Blog

セキュリティ向上に AI を活用する５つの方法：アプリケーションセキュリティ

2024年7月12日、Christine Barry サイバーセキュリティと AI（人工知能）に関するシリーズも５回目を迎えました。今回は、アプリケーションセキュリティと、AI がこれらの攻撃に対する防御をどのように向上させるかについてです。アプリケーションセキュリティとは？アプリケーションセキュリティは、アプリケーションのライフサイクル全体を通じてアプリケーションを保護します。ここには設計から開発、デプロイ、継続的なメンテナンスまですべてが含まれます。アプリケーションセキュリティはサイバーセキュリティにとって非常に重要です。以下はその例です。 Web アプリケーション：ソーシャルメディアプラットフォーム、eコマースサイト、オンラインバンキングポータルモバイルアプリケーション：メッセージング、ナビゲーション、マッピング、フィットネス・トラッキング、モバイル・バンキング・アプリケーションエンタープライズアプリケーション：顧客関係管理システムや企業資源計画ソフトウェアクラウドベースのアプリケーション：ファイルストレージと共有、顧客サービスプラットフォーム、Microsoft 365 のようなコラボレーションアプリケーション現在使用されているアプリケーションの数を特定するのは簡単ではありません。上記で言及したアプリケーションの総数に、IoT やその他のカスタムアプリケーション、社内アプリケーションを加えると、ざっと見積もって1000万近い単独のアプリケーションが存在することになります。これは、利用可能なアプリケーションの数に過ぎません。これらのアプリケーションはそれぞれ、2023年時点で１つにつき７億近くダウンロードされています。これはすなわち、巨大な攻撃対象だということです。アプリケーションセキュリティは「万能」ではありませんが、組織は常に以下の基本的な構成要素を適用すべきです。認証：アプリケーションにアクセスするユーザーの身元を確認すること。認可：認証されたユーザーがどのようなアクションを実行できるかを制御すること。暗号化：送信中および保存中に機密データを保護すること。入力データの検証：アプリケーションに入力されたデータの安全性と妥当性を確保すること。エラー処理：エラーメッセージによる情報漏えいを防止すること。ロギングとモニタリング：アプリケーションアクティビティを追跡し、不審な動作を検出すること。この重要性については、Twilio の侵害に関する Tushar Richabadas のブログを参照してください。こうした基本にとどまらず、業界の専門家や非営利団体は、標準化されたセキュリティアプローチを前進させ続けています。たとえば OWASP は、教育と標準化、そしてコミュニティの連携に大きく貢献しています。 OWASP は、オープン Web アプリケーションセキュリティ・プロジェクト（Open Web Application Security Project）の略称で、安全なソフトウェアとアプリケーションセキュリティに対する認識を高める上で重要な役割を果たしてきた非営利財団です。その多くのプロジェクトを通じて、OWASP はいくつかの文書とガイドを公表しています。広く認知されている Top 10 と API Security Top 10 は、アプリケーションをセキュアにし、アプリケーションセキュリティの領域についてより深く学ぶのに役立ちます。また、OWASP モバイルアプリケーションセキュリティのサイトには、セキュリティテストガイドおよびその他のリソースがあります。アプリケーションの攻撃対象アプリケーションの攻撃対象領域とは、攻撃者がシステムへのアクセスや、ある環境との間でデータの送受信を試みることができる様々なポイントの総体を指します。ある地区にある家に、それぞれ複数のドアと窓がついていると想像してください。そのすべての扉と窓が攻撃対象となるのです。シンプルな比喩ですが、この概念をわかっていただきやすいのではないでしょうか。ソフトウェア開発ライフサイクル（SDLC）とは、開発者が高品質のソフトウェアを設計、開発、テストするために使用するプロセスです。SDLC は、顧客の期待に応える、あるいはそれを上回る高品質のソフトウェアシステムを作成し、時間とコストの見積もりの範囲内で完成させ、現在および計画中の情報技術インフラストラクチャで効率的かつ効果的に動作させることを目的としています。完全に AI で強化されたソフトウェアライフサイクルには、以下の段階が含まれます。 SDLC のステージ詳細 AI の役割プランニングプロジェクトの範囲と目的を定義し、プロジェクト計画を作成する過去のプロジェクトを分析し、現実的なスケジュールとリソースの見積もりを提供する文書やコミュニケーションからプロジェクト要件を抽出し、包括的なプロジェクト計画の策定を支援する要件分析機能要件と非機能要件を収集し、文書化する文書、電子メール、会議メモからの要件抽出を自動化する要件の潜在的な矛盾や曖昧さを予測するデザインソフトウェアがどのように構築されるかを概説するアーキテクチャーおよび詳細設計文書を作成する要件に基づき、最も効率的なアルゴリズムとアーキテクチャを提案するさまざまな設計シナリオをシミュレートし、潜在的な問題やパフォーマンスのボトルネックを予測する実装（コーディング）設計書に基づいて実際のコードを書く開発中のバグを検出し、改善を提案することでコーディングを強化する...

海外ブログ 2024.07.22

大企業から巨大企業へ：急成長する英国の公益事業請負会社が強力でスケーラブルな Microsoft 365 セキュリティを導入

2024年7月5日、Tony Burgess 以前の職場でバラクーダ製品を使用していた IT 担当者が、転職先でバラクーダが導入されていなかったという話は、実は私たちにとって何よりもうれしいものです。というのも、その先の展開がどれもとても似通っているのです。IT 担当者は新しい職場であらためて、セキュリティがいかに複雑で信頼性が低く、また多くの時間を割かなくてはならないものなのかを知り、驚くと同時に、他と一線を画すバラクーダの高度な機能と使い勝手のよさを今まで当然のことと受け止めていたことに気づいたと言います。そして、新しい職場にバラクーダを導入する活動を開始し、主導していくのです。モウ・ダウッドは、サファイア・ユーティリティ・ソリューションズという上下水道事業の大きな会社で IT ディレクターを務めていました。サファイア社は、さらに大きな会社であるレインズ・グループと合併し、モウはレインズの IT ディレクターに就任します。サファイアでは８つだった拠点は52になり、従業員数は3,500人以上、その80％は現場でリモートワークをしています。今後もレインズ・グループは、成長速度を緩める計画はありません。しかし、モウはレインズ・グループの IT セキュリティ・インフラストラクチャに大いに失望することになります。このまま何も手を打たなければ、会社が大きくなるとともにセキュリティの課題も大きくなってしまうと、モーは心配しました。「何が起きているかを見える化し、先手を打って何層もの保護を提供してくれるセキュリティの仕組みが必要だと感じました」とモーは振り返ります。モーがどのようにして課題を克服し、自社に大きな改善をもたらしたかの詳細は、ケーススタディでご確認ください。オンプレミスのメール、時代遅れのセキュリティモウがレインズ・グループに来たとき、同社は主に Mimecast で保護されたオンプレミスのメールサーバを使用していました。前職では Barracuda Email Security と Microsoft 365 を導入していたため、その当時は当たり前のように使用していた多くの機能と機能がレインズのセキュリティには不足していることに、モウはすぐに気づきました。「潜在的な問題を検出し改善するために、現場に張り付いていなければならなくなりました。監視に多くの時間を費やし、実際にメールに不具合が生じると、ユーザーに手動で連絡し、マシンにログオンして修復する必要がありました。Barracuda Email Protection を導入していた前職では、そんなことをする必要はありませんでした。— モウ・ダウッド、レインズ・グループ社 IT ディレクターまた、巧妙で標的を絞ったフィッシングやなりすまし攻撃など、悪意のあるメールが大量に送られてきていました。リモートワークの従業員が多く、セキュリティ意識のトレーニングを受けていない従業員も多いため、誰かが誤った選択をしてデータ漏えいやそれ以上の事態につながる日がそう遠くないのではないかと、モウは非常に懸念していました。「何かをすぐに導入すべきだと、私は強く感じていました。そして、バラクーダは市場に出回っている商品のなかでベストだと個人的には思っています」とモウは言います。先進的な保護そこからのモウの動きは迅速でした。まずはレインズ・グループ社を Microsoft 365 に完全に移行しました。これは継続的な拡張性という点で素晴らしい動きであり、会社の成長に伴う将来の買収や合併の統合をより容易にしました。また、「市場に出回っているなかで最高」という信念に基づき、Barracuda Email Protection プラットフォームに変更しました。レインズ・グループは現在、統合された使いやすい幅広い機能を享受しています。 Email Gateway Defense：既知のマルウェアやゼロデイマルウェア、その他の高度な脅威から包括的に保護します Barracuda Cloud-to-Cloud Backup：偶発的または悪意のある削除が起きた場合に、迅速かつ簡単にデータを復元します。 Impersonation Protection：AI（人工知能）を活用して高度な攻撃を検知するなりすまし防止機能です。 Cloud Archiving Service：規制および訴訟コンプライアンスをサポートし、簡素化します。 Security Awareness Training：不審な通信を識別する能力を高めるためのセキュリティ意識向上トレーニングです。 Incident Response：悪意のある電子メールへの迅速な自動対応により、リスクを根本的に低減します。 Barracuda Data Inspector：OneDriveとSharePointに保存された機密情報と悪意のあるファイルを特定し、フラグを立てます。ケーススタディはこちら原文はこちらFrom big to huge: fast-growing UK...

海外ブログ 2024.07.15

セキュリティ意識向上トレーニングがマルチマスターズの重要課題

2024年6月21日、Tony Burgess Barracuda Email Protection を購入する顧客のなかには、パッケージに組み込まれている Security Awareness Training をちょっと便利な特典だと思っている人もいます。そのため、ケーススタディを作成するために顧客にインタビューすると、このトレーニングは「実装する予定ではあるが、まだ手を付けていない」と言われることがあります。しかし、マルチマスターズグループやその ICT マネージャーのエリック・ギアーズのように、セキュリティ意識向上トレーニングを最優先事項と考えている顧客もいます。こうした顧客は、インサイダーリスクがサイバー攻撃の成功要因になることが非常に多いと痛感しているのです。実際、エリックにとって、当社が提供する Security Awareness Training はBarracuda Email Protectionの最も魅力的な機能であり、マルチマスターズのMicrosoft 365の導入を保護するために、他のソリューションではなくBarracuda Email Protectionを選択したのもこのトレーニングプログラムがあるからでした。的を絞った実際のトレーニングマルチマスターズに関するケーススタディの全文はこちらでご覧いただけますが、エリックがとりわけ高く評価したのは、組織で最も頻繁にサイバー攻撃の対象となるユーザーを特定し、そうしたユーザーにマトを絞って特別な集中トレーニングを適用できる機能です。またエリックは、「本物」のフィッシング・シミュレーションを作成するために多種多様な内蔵テンプレートを使用できることも気に入っています。たとえば、マルチマスターズの従業員の大半を占めるベルギー人ユーザーのために特別に作られたテンプレートもそのひとつです。エリックが気に入っているトレーニングモジュールのもうひとつの特徴は、実際のスパムログをもとにフィッシングシミュレーションをカスタマイズできる点です。「私たちが驚くような新しいものがあれば、それをトレーニングに使うことができます。今では、ほとんどのユーザーが不審なものを見つけたら、メールを転送したり、どうしたらいいか電話で問い合わせたりするまでになっています。ユーザーの意識が向上していると思うと、少し安心できます」— マルチマスターズグループ ICT マネジャー、エリック・ギアーズ氏さらなるセキュリティ機能もちろん、エリックと彼のチームは、Security Awareness Training 以外の機能も気に入っています。たとえば、Incident Responseを使用してメールインシデントを簡単かつ迅速に修復できることにもエリックは満足しています。最初の６カ月で、チームは90通以上の個別の悪意のあるメールを迅速に修復し、ユーザーが不用意にクリックしないようにしました。高度なSD-WAN それだけではありません。エリックと彼のチームは Barracuda Email Protectionを導入すると同時に、18台の CloudGen Firewall アプライアンスを購入して会社のすべての拠点を接続し、クラウドホスト型アプリケーションへの堅牢なアクセスを提供する、非常にセキュアで柔軟な SD-WAN ネットワークを構築しました。大きな利点のひとつは、エリックがネットワーク全体のトラフィックパターンを可視化し、簡単に分析できることです。CloudGen Firewall の導入直後に、サーバーに対する多くの攻撃が特定の国から来ていることに気づき、ブロックすることができました。「私たちはグローバルに事業を展開しているわけではないので、特定の国をブロックするのはとても簡単なことです。私たちのサーバーへの攻撃は、ロシア、中国、その他の国から発信されたものが多かったので、ブロックするのは簡単でした。私たちのネットワークに入ってくるトラフィックをよりコントロールできるようになり、これは私にとって非常に重要なことです」— マルチマスターズグループ ICT マネジャー、エリック・ギアーズ氏全容を知るエリックと彼のチームが Barracuda Email Protection と Barracuda CloudGen Firewall を選択したすべての理由と、Barracuda Application Protection をすぐに追加購入するほど満足している理由については、ケーススタディをダウンロードしてご確認ください。マルチマスターズのケーススタディを入手する原文はこちらSecurity awareness training a key priority...

海外ブログ 2024.07.03

セキュリティ向上に AI を活用する５つの方法：セキュリティ意識向上トレーニング

2024年6月14日、Christine Barry 人工知能（AI）は多くの分野に革命をもたらしました。これまで私たちはさまざまな角度から AI をみてきました。人工知能が脅威の状況をどう変えるかサイバー犯罪者が AI を利用する5つの方法（シリーズ）現在のシリーズでは、AI がサイバー犯罪から世界を守る取り組みにどのように貢献しているかを探っています。これまで、脅威の検知とインテリジェンスとメールセキュリティについて取り上げてきました。今回は、AI がセキュリティ意識向上トレーニングにどのように活用されているかを見ていきます。セキュリティ意識向上トレーニングとは？脅威の主な標的は常に従業員です。フィッシング攻撃やその他のメールの脅威は、人的ミスを足がかりとして機密情報にアクセスします。様々な研究から、フィッシング攻撃がデータ漏えいやランサムウェア攻撃のかなりの割合を占めていることが明らかになっています。一般的な組織では、日に５通の高度にパーソナライズされたスピアフィッシングメールを受信（バラクーダ調べ） 2022年には、４社に１社で少なくとも１つのメールアカウントが漏えい（バラクーダ調べ）サイバーセキュリティ侵害の95％はフィッシングなどのメールベースの脅威が主な要因（IBM調べ）データ漏えいの約36%にフィッシングが関与（ベライゾン調べ）データ漏えいの90%はヒューマンエラーに依存するフィッシング攻撃が原因（シスコ調べ）時間枠や手法によって数字は異なりますが、調査からは以下の２点が明らかになっています。メールを使ったフィッシング攻撃はデータ漏えいの大きな要因であること、そしてフィッシング攻撃が成功するかどうかの決め手となるのは人的エラーであることです。セキュリティチームやビジネスマネジャーがメール攻撃の影響を十分に理解し始めたのは2010年代半ばで、この頃から自動化されたセキュリティ意識向上トレーニングの採用が増え始めました。端的に言えば、セキュリティ意識向上トレーニングは、メールの脅威やその他の種類のサイバーセキュリティについて個人を教育するために設計された教育プログラムです。セキュリティ意識向上プログラムを適切に実施することで、従業員自身が強靭な第一線の防衛手段に生まれ変わります。自動化されたAIによるトレーニングテクノロジーとサイバーセキュリティにおける AI の利用は拡大しており、リアルタイム脅威シミュレーションや適応学習パスなどの機能が追加されたことで、セキュリティ意識向上トレーニングは大幅に改善されました。これらのシステムにおいて機械学習（ML）インテリジェンスが、最新の脅威インテリジェンスに基づいてトレーニング内容を継続的に更新するために使用されました。その結果、最新のメール攻撃に対応したトレーニング教材が提供されるようになりました。初期のセキュリティトレーニングは自動化こそされていましたが、インテリジェントとは程遠かったといえます。ほとんどのプログラムに AI や ML が追加されるのはしばらくしてからのことですが、自動化されたことでトレーニングの効果は高まりました。自動化によって、プログラムの提供は一貫性を持ち、パーソナライズされたものになり、トレーニングの効果を実証できるレポート機能や分析機能が提供されるようになりました。自動化された通常のセキュリティ意識向上トレーニングと AI を活用した自動セキュリティ意識向上トレーニングの違いを以下の表にまとめました。特徴自動化されたセキュリティ意識向上トレーニング AIを活用した自動セキュリティ意識向上トレーニング事前定義されたコンテンツ基本的なセキュリティトピックを網羅した標準化されたトレーニング教材個々の知識のギャップに合わせた適応型コンテンツセッションスケジュール事前にスケジュールされた時間に配信されるトレーニング・モジュールユーザーのパフォーマンスに基づいたリアルタイム適応トレーニングインタラクティブな要素クイズ、ビデオ、インタラクティブなエクササイズユーザーの行動と実績に基づいてパーソナライズされたインタラクティブ要素進捗管理完了率と実績を追跡詳細な行動分析とリアルタイム適応報告修了証と評価結果の報告ユーザー行動とリスク予測に関する洞察を含む高度なレポート適応学習パス入手不可成績に応じてパーソナライズされた学習パスを提供リアルタイム脅威シミュレーション入手不可現在のトレンドに基づいたリアルタイムの脅威をシミュレート行動分析ユーザーの進捗状況の基本的な追跡ユーザーの行動を監視・分析し、的を絞って介入継続的改善事前定義されたスケジュールに基づく限定的な更新最新の脅威インテリジェンスでコンテンツを継続的に更新個別フィードバックモジュールの成績に基づく一般的なフィードバック詳細にカスタマイズされたフィードバックと改善提案サイバーセキュリティベンチャーズによると、2024年現在、セキュリティ意識向上トレーニングは広く採用されており、大企業の90％以上で定期的に利用されています。この数字は、現在60％強と測定されている中小企業の採用率をはるかに上回っています。AI を活用したセキュリティ意識向上トレーニングは、これまで以上に身近で手頃なものとなっているため、この格差は残念なことといえるでしょう。バラクーダのセキュリティ入門トレーニング Barracuda Email Protection には、メールの脅威を防御するためのセキュリティ意識向上トレーニングが含まれています。当社のプログラムは、AI テクノロジーを使用して、実際のフィッシング攻撃をシミュレートし、ユーザーの行動を分析し、パーソナライズされたその場でのトレーニングを提供しています。このトレーニングによりユーザーは最新の脅威にさらされることになり、その反応を測定した結果がカスタマイズされたトレーニングプログラムに反映されます。このアプローチにより、継続的かつ効果的なトレーニングが保証され、フィッシングやその他のメールベースの攻撃を認識し対応するユーザーの能力が強化されます。...

海外ブログ 2024.06.24