大規模APTグループがMSPを標的に - 準備は万全ですか?

セキュリティとストレージのリーディングカンパニー > ブログ > バラクーダネットワークス > 大規模APTグループがMSPを標的に - 準備は万全ですか?

大規模APTグループがMSPを標的に - 準備は万全ですか?
Neal Bradbury

2017年07月13日

MSP(マネージドサービスプロバイダ)は、顧客にセキュリティの重要さやセキュリティベストプラクティスの遵守をアドバイスします。ところがその反面、顧客にアドバイスしているはずのセキュリティプラクティスを実践していないMSPが多いのも事実です。これは、大きな問題へとつながる危険があります。

PwC UKとBAE Systemsが最近発表した報告書によると、中国のハッキンググループであるAPT10がMSPを標的にした攻撃を続けており、2016年半ばから激化しています。

レポートの内容を少しまとめると、「APT10は複数の業界部門をターゲットに攻撃を仕掛けており、その規模や範囲を拡大しています。この攻撃拡大の背景には、MSPのセキュリティ侵害という要因が存在するのです。MSPは、顧客のITおよびエンドユーザシステムをリモート管理するので、顧客のネットワークに対して自由な直接アクセスを行っています。また、社内インフラには、膨大な量の顧客データが格納されています。したがって、APT10などの攻撃者にとって、MSPは大きな収益を見込めるターゲットなのです。

社内セキュリティを強化する絶好のタイミング

残念ながら、多くのMSPは最小限のセキュリティ対策しか講じていません。MSPの仕事は、あちこちで発生する顧客の問題を解決する消防士のようなものです。ところが、消火に専念するあまり自宅への注意がおろそかになり、自宅が燃えてしまったらどうでしょうか。

実際、MSPは何回か攻撃を受けない限り、自社のセキュリティプラクティスを改善しようとはしません。最近、パスワード管理ツールの導入を始めるMSPが増える傾向にあります。これは良い兆候ですが、十分とはいえません。

万が一データ流出が起これば、会社の評判と信用が失墜するという点を理解する必要があります。セキュリティ対策の強化には、時間、手間、投資が必要ですが、システムのセキュリティ侵害でネットワークが攻撃され、信頼を失ってしまった場合、それを取り戻す作業は比較にならないくらい困難です。

以下に、MSPのセキュリティ保護に向けた取り組みをいくつかまとめます。

  • ・セキュリティポリシーと手順の標準化。セキュリティ手順を成功させるには、全社で遵守しなければなりません。
  • ・従業員を対象にした継続的なトレーニング。技術者や営業担当を含めた社内全員に、脅威や攻撃の最新情報を提供します。トレーニングは、顧客の教育、質問への回答、効果的なネットワーク保護の提案で役立ちます。
  • ・階層型セキュリティの導入。たとえば、高度な脅威保護と次世代ファイアウォールを活用したメールセキュリティがあります。
  • ・自社が提供する製品とサービスの内と外を十分に把握。保護機能がどこから始まり、どこで終わるのかを理解することで、顧客とMSPのそれぞれの環境で製品とサービスを実装する効果的な方法を見極めることができます。

つまり、「自社が自社にとっての得意様になる」必要があるのです。Wheelhouse ITのクリス・ジョンソン(Chris Johnson)氏は、バラクーダネットワークスのIntronis MSPソリューションブログで次のように語っています。「自社で導入したことのない製品やサービスを顧客に導入させてはならない」。


ニール・ブラッドバリー(Neal Bradbury)は、Intronisの共同設立者兼チャネルディベロップメント担当VPです。

ニールにつながりたい方は、LinkedInをどうぞ。


*本内容はBarracuda Product Blog 2017年 6月12日 Major APT group is targeting MSPs – Are you prepared? を翻訳したものです。


コラム(バラクーダブログ)一覧へ

お役立ち情報満載の資料ダウンロード|機能詳細、導入構成、モデル一覧などお役立ち情報が満載です。

お問い合わせはこちら

03-5436-6235 受付時間 平日9:00〜17:00

Webからのお問い合わせはこちら