管理の必要な3つのテクノロジーとプロセスのセキュリティリスク
現在、企業で使用されている一部のテクノロジーや一般的なプロセスには、サイバー脅威が潜んでいる可能性があります。そのため、企業は、標的型攻撃(APT)、クラウドセキュリティリスク、サイバーサプライチェーンリスクなどの新たなサイバーセキュリティの問題にさらされる機会が増えています。
マルウェアやランサムウェアなどのAPTの背後にいる高度な脅威アクターは、さまざまなステルス手法を用いて重要度の高い企業のシステムやデータを侵害します。そうした手法としては、フィッシングキャンペーン、企業の重要リソースやデータへのバックドアの作成、Webサーバーの悪用などが挙げられます。
多くのAPT攻撃は、国家を後ろ盾とするグループが敵対国の貴重なデータ、資産、財産を標的にして実行します。得てしてその動機は、金銭的利益か知的財産窃盗のためのサイバースパイ、あるいはハクティビズムの場合もあります。APT攻撃の潜伏時間は長く、数週間あるいは数か月にわたって検出されることなくホストシステム内に潜伏し続ける場合があります。APT攻撃は、公的機関だけでなくその地域の政府と連携する企業を標的にすることでも知られています。
アジア太平洋地域の官民組織は、APT攻撃を防止するためにサイバーセキュリティポスチャーを強化する必要があります。幅広い技術的コントロールを導入することにより、APT攻撃の潜伏場所となる可能性がある盲点を防ぐことができます。そうしたコントロールとして、ネットワークとエンドポイント全体にわたる検出機能の展開や、進化する脅威の包括的な可視化が挙げられます。
デジタルサプライチェーンはセキュリティリスクだらけ
サプライチェーンのデジタル化、相互リンク、グローバル化が進むにつれて、内部に弱点が生じる可能性が大幅に高まっています。テクノロジーに依存する各リンクがサイバーセキュリティリスクとなることを、セキュリティポスチャーを構築する際に考慮に入れる必要があります。それには、サプライチェーンにおけるサイバーリスクや課題と、サイバーサプライチェーンの健全なリスク管理ポリシーを策定する方法を理解することが不可欠です。
市場ニーズの進化に対応する必要があるサプライチェーンの複雑性により、何年も放置されかねない脆弱性が生じることも考えられます。メーカーにせよ、流通業者にせよ、サプライチェーンの参加者が増えるごとに、サプライチェーン固有のサイバーリスクの度合いがさらに深まります。
デジタルサプライチェーンの弱点を突く脅威アクターは、多くの場合、悪意のあるソフトウェアまたはハードウェアの挿入、あるいは偽造やソースコードの改ざんによって大衆市場を標的にします。
サプライチェーンにおけるサイバーセキュリティリスクをどのように管理していますか。サプライチェーンだけでなく、サプライチェーンの構築に使用する製品やサービスも、その運用期間全体にわたって完全性、信頼性、セキュリティ、品質、レジリエンスを確保することが不可欠です。サプライチェーンのサイバーセキュリティリスクを緩和するには、以下のことが必要です。
- サイバーサプライチェーンの特定とマッピング
- サイバーサプライチェーンリスクの調査、分析、および理解
- サイバーサプライチェーンのサイバーセキュリティベンチマークの確立
- サイバーサプライチェーンの定期セキュリティコンプライアンス監査
- サイバーサプライチェーン活動の継続的監視と強化
米国国立標準技術研究所(NIST)は、米国サプライチェーンリスク評価フレームワークとサイバーサプライチェーンリスク管理(C-SCRM)プログラムの中で、ICT製品/サービスサプライチェーンの分散性と相互接続性に起因するリスクを特定、評価、緩和するためのテンプレートを提供しています。テンプレートはシステムのライフサイクル全体をカバーしているため、これらのリスクを管理するのに非常に便利です。
急増し続けるクラウドサイバーセキュリティの脅威
アジア太平洋地域では、クラウド導入の拡大に伴い、2022年はクラウドサイバーセキュリティ攻撃の発生頻度が高まりました。オンプレミスITインフラストラクチャと同様に、クラウドインフラストラクチャもサイバーセキュリティリスクを抱えている可能性があります。したがって、クラウドコンピューティングのセキュリティリスクとは何かを理解することが重要です。
クラウドエンゲージメントの責任共有マトリックスでは、クラウドサービスプロバイダーと消費者の双方がクラウドサイバーセキュリティコントロールの特定部分に対して責任を負います。しかし、クラウドにはマルチレベルのサイバーセキュリティコントロールがあるものの、膨大な量のデータや情報が移行され、保存されるため、サイバーセキュリティリスクが発生しやすくなります。アジア太平洋地域における主なクラウドセキュリティ脅威は以下のとおりです。
- アカウントハイジャック(悪意のあるアクターが企業またはその従業員のクラウドベースアカウントを支配すること)
- 資格情報の窃取(企業または個人の識別情報を盗み出すこと)
- シャドーIT(IT部門の所有下または管理下にないデバイス、ソフトウェア、またはサービスの社内使用)
- クラウドサービスやアクセス制御の設定ミス、エラー、不具合、またはギャップ
- 弱いデータ暗号化
特に、SaaSアプリケーションは複数のコンポーネントで構成されており、それぞれ異なるレベルのリスクがあります。しかも、脆弱なオープンソースコンポーネントが無数に存在し、その多くは高リスクの脆弱性を含んでいます。
2023年はクラウドセキュリティリスクの増大が予想されています。実際に、アジア太平洋地域の企業のほとんどは、進化し続けるクラウドサイバーセキュリティの課題への対処に必要なスキルを備えていません。コロナ禍が始まった頃、企業はアプリケーション開発者のスキルを生かしてクラウドネイティブサービスの導入を加速する必要がありました。しかし、彼らはクラウドセキュリティコントロールの実装に必要な専門知識を備えていませんでした。
現代の企業は、クラウドセキュリティに関するいくつかの重要な課題に直面しています。
- クラウドコントロールの設定や管理を行う担当者の経験またはスキルの不足。
- クラウドセキュリティを専門とする人材の不足。
- DevSecOpsプラクティスの導入。ソフトウェア開発および運用ライフサイクルの各段階にセキュリティを統合します。この地域ではまだ普及していません。
これらの要因が重なると、セキュリティガードレールやセキュリティコントロールをクラウド環境に一貫して組み込む上で大きな障害となります。
マネージドサービス:セキュリティスキルの課題に対するソリューション
中核的なビジネス機能を管理しながら膨大な量の潜在的脅威を分析し、対応することは、一般的なほとんどの社内ITセキュリティチームでは力量の及ばないところです。また、サイバー脅威を緩和し、クラウドのあらゆる関連領域にサイバーセキュリティコントロールを統合するには特定のスキルと経験が必要であり、今日の多くの企業では作業負荷の増大につながる可能性があります。
サイバーセキュリティチームは、マネージドサービスプロバイダーの専門家のサービスを活用すれば、サイバーサプライチェーンリスクを管理し、クラウドセキュリティポスチャーを強化できます。マネージドサービスプロバイダーは、ほとんどのAPT攻撃の防止、検出、管理に必要な高度な能力を提供することもできます。