東京で開催された「ガートナー セキュリティ & リスク・マネジメント サミット 2019」は、8月7日終了しましたが、米国では二か月早い6月にナショナル・ハーバー(メリーランド州)で開催され、中心テーマは、現在のセキュリティランドスケープにおける重要なトレンドと課題でした。ここでは、米国のガートナーセキュリティサミットから学ぶべき10のテーマをご紹介します(順不同)。
1. 伝統的なセキュリティ管理ツールの役割は依然として重要
私たちは、伝統的なセキュリティ管理ツールが基本的なサイバー攻撃の防御には効果的であっても、より高度な標的型攻撃を防御できないことを知っています。しかしながら、伝統的なセキュリティ管理ツールは依然として不可欠で、それは今後も変わりません。セキュリティに関する一般的な誤解は、ひとつのソリューションですべての脅威を防御できると考えてしまうことです。セキュリティ脅威は一連の要素で構成されており、それらが一体となって全体を形成しています。最先端のソリューション(マネージド検知/対応サービスなど)であっても包括的なセキュリティ態勢を構築するためには、基本的なセキュリティ管理システム(侵入検出と予防システム、ウイルスと亜種の対策ソフト、Eメールフィルタリングシステムなど)との組み合わせによる支援が欠かせません。
2. サプライチェーンのセキュリティ
ASUS、CCleaner、Magecartなどの注目度の高いインシデントでは、サプライチェーン攻撃が企業や個人を侵害する際に最も多用される手法であることを証明しています。この種の攻撃では2者間に構築されている信頼を悪用するため、企業とその主要なサプライヤとの間で最適なセキュリティ審査の実施方法を継続的に評価し実践することが不可欠です。
3. 効果的なフィッシング対策への取組み
何度も述べられてきたことの繰り返しになりますが、フィッシングとソーシャルエンジニアリングは、発生したすべての侵害の90%以上を占めています。これに対抗するために、高額なトレーニングプログラムが実施されていますが、これらはあまり役に立っていないことが多いようです。トレーニングの量に関わらず、社員はフィッシング詐欺に引っかかってしまいます。現在の脅威ランドスケープ状況下では、重要な資産へのアクセス権を持つ人に特化したトレーニング、インシデント対応計画の策定、および内部統制の強化に重点を置くことが、はるかに費用効率が高く効果的です。
4. MITRE ATT&CK フレームワーク
MITER ATT&CK(攻撃者が利用する可能性のある攻撃手法を集めた包括的なナレッジベース)フレームワークは、サイバー攻撃の各ステップで適用される具体的な戦術、テクニック、および手順の概要を提供しています。それは自己能力評価のためのガイドとなるようにデザインされており、企業がこれらの脅威に対する検出能力を理解する機会を提供します。ここから対応計画を立てることができ、これが戦略的セキュリティ計画の中核になるはずです。
5. 能力評価の重要性
企業はサイバー脅威から資産を守るためにセキュリティツールやサービスを導入し、必要に応じて「セキュリティ専門家」の助けを借りています。また、自社の技術的管理能力を評価するために侵入テストや脆弱性スキャンを実施しています。しかしもっと重要な管理能力、すなわちセキュリティチームやサービスプロバイダの評価に時間をかけている企業は必ずしも多くありません。能力評価をすることで、企業はセキュリティスペクトラム上のどこに位置しているのかを正確に把握することができます。 チームが何を検知できるか、そもそも脅威を検知することができるかどうかを判断するのに役立ちます。しかし、最も重要なことは、能力評価をすることによってチームのどこを改善すれば良いかが明確になることです。セキュリティチームをアウトソーシングしている場合に、能力評価を行うことで、その費用対効果を確認することもできます。MITER ATT&CKフレームワークは、能力評価を実行する際に最も有用なツールのひとつです。
6. セキュリティスキルのギャップが拡大している
サイバーセキュリティは人材不足が深刻な問題となっています。これは、この業界では決して目新しいことではありませんが、テクノロジーへの依存度がますます高まっているため、何度も繰り返して強調する必要があります。実のところ、ほとんどの企業はすべてを自分たちだけで行いたい場合でも、すべてを自分たちだけでカバーすることはできません。この課題を理解し先を見越して取り組むことが重要です。ギャップがどこにあるかを認識し、そのギャップを埋めるために専門家やコンサルタントと話し合ってください。これは多くの場合、費用対効果が高く、社内チームの構築と維持にかかる時間と手間を大幅に節約できます。
7. 経営陣を巻き込む
特に企業の予算を管理する側の人にとって、セキュリティのあるべき姿に関して深刻に受け止めていないことが良くあります。したがって、サイバーセキュリティ専門家は、経営陣が理解し、心に響くような方法でセキュリティについて語る必要があります。そうでなければ、要望する予算が得られない可能性があります。ガートナーはこの内容について講演し、ほとんどのリーダーシップチームが気にしているのは、利益、リスク、コストであると強調しています。
8. Office 365 Security
クラウドベースのテクノロジーは昨今のIT環境内でますます主流になっています。当然ながらクラウドテクノロジーはクラウド内に存在するため、クラウドアプリケーションは企業の攻撃対象領域を拡大させます。組織内ではMicrosofts製品の普及していることから、Office365の採用はますます広がりつつあります。Office365は、ほとんどのクラウドソリューションと同様に、購入者がセキュリティ設定を構成できます。ところが、これが頻繁に誤って管理されています。すべてのクラウドサービスは、資産の重要な一部と見なされるべきであり、徹底したセキュリティプログラムに含まれている必要があります。
9. 脆弱性管理
基本中の基本ですが優れた方法としてパッチ管理が極めて重要です。フィッシングは侵害の主な原因ですが、内部システムの管理とパッチ適用も同様に重要です。セキュリティ演習における攻撃側のルールは「常に正攻法から試す」です。当社のコンサルタントが、インターネットに公開すべきではないデフォルトの資格情報、ポート、サービス、さらには脆弱なパスワードに遭遇する回数は驚くほど多いです。リリースされたパッチを脆弱性に適用することで、攻撃者の「素早い勝利」が回避され、攻撃者に戦術の強化を余儀なくさせます。
10. 自動化と機械学習
従来のコントロールとは対照的に、現代のツールは、自動化、AI、そして機械学習へと急速に移行しています。セキュリティ業界では、ネットワークAIソリューションと次世代のウイルス対策ソフトウェアが登場しており、一部のベンダーはそれらを万能の解決策として宣伝しています。いくつかのシナリオでは効果的であることに同意しますが、これらのソリューションは実体よりもはるかに信頼され過ぎる傾向があります。どのような自動化も割り引いてとらえるべきです。当社のコンサルタントを再び例に挙げると、これらのソリューションに出会った時には、常に回避する方法を発見しています。回避された場合の本当の問題は、自動化の背後にあるチームの中にあります。「彼らには私が見えているでしょうか?」私たちがコンサルタントとしてこの攻撃を実行できるのなら、当然敵対者もできると想定すべきです。
これらの洞察についてご不明な点がありましたら、お気軽にお問い合わせください。
カテゴリ