2020年は誰もが予想しなかった年になりました。新型コロナウイルスは、企業のリモートワークを日常的なものにし、攻撃者はソーシャルエンジニアリングの新たなチャンスに飛びつきました。これによって、攻撃のランドスケープは大きく様変わりし、セキュリティ侵害やランサムウェア攻撃が組織を苦しめ続けました。Cyber Security Saunaのエピソード48では、エフセキュアのTom Van de Wiele(トム・ヴァン・デ・ヴィーレ)とNick Jones(ニック・ジョーンズ)と共に、2020年のサイバー界を特徴付けたトレンドの一端を振り返ります。また、このエピソードでは、2020年に起こった、SolarWindsへのサプライチェーン攻撃、サイバースキル不足に関する最新状況、さらにVPN、ゼロトラスト、クラウドの影響、そして選挙についても議論します。
まずは、SolarWindsによるサプライチェーン攻撃から始めましょう。これは2021年以降のサイバーセキュリティでの大きな話題となり続けると思われます。 この報告が公開されてから数週間経ちましたが、Nickはどのように考えていますか?
Nick:私にとってSolarWindsの侵害はとても興味深いものです。少なくとも、この事件は私たちがこれまで見た中で最も広範で注目すべきインテリジェンス侵害の1つです。
しかし、私が特に目を引いたのは攻撃に気付いたきっかけでした。私たちが入手した情報によると、FireEyeがこの攻撃を検知できたのは、極めてハイエンドの超高性能機械学習による検知技術だけではなく、ユーザーのアカウントに新しく追加された二要素認証デバイスがきっかけでした。このデバイスの追加により警告が生成され、これが不審なデバイスであることがわかり詳細な調査が行われました。
本質的にはセキュリティ衛生チェックと呼ばれる機能により、新しい二要素認証デバイスの登録を調べた結果、多数の米国政府機関を標的とした、国家による大規模な攻撃が明らかになりました。そして私が痛感しているのは、セキュリティの衛生状態を正しく保ち、基本を適切に実行することこそ、世間を騒がせるような本当にハイエンドな脅威に対抗する効果的な防御策だということです。
非常に興味深い話です。これは、あなたのようなセキュリティ研究者が長年にわたって訴えていることですね。その言葉が裏付けられました。
Nick:はい。 私たちがずっと言い続けてきたことが証明されたと思います。私はこの知識を活用して、今回得られた他の教訓、特にサプライチェーンセキュリティの現状を改善するために何ができるかを考えていきたいと思っています。
サプライチェーンセキュリティは、全体として驚くほど複雑で、理解するのが困難な分野です。多くの点で、SolarWindsが侵入された手口や、他の組織へと侵入を拡大するために活用された手口は、ほとんどの組織にとっては特定することが非常に難しいと思います。攻撃は、プロバイダーやベンダーからの検証済みで暗号化された署名付きのセキュリティ更新プログラムを介して展開されたため、一旦ネットワークに侵入されてしまうと、改ざんされたことに気づくことは困難です。なぜなら、ユーザーに到達する前に既に改ざんされてしまっているからです。
また、現行のサプライチェーンセキュリティのやり方では、監査を行い、紙ベースの証跡を残し、法的に強制しようとしていますが、決して攻撃を捉えることはできません。そこで、サプライチェーンや連携しているベンダーについて、より技術的な詳細調査を実施しようとする人々が増えていくと思います。それは歴史的に見ても明らかです。
それはどういう意味ですか?
Nick:今、サードパーティのサプライチェーンベンダーの監査では、何らかのペーパーワークや詳細調査が実施されています。そして、「すべてのシステムでウイルス対策を実行していますか?」、「定期的に侵入テストを実施していますか?」という質問に対して、ベンダーは、「はい、全部実行しています。」と答えるでしょう。そしてすべてのチェックボックスがマークされ、契約書には「これらの事をすべて継続しければならない」と書かれているでしょう。
実際には、攻撃リスクの高い製品のベンダー、特にSolarWindsのようなベンダーは、ネットワークの大部分に導入され、非常に高い権限を持ち、組織の内部資産に対して広範にアクセスする製品を提供しています。組織がこのようなハイレベルのアクセス権を持った製品に対しては、導入する際に、これまで以上に技術的なセキュリティ管理を適用することになると思います。
Tom Van de Wiele, Nick Jones
たとえば、「わかりました。ペネトレーションテストは完了しましたね。では、その報告書を提出してください。内容を確認します。次に、開発プロセスに組み込まれたセキュリティ管理について確認させてください。社内のセキュリティ管理プロセスとシステムが実際にどのようになっているかを確認します」といった内容になるでしょう。
基本的には、手の内をすべて提示してくれれば、より良い印象と理解を得ることができます。もし、そのためのプロセスが整備されていなければ、一部の組織との連携に悪影響を及ぼす可能性があります。
また、大企業が小規模ベンダーから製品を購入している場合、製品を最初から安全に使用できるように、そのベンダーを支援しているケースもあります。
組織の購入プロセスは、今以上に神経をとがらす必要がありそうですね。
Nick:はい、そのとおりです。これは間違いなく重要なことだと思います。そして、人々はすべてのベンダーに同じ調達プロセスを一律に適用することはできないことに気付き始めています。何を購入し、どのような目的で調達するかによって差別化が図られるようになります。また、通常の法的な監査ベースの詳細調査を超えて、ハイレベルの技術的な詳細調査が要求されるような高リスクの製品群が現れるようになると思います。
一方で、組織内にそれほど深くリーチしない、あるいは一部のユーザしか使用しないような低リスク製品については、そのようなレベルの詳細調査は必要ありません。また、貴重な資産や重要なベンダーには詳細調査を厳格に実施し、それ以外にはあまり実施しないというトリアージ体制をとることにより、予算を効果的に管理することが出来ます。
なるほど納得しました。サプライチェーン攻撃についてもっと知りたい場合は、エピソード28「サプライチェーン攻撃の破壊力」をご覧ください。それでは、2020年には他にどのような侵害がありましたか?
Tom:いくつか思い浮かびます。一部の主要な組織や企業が、あらゆる種類の攻撃ベクターによって危険にさらされました。それは、すべてのIoTに対する顧客データベースだけでなく、NetflixやDisney+のようなサブスクリプションベースのサービスへの直接的な攻撃もあり、何れも同じ手法が使用されています。
もちろん、本当の根本的な原因は、人々がまだパスワードを覚えるのが苦手で、パスワードを再利用していることです。つまり、漏洩したパスワードと同じパスワードや少しだけ変更したパスワードを使うことで、その人の生活に侵入できるし、また入手したアクセス情報を誰かに売り渡すこともできます。
Nickは何か思い浮かぶことはありますか?
Nick:私にとって最も興味深かった事件は、2020年の初めに起きたTwitterへの侵害です。Twitterに対してソーシャルエンジニアリング攻撃が行われました。米国の17か18歳の少年が、Twitter社内のメンテナンスシステムやカスタマーサポートシステムに侵入したのです。彼はそれによって検証済みの多数のアカウントを乗っ取り、Elon Musk氏のような人々と資金をやりとりするためのビットコインの住所をツイートしました。
これは非常に興味深いケースです。特に今は、影響力のある政治家や他の多くの人々がTwitter上で地政学的発言をしています。私たちにとっては、この少年がビットコインをいくらか儲けたいと考えたティーンエイジャーだったことは不幸中の幸いだったと思いますが、実際には危機一髪でした。Twitterは社内で対策を検討しているでしょう。特に注目すべきは、TwitterがMudge(マッジ)として知られているハッカー、Peiter Zatko(ピーター・ザトコ)氏を、新任の最高情報セキュリティ責任者に迎えたことです。彼のこれまでの実績を考えると、素晴らしい仕事をしてくれると確信しています。
彼は昔ながらのハッカーですね。
Nick:はい、そのとおりです。90年代初頭のハッキング舞台にまで遡ります。DARPA(アメリカ国防高等研究計画局) や Google、その他多くの場所で彼を見てきましたが、その業績は本当に素晴らしいです。
2020年に見られた新たな出来事の1つにランサムウェアがありました。それ以前は、標的となる組織のコンピュータを拘束するだけでしたが、情報を盗み、その情報を公開すると脅迫することが2020年に常習化し、大問題へ発展したと思います。
Tom:そのとおりです。もちろん、私たちは自分たちで対処したインシデントは把握していますし、同僚や関係者からも見聞きしています。しかし、あなたの言う通りです。フィンランドでは、これまでに見たこともない手口で医療機関が標的にされましたが、それだけでなく個人に対しても、情報を公表しないというゆるい約束をしたうえで身代金を要求する攻撃が深く浸透しています。
なるほど。Tomは、これが2020年のランサムウェアで特に際立った点だと思いますか?今後どのように展開していくのでしょう?
Tom: 残念ながら、同じような攻撃がさらに増加するでしょう。まだドイツで起きたランサムウェアの話をしていませんでしたが、この事件では、ランサムウェアが医療施設や病院に侵入して、直接的または間接的に患者を死に至らしめる攻撃をしています。
ここには、もはや倫理観は存在しません。人の死がたとえ偶発的であったとしても、犯罪者には道義心のかけらもないのです。このようなランサムウェア攻撃を防御することはできません。これらの攻撃は金銭だけが目当てであり、意図しているかどうかに関わらず、そのためには人の命を踏みにじることも厭わないことは明らかです。
2019年に、エネルギー企業のNorsk Hydroの重要なインフラが攻撃に見舞われたことを忘れてはいけません。世界の他の地域でも、重要なインフラ、施設、エネルギー設備に対する攻撃の話を聞いています。これらの攻撃には歯止めはなく、攻撃者はひたすら破壊したいように思われます。
残念ながら、2021年にはさらに多くのランサムウェア攻撃が観測されるでしょう。また、クラウドが新たな標的になると予想する人々もいます。どれだけのフェイルセーフ機能が迂回され、侵害されるか注目しましょう。確かにその可能性がありますし、現実になると、状況は悪化の一途をたどるでしょう。
それでは、すでにランサムウェアの被害に遭った企業について話しましょう。現在、それらの企業は、この脅威に関して、以前より優れた回復力のある環境を築いていますか?それとも、以前と同様に脆弱なままでしょうか?
Nick:それは興味深い点ですね。私から見ると、程度の差はあるものの多くの組織が脅威に目覚めていると思われます。特に大打撃を受けた業界や、主要企業が打撃を受けた業界を見てきましたが、全体的な傾向として、回復力は向上してきています。要するにどの企業も、攻撃によって消滅した企業の二の舞は避けたいからです。
たとえば、数年前から大手製薬会社がWannaCryやNotPetyaなどに襲われたのを見てきました。そして、その分野での私の経験では、多くの企業が基本的なサイバー衛生にかなり注意を払い始めています。それは、競合他社が大打撃を被った結果として、取締役会や株主に対して自社でも同じことが起こり得るとは説明したくないからです。
Tom:一方で、他の企業の中には、未だ状況を理解しておらず、自分たちも狙われる可能性があることが分かっていない会社があることも事実です。なぜなら、コンピュータに依存したり、頼り切ったりした瞬間に標的になるからです。それは1台でも10,000台でも変わりありません。実際に変化しつつある企業もあれば、たとえばフィットネスのアドバイスを受けた人と同じような行動を取っている企業もあります。つまり、全員が何をすべきか分かっているのですが、始めるのは明日からにしようと先延ばししているのです。
まさに、おっしゃるとおりですね。よく分かりました。それでは、ランサムウェアから他のトレンドに話題を変えましょう。私は業界におけるサイバーセキュリティスキルのギャップにも注目しています。エフセキュアによる2020年の調査によると、サイバーセキュリティ関連の人材を抱える企業が、かつてなく増加していることが明らかになりました。あなた方の現場での経験では如何ですか?2020年に状況は改善されましたか?企業は、必要な人材を採用しやすくなっていますか?それとも状況は変わっていませんか?
Nick:私が知る限り業界ではスキル不足が深刻だという認識があります。実際には、業界自身が助長している面もあると思います。つまり、若い熱心な専門家を採用して昇進させていくという点においては、悲惨な状況にあると思います。企業は経験豊富な人材を求めており、経験の少ない人にチャンスを与えることに関しては消極的です。また、実際の仕事に必要か否かに関わらず、長年の経験や認定資格などを採用条件にする求人広告をよく見かけます。
その結果、この業界に身を投じようとする人々にとっては逃れようのない状況が待っています。皆が経験を求めているなら、どこからスタートすればよいのでしょうか?結局、私たちは自らスキル不足を生み出してきました。業界としての成長を維持し、より多くの人材を輩出するために、必要なレベルで若者を採用する意思がないからだと思います。
これには明白な解決策がいくつかあります。そのうちの1つは、より多くの若者を受け入れることです。しかし、私たちが直面している全体的な問題は、スキルギャップと、企業に必要な適材適所が十分に実行されていないことです。この問題は2021年も継続して目にするでしょう。そして、恐らく今後何年間もこの状況は続くでしょう。その理由は、私たちが採用の問題に手を付け始めたとしても、企業が熱望している経験豊富なポジションに人材が選ばれるようになるには数年は必要だからです。
しかし、そのような変化は起こっているのでしょうか?企業はこれに気づいていると思いますか?7年もの経験が必要な業務要件かどうかを見直すべきであることを自覚しているでしょうか?
Nick:私の経験では、大幅に改善されてはいないと思います。但し、業界全体で改善を図るために最善を尽くしている組織は数多く存在すると思います。経験の一部を迅速に構築するためのトレーニングプログラムを提供したり、トレーニングして資格を取得することで業界へ身を投じる人材の後押しをしています。しかし、全体的に見て、多くの組織、特に中規模エンタープライズ市場は、まだ遅れていると思います。でもTomは異なる経験をしているかもしれませんね。
Tom:いいえ同じです。以前このポッドキャストでお話ししましたが、大学などの教育システムは、一般的に情報セキュリティ市場に求められている現実の要件に限れば、少し遅れていると言わざるを得ないのです。また、多くの企業が、どの人物が適切な、あるいは十分な経験を持っているか分からなかったり、一定期間に有意義な取り組みやプロジェクトを経験したか分からない場合、結局は認定資格要件に頼ってしまうのです。ご承知のように、これも完全な解決策にはなり得ません。確かにその方法でも一部の人材は企業に紹介して採用することができるかもしれませんが、ほとんどの採用はやはり経験がものを言うのです。
そしてNickが述べたように、仕事を得るには経験が必要で、仕事を得ないと経験は積めないという、この「ニワトリと卵」問題は、多くの政府機関や民間企業が独自の学術機関を設立して、特定の任務を遂行するために必要な人材を育成しようとしている理由でもあるのです。通常このような職務は、モバイルセキュリティ、レッドチーム演習、リバースエンジニアリングなどの専門家になることを目指すという点において、精鋭な人材が求められます。そして、やがてはこれらの人材が、よりジェネラルな情報セキュリティの専門家に成長することが期待されます。
現在のセキュリティ人材市場は高度に専門化されており、人々は入社後に知識を蓄積しようと考えています。しかし、少なくとも10~20年前のセキュリティは、あくまでネットワークやシステム管理、プログラミングなどに対する付加的なものだったので、人々は単に興味を示す程度でした。今後、現状に恐れることなく情報セキュリティに興味を持つ人が増えることを期待しています。
そうですね。情報セキュリティに関しては、どのようなスキルや経歴が役立つのか分からないということや、もっと多様な人材が欲しいということをよく皆で話していました。もし、ほとんどの人々が、大学などを卒業して直ぐに情報セキュリティに携わるとすると、10年程の実務経験を経てからこの分野に移って来るシステム管理者はほとんどいなくなるのではないでしょうか?私たちは、情報セキュリティそのもののスキルではなくとも、この分野で役に立つスキルを見逃しているかもしれませんね。
Nick:私の経験では、人々が最も難しいと感じていることは、必ずしも技術的スキルを身につけることではないと思います。もちろん、サイバーセキュリティのどの分野を担当するかによって、必要とされる技術的スキルは大きく異なります。しかし、ほとんどの企業に不足していると思われるのは、仕事をするうえで必要な技術的スキルを十分に習得していることはもちろんですが、ビジネスをしっかりと理解し、技術要素がどのように組み合わさるのか、そしてサイバーセキュリティが社内でどのように機能し、ビジネスをサポートする必要があるのかを理解している人です。出来ることと出来ないことを取捨選択するゲートキーパーの役割を果たす人ではありません。企業は行動を起こし、ビジネスに必要なことは何でも実行する必要があります。それを可能な限り安全な方法で、リスクと、それを軽減するために必要な投資の間でバランスを取りながら実行できるようにするのがサイバーセキュリティなのです。
そして最終的に、サイバーセキュリティの真のスキルとは、このバランスを取る方法や、ビジネスをサポートする方法を学ぶことです。入社して直ぐすべてのバグを見つけたり、パッチがまったく当たっていないと叫んだりすることではありません。ビジネスの理解に加えて、人々が理解するのに苦労していることがもう1つあります。実際、そのために私は、かつてシステム管理者や開発者をしていた業界のメンバーと喜んで一緒に仕事をすることが多いのです。つまり、彼らはビジネスの運用面や知識を情報セキュリティの職務に取り入れており、これが非常に多くのメリットを生んでいるのです。
よく分かりました。さて、2020年には、企業に影響を与え、情報セキュリティ専門家のサポートを必要とした大きな出来事として、リモートワークへの移行がありました。これについては如何ですか?あなた方の視点からすると、企業はかなりうまく対処できていると思いますか?それとも全体的に混乱しているのでしょうか?
Tom:少なくとも、企業全体がリモートで仕事をすることに慣れていないことから、ある程度の混乱が見受けられました。社会的、組織的な観点からだけでなく、純粋に技術的な観点からも混乱が起きています。ユーザベース全体で、リモートアクセスインフラストラクチャVPNなどを経由していることは期待できませんでした。それに加えて通常は、社内検証の結果としてリモートアクセスが禁止されたアプリケーションも存在しています。そして、少なくとも私たちの経験では、リモートアクセスソリューションを介してこれらのアプリケーションを利用できるようにし、リスクを特定し軽減することを目的とした、多くのセキュリティ作業が行われています。このように、リモートワークは、あらゆる面で企業に注目すべき問題や課題を投げかけています。
Nick:私はクラウドの専門家として、クラウド分野でいくつか興味深いことを見てきました。ここでその点に絞って話したいと思います。パンデミックとリモートワークの状況により、多くの人々がクラウドへの移行を加速させました。パンデミックの初期には、いくつかの主要地域でAzureの容量不足が発生しました。これはMicrosoftにとっては、かなり恥ずべきことであり、クラウド業界全体にダメージを与えました。多くの企業が、この事象をクラウドプロバイダーのキャパシティが底をついて、自社のビジネスに損害を与えることがありうるという警告と捉えました。
しかし、他のプロバイダーを見みると、Googleには問題は起きませんでした。AWSもしかりでした。AWSは順調にスケールアウトしており、パンデミックの最中では真のIT勝者だったと思います。AWS、Azure、Google Cloudなどのインフラを提供するパブリッククラウドプロバイダーだけでなく、Microsoft 365、Slackなどの大規模なリモートワークソフトウェアをサービスとして提供するプラットフォームもあります。リモートワークを非常にうまく運用している組織は膨大にあります。そして、コロナ禍がビジネス世界にもたらした体験に基づいて、よりターゲットを絞った製品をこの分野に提供しているスタートアップや企業も数多く存在します。
分かりました。コロナ禍は、侵害の検知と対応にどのような影響を与えましたか?多くのセキュリティチームは、異常な活動やスパムの増加への対応、そしてリモートワーカーをサポートするためのセキュリティ作業に時間を奪われていると思います。この経験が異常や脅威を検知する能力に影響を与えたはずです。
Nick:私の立場からは、攻撃検知の観点から通常仕事をしている大規模企業の市場のことしか話せないと思っています。そして、これらの組織の多くは、全体的に見て、かなりうまく適応していると思います。私たちが話している異常の多くは、検知の観点からすると必ずしも異常ではありません。基本的には、ほとんどの従業員が、オフィスにいて社内ネットワークに接続している状態から、VPN経由で企業ネットワークに接続する形に切り替えています。
それにより、トラフィックの正確な位置や状況は変わるかもしれませんが、利用パターンに関しては、誰が何にアクセスしているのか、誰がネットワーク内で不正をしようとしているのかについて、以前と同じような行動分析や異常分析がそのまま適用されています。
むしろ大きな影響を受けているのは、セキュリティチームがITチームやその他のすべてのスタッフを兼任している、はるかに小規模な組織だと思います。このような環境では、これまでセキュリティの維持に専念できていたはずの時間が、パンデミックの最中でもビジネスを維持できるようにリモートアクセスインフラを拡張したり、全従業員が在宅勤務できるように十分なノートPCを配備することなどに費やされてしまいます。本当に影響を受けているのは中小企業だと思います。
Tom:オフィスから人がほぼ消えてしまった今、攻撃シミュレーションとレッドチーム演習の観点から、実際のリスクはどうなっているのかを尋ねる企業が増えています。これにより、物理的な侵入や盗難の可能性は高まるのでしょうか?公園のベンチや喫茶店でノートPCを開いたり、会社の機密情報についてしゃべったりすると、リスクは高まるのでしょうか? 今や従業員は、自宅やバーや喫茶店にいますからね。
私たちは、民間や公的組織を問わず要望を受けています。仕事を出来るようにするためには、この状況に対処する必要があります。しかしこれは新しい世界です。何を知っておけばよいのでしょうか?彼らはそのためのアドバイスを求めているのです。
なるほど。誰もが在宅勤務やリモートワークをするようになったことで、明らかにVPNの利用が爆発的に増えています。しかし、VPNの技術にも脆弱性が見られました。今、ゼロトラストアプローチがVPNをリプレースしようとしているのでしょうか?その傾向はまだ見られないのか、それとも今後はVPNだけになるのでしょうか?
Nick:ゼロトラストは興味深いもので、その多くが新しいクラウド技術によって推進されているため、私はここしばらくの間、かなり詳細に追跡してきました。基本的には、使用しているアプリケーションやシステムをインターネットに公開するという考え方です。それらは、誰でもコミュニケーションできるように配置されます。また、セキュリティ制御は、ユーザが存在するネットワークロケーションではなく、ユーザが誰であるかというアイデンティティになります。つまり、ユーザはVPN内にいて、これらのアプリケーションにアクセスできるようになります。
GoogleやNetflixのように、非常に高度なエンジニアリング能力を備え、大変有能なシステム管理者、開発者を擁し、30年から40年分の価値がある旧式の機器は持っておらず、要件どおりに設計されたシステムを構築している組織にとって、このアイデアは非常に有効です。
ゼロトラストの最大の問題は、ゼロトラスト方式で公開したいと考えるシステムの大半は、過去20年間保守されていなかったり、サポートが切れている事業部のアプリケーションだったりすることです。また、システム管理者によって非常に注意深く管理され、拡張されているシステムの場合は、それらをインターネットに公開するという考え方は、当然ながら多くの関係者を恐怖に陥れるのです。
したがって、今後はVPNの利用が増えると思います。多くの人がゼロトラストを利用したいと考えていますが、まだ実現できる状態ではないことは理解していると思います。でも、おそらくそれに向けて何らかの準備をしているかもしれません。また、レガシーアプリケーションで動作するゼロトラストをサポートするツールの開発に着手する組織も出てきています。
2020年のリリース製品で興味深いのは、TerraformやVaultをはじめとする多くの大規模クラウドDevOpsエンタープライズ製品を管理しているHashiCorp社のBoundaryです。Boundaryという製品の特徴は、基本的にゼロトラストモデルのフロントゲートウェイとして機能することです。つまり、ネットワークに直接接続するような負荷の高いVPN接続ではなく、認証を行うことで、基本的には通信先となるアプリケーションに対して個別のトンネルを開きます。そのため、企業ネットワークに参加する代わりに、通信することが想定されている対象への限定された接続を確立します。これは非常に興味深いモデルであり、これまで他では見たことがありませんでした。しかし、これは非常に優れたアダプタで、レガシーアプリケーションの前にそれを置くことができます。そして、完全にインターネットに公開することに頼らずに、企業システムにアクセスするために重装備のVPNを必要としないゼロトラストのアプローチをとることができます。私は、これにかなり注目しています。いつ採用され始めるか興味津々です。
これは少なくとも2020年では良いニュースなので、前向きに捉えましょう。その他に、2020年で良い気分になったセキュリティの成功事例はありますか? ZoomがAlex Stamos(アレックス・ステイモス)氏を起用したことは除きますが。
Nick:ちょっとググってみる必要がありますね。
Tom:つまり、何も思い浮かばないということですね。
(笑)
Nick:私が思うに、関係するチームが本当に誇りに思うべき成功事例が一つあります。それは、恐怖が煽られたにもかかわらず、米国の選挙がサイバー攻撃の影響を受けていたことを示唆する確かな証拠がなかったということです。また、米国のCybersecurity and Infrastructure Security Agencyと、そのパートナーであるFBIおよびその複数機関連合に参加していた他のすべての機関の努力を如実に物語っていると思います。彼らは、脆弱性があることがわかっている多くのシステムを抱えていました。毎年、電子投票機をDEFCON villagesに持っていく人々は、あらゆる種類の脆弱性を発見しています。しかし、それにもかかわらず、それらの投票機が民主的なプロセスに何らかの影響を与えるために悪用されたという確かな証拠はありませんでした。私の中では間違いなく1つの大きな成果だと思っています。
Tom:また、2020年にさらに大規模な攻撃キャンペーンがインターネットに向けて開始されたときに見られたことですが、興味深いのは、米国のサイバー軍が、コンピュータの膨大なユーザーベースや企業に対して開始された大規模攻撃に対して先手を打って、かなりの範囲で妨害できたことを観測したことです。影響が全く無かったとは言いませんが、攻撃者が意図した影響はありませんでした。そして、これは朗報です。インターネットの管理と称して、攻撃による影響を受ける可能性がある場合に、先手を打って早期警告信号を出すことが、これらの影響を抑制するために有効だったのです。それは確かに2020年におけるポジティブなケースでした。
企業の脅威モデルの中で、サイバーセキュリティの分野で、もっと注意を払うべきなのに何か理由があってそうなっていないと思うことはありませんか?
Nick:常に頭に浮かぶのはシャドーITです。特に、コロナ禍のせいで急速にクラウド化が進んでいます。多くの人々がSaaS製品を導入していますが、すべてが適切なチャネルを通して買われているわけではありません。多くの場合、チームは必要なものは何でもすぐに購入して、仕事が確実に継続できるようにします。サービスを使用していることや、何かを購入したことが分からなければ、セキュリティチームがそれらを追跡するのは極めて困難です。
また、SaaSプロバイダー全般で私が経験したことは、すべてのプロバイダーが、提供するサービスの一部として適切なセキュリティ対策を提供することに優れているわけではないということです。Microsoft 365を例にとると、Microsoftは人と一緒に使える多要素認証の導入や、接続できるデバイスのアクセス要件の設定機能など、さまざまなことに努力を払っています。
しかし、他のSaaSプロバイダーと話をすると、「多要素認証を行うにはどうすればよいですか?」と質問されたり、「多要素認証はまだ実装していません。」という声が聞かれます。「多要素認証を、他のすべてのアプリケーションへのアクセスを制御するために使用しているシングルサインオンプラットフォームに接続して、加入者や解約者がアクセスを正しく取り消せるようにすることはできますか?」という質問には、「いいえ、ユーザ管理ポータルを通じてユーザを管理する必要があります。」と答えています。また、多くの企業では、適切なセキュリティ態勢を維持するために必要な多くのエンタープライズ管理機能が欠落しています。また、少なくとも、多大な労力をかけずに維持するための機能を備えていません。コロナ禍によるITインフラ調達のシフトの中で、一部の組織ではこれらの機能が見落とされていると思われます。
Tom:リモートワークによって、さまざまな場所から社内情報にアクセスしているため、少なくとも非常に機密性の高いデータを扱っている企業の中には、脅威のモデル化をやり直さなければならないところもあるでしょう。つまり、アクセスしようとしているデータや日常的に使用するデータを保護しようとすると、特定のセキュリティ制御に過大な負荷がかかってしまいます。
いくつか例を挙げると、ノートPCが盗まれた時に「暗号化されているから大丈夫。」と考えるかもしれません。しかし、それを回避する方法があります。 Nickが二要素認証に言及したように、誰もがSMSパスコードや他の二要素認証を使っています。これはパスワードリスト攻撃や、パスワードを再利用している場合には非常に有効ですが、標的型フィッシング攻撃に対してはあまり効果がありません。なぜなら、もしも標的のユーザがログオンしているサービスを私が知ることができたとしたら、SMSパスコードを要求するログイン画面を模倣して表示することで、私は攻撃をシミュレートすることができるからです。
いくつか例を挙げると ノートパソコンが盗まれた場合 「でも暗号化されている」と言ったとしましょう 確かに、しかし、それを回避する方法があります。他に何があるの?ニックが二要素認証に言及したように、誰もがSMSパスコードや他の二要素認証を使っています。しかし、これはパスワードの詰め込みやパスワードの再利用には効果的ですが、標的型フィッシング攻撃にはあまり効果がありません。なぜなら、標的のユーザーがログオンしているサービスがわかっているのなら、SMSパスコードを要求するログイン画面を模倣して表示することで、攻撃をシミュレートすることができるからです。
ですから、これらがどのように機能しているのかを実際に確認する必要があります。自分自身を認証するために何に頼るのか?リモートワークによって、位置情報に基づいた認証はもうできません。 そして、他に何に投資する必要があるのか、今使っている方法でリモートでサービスを保護するための準備が整っていることを確認する必要があるのでしょうか?
そうですね。それでは、2021年に際して、お二人に企業へのアドバイスを1つお願いしたいのですが?
Nick:私が思うに、サイバーセキュリティの魅力的な部分は、通常、人々が侵害を受けてしまうようなことではありません。基本を正しく理解し、適切な資産追跡を行い、ネットワーク上に何があるのか、どのように接続されているのかを確実に把握することです。 そして、ネットワークにおける通信すべき相手や構成を示す適切な資産マップを維持する必要があります。エンドポイントにウイルス対策を施し、基本的なセキュリティ監視を実施し、すべてのシステムにパッチを適用してください。どの作業も、面白くなく、魅力的でもなく、退屈なものばかりです。しかし、人々は通常それを怠るからこそ攻撃に完敗するのです。境界線上の怪しいアプリケーションがゼロデイ攻撃に完敗する訳ではありません。だからこそ、基本的なことに集中して適切に対処するべきなのです。そして、あらゆるものに多要素認証を適用します。つまり、推奨事項は2つです。すべてに多要素認証を。そして基本原則に忠実に。
要するに、何をすべきか分かっているはずなので、今すぐそれを実行せよ、と言うことですね。
Nick:はい、おっしゃるとおりです。私が推奨することは、セキュリティ機能を備えた企業にとっては特に驚くようなことではありません。しかし、ほとんどの企業で、それを実現するための投資が行われていないのです。
なるほど。
Tom:私の推奨事項も、攻撃対象領域を決定するという点では、同じカテゴリーに属すると思います。企業は大きな変化を遂げており、クラウドサービスに移行しています。これにより攻撃対象領域が拡大します。クラウドに移行することが問題なのではなく、それが何であるかを知っておく必要があります。そうしないと自社を保護することは叶いません。新しいインフラストラクチャや、新たに公開されたものを保護するために必要なセキュリティ制御に投資することもできません。したがって、自社が保有しているものを知り、それに応じた行動をとり、それを保護すること。そして、もちろん来るべき攻撃を検知すること。それが私の一番の推奨事項です。すべてはそこから始まるのですから。
ごもっともです。さて、2020年に起こったことを振り返って来ましたが、2021年の予想をしていただけますか?「2021年に観測される事項」として記録に残したいことはありますか?
Nick:簡単に予想できることですが、クラウドでのセキュリティ侵害が増加するでしょう。なぜなら、クラウドサービスは発展するにつれ、人々はクラウドを使用して愚かなことをするからです。そのため、侵害が多発すると予想しています。今後数年間、攻撃がますます巧妙化するにつれ、Amazon S3バケットのパブリックアクセス機能をオフにしようとする人々が増えていくことが予想されます。
(笑) 私もそれを言おうと思っていました。
Nick:はい。人々がクラウドに保存しているくだらないものへのアクセス機能をオフにするようになると、攻撃者はもっと賢くならざるを得なくなります。現在クラウドの世界で欠けている最大のものの1つは、適切な脅威インテリジェンスです。これは、クラウドへの攻撃を検知しようとしないことや、まだ高度な攻撃がないことが理由の一部と考えられます。今後数年間で変わっていくと思いますが、2021年にはその兆候が見られるでしょう。
Tom:1つだけ予想できることがあるとするなら、ランサムウェアの作者間で、いわゆるサイバー軍拡競争の時代が続くだろうということです。ランサムウェアをより高度にして、事前に本当の意図を隠蔽しようとする動きが続くでしょう。ランサムウェアの攻撃者はほぼ完全に匿名であり、そのビジネスモデルは非常に収益性が高いことが分かっているからです。残念ながら、この熾烈な競争は直ぐには変わることなく、しばらく継続するでしょう。
よく分かりました。本日は、お二方に2020年を回顧していただき感謝します。ありがとうございました。
Tom:ありがとうございました。
Nick:お招きいただきありがとうございました。
それでは今日のポッドキャストを終わります。お楽しみ頂けましたら幸いです。
カテゴリ