事業を保護する戦略を提供することにより、成熟したセキュリティプラクティスの構築を支援できます。また、リスクや脆弱性だけでなく、業務や規制コンプライアンス上の問題も特定し、対処するための知見を提供することもできます。詰まるところ、マネージドサービスプロバイダーをパートナーにすればセキュリティ投資の強化とプロアクティブなインシデント対応の確保につながります。さらに、強力なセキュリティ文化があれば、サイバーセキュリティチームのリソースの負担を減らして、複雑なセキュリティの課題に集中できるようにすることも可能です。