3人のバラクーダ経営幹部による2023年セキュリティ予測 2023年1月26日、Anne Campbell ネットワークを侵害し、データを盗み、業務を妨害するためなら脅威アクターがどんな労も惜しまないことを目の当たりにしたのが、2022年でした。2023年は、脅威を取り巻く環境にどのような変化や進展、トレンドがもたらされるのでしょうか。 2023年に備えるために、バラクーダの3人の経営幹部に話を聞きました。それぞれが、今後12カ月間の展望と予測、および企業がセキュリティを維持するために注意する必要があることについて独自の見解を述べました。 フレミング・シー バラクーダCTO 地政学的緊張に起因するワイパーウェアが他国へ波及する 2022年に始まったロシアのウクライナ侵攻で、現代のデジタル戦場が明らかになりました。最も注目すべきは、ウクライナの組織や重要なインフラに対する破壊的なマルウェアの一種であるワイパーウェアの使用が増加していることを目撃したことです。ロシアによるウクライナ侵攻以降、WhisperGate、Caddy Wiper、HermeticWiperなどがニュースを賑わせていることからもわかるように、その頻度は劇的に増えています。金銭的な動機と復号化の可能性のあるランサムウェアと異なり、ワイパーウェアは通常、国家脅威アクターによって展開され、敵のシステムに回復不可能な損害を与え、破壊することを唯一の目的としています。また2023年には、地政学的緊張が続くなか、ロシア発のワイパーウェアが他国に波及する可能性が高いでしょう。さらに、非国家アクターによる政治色の濃いハクティビズムが、被害者からさらなる搾取をするための手を講じる可能性も高いと思われます。攻撃を受けても事業を継続するために、組織はデータだけでなく、システム全体を復旧させるフルシステムリカバリーに注力することが不可欠です。例えば、物理的なシステムが標的となってもバーチャルシステムを迅速に復元できれば、ワイパーウェアなどの破壊的なマルウェア攻撃に対するビジネスの回復力を劇的に向上させられます。 ランサムウェア集団はより小さく、よりスマートになる 2022年には、LockBit や Conti、そして Lapus$ といった大手ランサムウェア集団が大掛かりな攻撃を仕掛けて注目を集めました。しかし、ランサムウェア・アズ・ア・サービスのビジネスモデルが軌道に乗ってきたことと、最近になって LockBit 3.0 のビルドがリークされたことから、2023年には新世代の小規模でスマートなギャングが脚光を浴びると思われます。この1年で、組織が新たな手口を使ったランサムウェア攻撃を受ける頻度が高まるでしょう。対策を講じていなければ、ビジネスと評判が壊滅状態になりかねません。 シナン・エレン バラクーダ ゼロトラストセキュリティ担当VP 新しいMFA(多要素認証)ソーシャルエンジニアリングとバイパス手法がサイバー攻撃の原動力となる 2023年も引き続き、ハッカーは多要素認証(MFA)を利用する人々を巧みに操って、新しいソーシャルエンジニアリングやバイパス手法で認証情報にアクセスし、ネットワークを侵害するでしょう。MFA 疲労攻撃(MFA通知をユーザーに浴びせる攻撃)は、マルウェアやランサムウェアのインフラを必要としないため、今後もハッカーの間で好まれると思われます。しかも最近は大きな成功を収めています。また、ハッカーがMFAを回避するためのより高度なフィッシング技術を展開することも増えていくでしょう。プロキシサイトを通じて2者間の通信を傍受・中継できる中間者攻撃はその一例です。さらに、安全性の高い FIDO2 対応セキュリティキーから SMS 認証やワンタイムパスワード認証(TOTP)のような安全性の低い二次要素へのダウングレード攻撃も見られるようになる可能性も高いです。 メールフィッシング攻撃を超えるスミッシング(SMSフィッシング)攻撃 メールによるフィッシングの認知度が高まるにつれ、サイバー犯罪者は、ユーザーが大手企業の通信やウェブサイトを模倣した SMS メッセージ内のリンクであればクリックする可能性が高まっていることに気づいています。これが、いわゆるスミッシング(SMSフィッシング)です。2023年には、スマートフォンの普及とサイバー犯罪者の高度ななりすまし技術により、メールフィッシング攻撃よりもスミッシング攻撃が顕著になると予想されます。スミッシングは2023年、セキュリティリーダーと幹部の間で最重要視され、社内外のステークホルダーの意識向上トレーニングの取り組みが推進されることでしょう。 エイダン・キーホー、バラクーダSVP サイバー保険は補償範囲が狭まり保険料は高くなる 2023年に向けて、サイバー保険でカバーされる範囲は、需要の高まりと予想される損失の高まりを受け、いっそう縮小するでしょう。このため保険料が高騰し、残念ながら、多くの組織が昨年と同じポリシーを維持できなくなるでしょう。さらに、サイバー攻撃の匿名性と、戦争や非戦争を除外する最近のサイバー保険の義務付けによって生じるグレーゾーンゆえに、国家の支援を受けたサイバー攻撃によって補償をめぐる訴訟や捜査が増えていくでしょう。補償と賠償責任のギャップを補うために、組織はサイバーセキュリティ・ソリューションを追加購入することを余儀なくされるでしょう。 原文はこちら 3 Barracuda executives share security predictions for 2023 Jan. 26, 2023 Anne Campbell https://blog.barracuda.com/2023/01/26/3-barracuda-executives-share-security-predictions-for-2023/
海外ブログ 2023.02.07
Microsoft 365のためのBarracuda Cloud-to-Cloud Backup の必要性 2023年1月17日、Charlie Smith 多くのマイクロソフトのパートナーや消費者は、Microsoft 365を使っていくうえでバックアップとリカバリのサービスが必要であることをまったく理解していないことが明らかになりました。私たちが行った調査でも、回答者の約70%が、Microsoft 365環境を保護するために必要なものはすべてMicrosoftが提供していると考えていることが浮き彫りになりました。この理解不足は、2つの問題に起因すると私は信じています。 メールアーカイブとデータ保護の区別がユーザーにはできていない。 マイクロソフトのSaaS(Software as a Service)サービスは、すべてのデータとアプリケーションを保護し、高い耐障害性を備えていると、ユーザーは考えている。 メールアーカイブ メールアーカイブのソリューションは、メールデータの電子情報開示(e ディスカバリー)、規制遵守、法的保護を提供します。簡単に言えば、組織で送受信されたすべてのメールをキャプチャし、これらのメッセージを確実に検索して引き出せるようにするものです。また、優れたメールアーカイブのソリューションには、次のような特質があります。 アーカイブされたメールや添付ファイルは、変更したり操作したりすることはできない。 グループ化された賢い検索や、”タグ “と呼ばれる複雑な検索を使うことで、探しているアイテムを取得することができる。 検索結果を訴訟ホールド(法的情報保留)にすることで、検索結果を消去せず、必要なときに簡単に取り出せる。この機能は、コンプライアンス監査、訴訟、または関連する理由のために最も頻繁に使用される。 エンドユーザーは、システム管理者が設定したポリシーに従って、必要に応じて自分のメッセージを検索し、取得することができる。 潜在的なコンプライアンスや法的インシデントから会社を守るために、優れた電子メールアーカイブソリューションを導入することをすべての企業に強く勧めます。アーカイブソリューションを導入しないリスクは、電子メールの証拠に依存するあらゆる法的問題に対して、企業を大きな危険にさらすことになるのです。 メールアーカイブはバックアップではない メールアーカイブサービスを導入している場合でも、Microsoft 365のバックアップとリカバリのソリューションを維持する必要があります。アーカイブは特定のメッセージを保持し、取得することはできますが、メールボックスとそのすべての内容を完全に同一時点に復元することはできません。次のようなシナリオを想像してみてください。 誰かがあなたのMicrosoft 365アカウントをハッキングし、メールボックスのすべてを削除し、ごみ箱を空にした…このような削除は、アカウント乗っ取り攻撃でしばしば見られます。攻撃の証拠を残さないようにするためです。 仕事の重要なメールや様々な書類(添付ファイル)が入っているサブフォルダを誤って削除してしまった…メールボックスにはたくさんのサブフォルダーがあり、携帯電話ではこのような誤操作が起こりやすいので、すぐには気づかないかもしれません。 元従業員のアカウントが削除されたあとで、彼のメールボックスを復元する必要があることに気づいた…このタスクにメールアーカイブサービスを使用すると、手間がかかるうえ、メールアーカイブサービス以外の複数のステップが必要になります。 サイバー攻撃、人為的ミス、または大惨事により、OneDrive for Business、SharePoint Online、またはMicrosoft Teamsのデータ損失が発生した…メールアーカイブでは、このコンテンツは保存されません。 アーカイブソリューションを使えば、アーカイブから特定のメールアイテムを検索して取り出せます。しかし、アーカイブから取り出すべきものがわかっていても、受信箱の構造や内容を再構築する時間が果たしてあるでしょうか。 昨夜や先週のメールボックスがどのような状態だったか、思い出せますか。カレンダー項目、連絡先、タスク、ジャーナル項目などを紛失した場合、復活させるまでにどれくらいの時間がかかるのでしょうか。また上述したように、メールアーカイブはMicrosoft 365にあるすべてを保護するものではありません。 ディザスターリカバリー – 誰が何をするのか マイクロソフトは非常に回復力の高いインフラストラクチャを有していて、障害に見舞われることはめったにありません。それはとても良いことです。同社はユーザーの Microsoft 365 環境が常に利用可能であるようにする責任を負っているのです。このことから、Microsoft 365のディザスターリカバリーサービスをサードパーティで提供する必要はないはずだと思いがちです。 ディザスターリカバリまでマイクロソフトの責任であるように見えます。 残念ながら、実際にはそうではありません。 Microsoft は、ユーザーのデータをサポートする Microsoft 365 のインフラストラクチャにのみ責任を負います。 Microsoft 365 環境のデータには責任がないのです。マイクロソフトはその点をマネージドサービス契約書第6条 B 項で明記しています。「本サービスに保存するコンテンツおよびデータ、あるいはサードパーティアプリを使用して保存するコンテンツおよびデータは、定期的にバックアップすることをお勧めします」 ごみ箱はバックアップではない Microsoft の Exchange Online、SharePoint Online、One Drive for Business にはごみ箱があり、アーカイブソリューションを使用しなくても、これらのアイテムはある程度ネイティブに保護されます。 しかし、ごみ箱はバックアップではありません。 PC のごみ箱やMacのゴミ箱と同様に、Microsoft 365のごみ箱は、削除したアイテムを格納するフォルダに過ぎません。この削除済みアイテムフォルダには、削除されたアイテムのみが保存され、復元する必要のある正常なメールやファイルは含まれないため、ポイントインタイム復元を行うことはできません。また、ごみ箱の最大延長保存期間は93日間で、この期間を過ぎるとアイテムがパージされ、復元できなくなる可能性があります。 GDPRについてはどうか いい質問です。Microsoft は、ユーザーのデータを Microsoft 365 にホストし、環境を常時稼働させているとはいえ、言ってみればユーザーのデータの管理人に過ぎません。データはユーザーのものですから、データを保護する責任もユーザーにあります。Exchange メールサーバー、SharePoint サーバー、ファイルサーバーをデータセンターまたは...
海外ブログ 2023.01.30
Secured.22: SD-WANとSASEの導入を最適化する 2023年1月11日、Tony Burgess 2022年9月に開催されたバラクーダのバーチャル顧客会議Secured.22でティム・ジェファーソンとマイク・コールドゴフが発表したセッションは、リモートワークとSaaS運用リソースの時代に、いかに最新のセキュアなSD-WANでWAN接続に関するあらゆる難問を克服できるかという情報が満載です。 ティムはプレゼンテーションを通して、Barracuda CloudGen Firewall の SD-WAN 機能で従来の WAN が直面している重要な課題にいかに対処できるか、その方法を分かりやすい図表や実例を交えて詳しく説明しています。 信頼性の高いパフォーマンスを維持するための接続コストが高い アジリティの欠如-クラウドの消費パターンに合わせて設計されていない マネジメントが困難で時間もかかる セキュリティとネットワーク機能が交錯することでより複雑さを増している セッションの様子はこちらからご覧いただけます。 WAN管理を簡略化し、重要なパフォーマンスを向上させる SD-WAN の機能は、さまざまな方法でシステムのパフォーマンスと信頼性を(セキュリティと並行して)向上させることができます。この短いクリップでは、SD-WANでいかに管理がしやすくなるかをティムが紹介しています。ポリシーの定義も、異なる種類のトラフィックやユーザーに対して優先順位を割り当てる方法も、大幅に簡略化できるのです。 SASE コンバージェンス ティムはまた、セキュアなサービスエッジ機能を高度なSD-WANに組み込んだSASE(Secure Access Service Edge、共通のポリシーセットと統合制御により管理を簡素化します)は、SD-WAN導入の一部として急速に拡大している理由も紹介しています。 最新のIIoTセキュリティアーキテクチャ セッションの最後にはマイク・ゴールドゴフが、最近の市場レポート『2022年 産業セキュリティの現状』の主な発見と要点を紹介します。 マイクが示すように、脆弱な産業用システムに対するサイバー攻撃は、非常に深刻かつ高い代価を支払うという現実的な影響をもたらします。産業用システムの多くには深刻なセキュリティギャップがあり、そのギャップを悪用してネットワークに侵入したり、システムを破壊したりする攻撃が増加しているのです。 企業が Barracuda CloudGen WAN や Barracuda CloudGen Firewall などの高度な SD-WAN ソリューションを使用して、最新のクラウド統合型 IIoT セキュリティインフラストラクチャを構築し、これらのセキュリティギャップに対処する方法を紹介します。 あらゆる情報を得る このSecured.22プレゼンテーションを見ると、SD-WAN と SASE がいかにしてセキュリティ、ネットワーク運用、安全なリモートアクセスなどを最適化できるのかをより明確に理解できるでしょう。 Secured.22プレゼンテーションはこちらから 原文はこちら Secured.22: Optimize SD-WAN and SASE adoption Jan. 11, 2023 Tony Burgess https://blog.barracuda.com/2023/01/11/secured22-optimize-sdwan-sase-adoption/
海外ブログ 2023.01.30
ソフトウェアサプライチェーンの セキュリティは改善の傾向が続く 2023年1月9日、Mike Vizard ソフトウェアのサプライチェーンに対する脅威は、2 つの大きな侵害をきっかけに増大しているように見えます。まず Slack は、ソフトウェアを構築するためのプライベートなGitHubリポジトリで疑わしい活動を発見しました。限られた数の従業員トークンが盗まれ、外部でホストされているリポジトリにアクセスするために悪用されたというのです。また、正体不明の脅威者がプライベートコードリポジトリをダウンロードしていました。ただし、ダウンロードしたリポジトリには Slack の主要コードベースも顧客データも含まれていませんでした。 ついで、多くの企業がアプリケーションの構築とデプロイに使用している継続的インテグレーション/継続的デリバリー(CI/CD)を提供するCircleCIが、同社で調査中のセキュリティインシデントを踏まえ、プラットフォーム上に保存されているすべての機密事項を直ちにローテーションするよう顧客に警告しています。機密事項とは、パスワード、API キー、SSH キー、設定ファイル、OAuth トークンなどを含みます。 これらのインシデントが最終的にどのような影響をもたらすかは不明ですが、LastPass や SolarWinds が関与した同様の侵害事件をきっかけに、ソフトウェアサプライチェーンのセキュリティ向上の必要性に対する認識が高まっていることは明らかです。これらのインシデントが起きたこと自体が残念ではありますが、タイムリーに発見され、公表されたという事実は、実は意味のある進歩の兆しかもしれません。 少し前までは、この種の侵害が発見される確率は低かったのです。ソフトウェアのサプライチェーンを保護する最善の方法についてはまだまだ議論の余地がありますが、明らかに進歩しています。問題は、ソフトウェアサプライチェーンに注目が集まれば集まるほど、サイバー犯罪者がより多くのサプライチェーンを攻撃するようになることです。もちろん、ソフトウェアサプライチェーンがどの程度危険にさらされているかは誰にも分かりませんが、これまで以上に厳しい監視の目が向けられるようになりました。ソフトウェアサプライチェーンの中には、誰にも知られることなく何年も侵害されているものもあるかもしれません。 最も重要なことは、アプリケーション開発者とサイバーセキュリティの専門家が協力関係を築くことです。ソフトウェアのサプライチェーンを保護するのに欠かせないDevSecOpsのベストプラクティスを採用するうえで、最大の障壁は依然として文化的な要因が大きいのです。想像以上に長い間、多くの開発者は、サイバーセキュリティを品質保証プロセスの中核ではなく、アプリケーション開発の障壁とみなしてきました。克服または回避すべきものだったのです。本番環境で稼働しているアプリケーションには、おそらく総計で数十億という脆弱性があるでしょう。 ただし、忘れてはならない重要なポイントがあります。こうした脆弱性がすべて同じように深刻であるというわけではないことです。アプリケーション開発者がサイバーセキュリティ・チームに対してこれほどの不信感を抱いている理由の一つは、サイバーセキュリティ・チームがこれまで作ってきた、パッチを適用する必要のある脆弱性リストがあまりに根拠がなかったことにあります。新しいコードを書くか古いコードにパッチをあてるかの板挟みになる開発者は、脆弱性リストを嫌悪します。というのも、詳細を見るとコードの構築の仕方あるいはデプロイの仕方によってほとんど役立たないようなパッチであるケースが少なくないからです。さらに悪いことに、たとえ脆弱性が見つかっても、それが悪用される確率は著しく低いのです。 幸い、開発者とサイバーセキュリティの専門家の間には、休戦と協力という新しい精神が芽生え始めています。互いを疑いの目で見るのではなく、関係者全員にとって利益となるような形で、対話の性質を変える真の機会が今、訪れているのです。対立を終わらせるための交渉の例に漏れず、誰かが意を決して最初の一歩を踏み出す必要があるのです。 原文はこちら Software supply chain security improving Jan. 9, 2023 Mike Vizard https://blog.barracuda.com/2023/01/09/software-supply-chain-security-improving/
海外ブログ 2023.01.25
特権的アクセス権を持つ従業員のセキュリティは本当に安全か 2022年11月4日、Tilly Travers 企業のネットワークや情報に対するユーザーのアクセスを保護することは、ITセキュリティチームにとってかつてなく難しくなっています。 職場環境のデジタル化、ハイブリッド化、クラウド化が進み、企業ネットワークへの接続を希望するデバイスの数と範囲は急増しています。このような複雑な状況では、ネットワーク内で何が起こっているのか、誰が何の目的で何に対するアクセス権を持っているのかを把握することは困難です。 全域にアクセスが必要か 従業員のアクセスニーズはさまざまです。たとえばIT管理者は、ネットワークの隅々までアクセスできる高レベルのアクセス権や特権的なアクセスを必要とします。こうした特権的アクセスをもつユーザーはサイバー攻撃者の格好の標的となります。特にセキュリティリスクが高まるのは、特権ユーザーがネットワークにリモートからアクセスしようとしている場合です。 組織全体の特権アクセスレベルの管理は、ビジネス上非常に重要です。Identity Defined Security Alliance(IDSA)が2022年に行った調査では、特権の管理が不十分だったことが原因で、3分の1以上(36%)の組織でセキュリティ侵害が発生したことが判明しました。さらに、21%が過剰な特権がインサイダー攻撃につながったと回答しています。 特権的なアクセスを守る 問題は、ユーザーがネットワークやデータ、システムに特権的にアクセスできることではありません。セキュリティに穴があり、そこからサイバー攻撃者が特権的アカウントを制御し、その特権を悪用することで発生するのです。 攻撃者がたとえばソーシャルエンジニアリングを使って認証情報を盗んでアカウントにアクセスできるようになると、そのユーザーがアクセスできるすべてのものに攻撃者もアクセスできるようになります。もしそれが特権的アクセス権を持つユーザーであれば、機密データや重要なシステムにまで攻撃者がアクセスできるようになる可能性があります。 最初は誰にも気づかないケースが少なくありません。攻撃者は、ネットワークへの無制限のアクセス、横方向への移動、追加ツールのダウンロードとインストール、さらなるマシンの侵害など、やがてランサムウェアやマルウェアで大きな損害を与えようとします。そのころになってようやく、セキュリティチームが侵入者に気づいて介入するのです。 特権的アクセスを悪用したサイバー攻撃は防げる ゼロトラスト・ネットワークアクセス(ZTNA)は、従業員が業務に必要な資産やシステムにのみアクセスすることを原則とするものです。そのため、仮に攻撃者がアカウントに侵入できたとしても、そのユーザーがアクセスできる範囲は限定的です。つまり、何よりもまず、特権的アクセスはそれが本当に必要な人にだけ与えられるのです。 しかし、ZTNAはさらに一歩踏み込みます。アクセス権の有無にかかわらず、あらゆる従業員がセキュリティリスクそのものであるととらえます。というのも攻撃者は、いったんアカウントの侵害に成功してネットワークに侵入すると、そこからしばしば特権を昇格させようとしたり、管理者レベルの権限を手に入れようとさまざまな行動をとったりします。つまりZTNAとは、ネットワークにアクセスするすべてのユーザーとデバイスを継続的に検証することなのです。 ゼロトラストは、革新的なセキュリティ技術と従業員の意識向上とトレーニング(効果的なパスワードの衛生管理法、潜在的な脅威の発見方法、それに対する対処法など)を組み合わせたアプローチであり、哲学です。何も信用せず、すべてを検証するというゼロトラストの大前提があれば、ビジネスの最も重要な部分にアクセスする権利を持っている人になりすましたものや人から、組織は自らを守れるのです。 上記に関する新しい無料のe-Bookを掲載しました。こちらからダウンロード可能です。 原文はこちら How secure are your privileged access employees? November 4, 2022 Tilly Travers https://blog.barracuda.com/2022/11/04/how-secure-are-your-privileged-access-employees/
海外ブログ 2023.01.21
スワップを阻止せよ:SIMスワップ詐欺から端末を守るには 2023年1月5日、Doug Bonderud SIMスワップ攻撃が急増しています。FBIが公表したデータによると、2021年には1,600件以上のSIMスワップ報告があり、被害総額は6,800万ドルに上りました。 そもそも、SIMスワップ攻撃とは何でしょうか。どのように起こり、ユーザーの脆弱性がどこにあり、スワップを阻止するためにどのような手段を講じればよいのでしょうか。 エサで釣って切り替えさせる:SIMスワップとは? スマートフォンには、SIM(Subscriber Identity Module)が搭載されています。この小さなチップは、物理的なデバイスとユーザーのアカウントを結びつけるポータブルなメモリーストレージユニットとして機能します。SIMは取り外したり、交換したりすることができます。例えば、ユーザーは古いデバイスから新しい携帯電話にSIMカードを移動させるだけで、セットアップを簡単に済ませることができるのです。 サイバー犯罪者にとっては、この物理的な操作が不正なSIMスワップの絶好の機会となるのです。 その仕組みはというと、攻撃者はまずソーシャルエンジニアリングを通してユーザーに関する情報を手に入れます。この情報を使って、アカウント所有者になりすましてモバイルプロバイダーに連絡します。そして、現在使用している端末を紛失または破損した、あるいは新しい端末にアップグレードすると伝えて、モバイルキャリアにユーザーアカウント情報を新しいSIMカードと新しい携帯電話にリンクするよう依頼します。 こうしてモバイルアカウントへのフルアクセスを手にすると、攻撃者は被害者のテキストや電子メールの連絡先リストにまでソーシャルエンジニアリング活動を拡大できるようになります。また、銀行口座や電子商取引口座が携帯電話番号とリンクしている場合、これらの口座を直接侵害できることになります。 BarracudaCloudGen Access Barracuda CloudGen Accessについての詳細はこちら CloudGen Accessの詳細はこちら SIMスワッピングの現状 SIMスワッピングの量と被害額の両方が増加しています。SIM詐欺師ニコラス・トルグリアは最近、SIMスワップ攻撃を通して2000万ドル以上の暗号資産を盗み、18カ月の実刑判決を受けました。急速な勢いで、これが一般的な脅威のベクトルになりつつあります。攻撃者がモバイルプロバイダーにアカウントデータを新しいSIMに移すよう説得し、そのアカウントが暗号資産プラットフォームと結びついていれば、大量の仮想通貨を素早く移動させられます。さらなる不安要因は、暗号資産の取引が一方通行で1回限りであることです。つまり、SIMスワッピングが発覚しても、元に戻してユーザーに「返金」されることはないのです。 では、なぜSIMスワッピングが増加しているのでしょうか。攻撃者にとっての最大のメリットは、メッセージベースの多要素認証(MFA)をバイパスできることです。パスワードの解読は犯罪者にとって簡単なことですが、MFAの登場で犯罪者は苦労を強いられてきました。しかしSIMスワッピングならば、悪意のある行為者が正規のユーザーになりすまし、そのモバイルアカウントとデバイスを完全にコントロールすることで認証を回避することができるのです。 スワップを阻止せよ:安全を確保する3つの方法 では、モバイルユーザーはどうするとよいのでしょうか。ギリギリになるまで被害に遭っていることに気づかなかったとしても、どうすればSIMスワッピングのリスクを減らせるのでしょうか SIMスワップのリスクを抑えるには、3つの戦術が有効です。 限定的な情報共有 オンライン上で利用可能な個人情報が少なければ少ないほど、攻撃者が効果的にユーザーになりすますことは難しくなります。つまり、個人情報を非公開とし、ソーシャルメディアのプライバシー設定をゆるいものではなく、限定的なものにすることが重要です。 パスワードプロセスの改善 パスワードは完璧なものではありませんが、適切に使用することで一定の保護効果を発揮します。個人の場合は、定期的にパスワードを変更し、決してパスワードを再利用しないことが重要です。企業の場合は、パスワードの長さや文字の種類、定期的な変更などに関するルールを徹底することです。 高度な認証方式 SIMスワップはテキストベースのMFAを回避できますが、物理的なトークンや生体スキャンを使用して本人確認を行う多要素方式に対してはあまり効果がありません。こうした認証方式でもスワップを完全に阻止することはできないかもしれませんが、攻撃が進行していることを早い段階で警告する役割を果たします。 結論として、 SIMスワップは増加しています。攻撃者はソーシャルエンジニアリングを活用して、デバイスへの完全なアクセスを手に入れるからです。SIMスワップを阻止するには、ユーザーがオンラインで共有する情報量を減らし、パスワードの有効性を高め、追加認証を導入することです。 よくある質問 BarracudaCloudGen Access Barracuda CloudGen Accessについての詳細はこちら CloudGen Accessの詳細はこちら 原文はこちら Stop the swap: How to secure devices against SIM swapping fraud Jan. 5, 2023 Doug Bonderud https://blog.barracuda.com/2023/01/05/sim-swapping-fraud/
海外ブログ 2023.01.17
サイバーセキュリティの1年を振り返る:2022年に学んだ5つのこと 2022年12月28日、Phil Muncaster 2022年は多くの点で、過去5年の傾向をそのまま継続してきました。全米脆弱性データベースに公開されたCVEの数は、2022年も記録を更新する勢いです。ランサムウェアの脅威は、地政学的な対立という特殊要素を含みつつ、かつてなく大胆に展開しています。そして脅威者は、コロナ禍で常態化した新しいワークスタイルを悪用し、組織を追い詰めています。 2022年をとらえる切り口はいろいろあります。しかしここでは、私が注目するトレンドのトップ5と、そこからの学び(これが何より重要です)を紹介します。2023年の企業セキュリティ強化に大いに利用してください。 1. たとえ各国政府が身代金支払いを禁止しても、ランサムウェア攻撃はなくならない ランサムウェアの試行回数は、記録的だった2021年と比べると若干減少したとはいえ、2022年10月までの1年間で数億回に上りました。さらにこの期間中に前年比で増加したのが、英国(20%)および欧州・中東・アフリカ(38%)です。ランサムウェア・アズ・ア・サービス(RaaS)モデルが利益を生み出し続け、関連企業や開発者が敵対的な国家に保護されている限り、終わりは見えません。オーストラリアには、犯罪グループへの身代金の支払い禁止を提案する政治家もいます。しかしそれでは単に報告が表に見えなくなるだけで、むしろ重要なサービスプロバイダーへの攻撃を助長することになりかねません。 代わりにITリーダーが取るべき最善の対応は、改善したユーザーの意識向上プログラムとゼロトラストを組み合わせたサイバー衛生のベストプラクティスです。 2. Z 世代が職場を席巻するなか、インサイダーの脅威に対処する必要がある 私たちは、組織内部からの脅威を深刻に受け止めているとは言い切れません。通常、組織内部の脅威は意図的な悪意に基づくというよりも、むしろ過失によるものです。しかし、だからといって影響がないわけではありません。ある試算によると、インサイダーによるインシデントの修復には、年間1,500万ドル以上のコストがかかっています。さらに懸念されるのは、若い世代の従業員による会社のデータの扱いにリスクが伴う傾向が強いという事実です。たとえばアップデートを期限内に適用しない、仕事でも個人のアカウントでもパスワードを再利用する、個人のデバイスのセキュリティを会社のデバイスの保護よりも真剣に考える、といった具合です。 ハイブリッド型の働き方で、こうした傾向はさらに拍車がかかるでしょう。在宅勤務のときのセキュリティに関しては従業員が自分自身のルールに自由に従うからです。こうした新しい現実に対応するために、組織は適切なテクノロジーとユーザー教育を通してポリシーを書き換える必要があります。多要素認証(MFA)からゼロトラスト、セキュアアクセスサービスエッジ(SASE)の導入に至るまで、セキュリティ管理は強力かつ実質的に摩擦がないものでなければなりません。 3. WebアプリケーションとAPIは持続的かつあまり報告されない脅威 2022年は、ランサムウェアと国家による攻撃が最も注目された年だったことは間違いありません。しかし、企業が直面した脅威はほかにもあります。華やかさには欠けますが、アプリケーションとクラウドのセキュリティも同じくらい重要です。SQL インジェクション攻撃をはじめとする Web アプリケーションの脆弱性を狙った攻撃は、ハッカーの大好物です。しかもハッカーにとっては、顧客や従業員の有益なデータを直接入手する経路となる可能性があります。また API は、DX(デジタル改革)においてますます重要になっていくため、アカウント乗っ取りやデータ窃取などを目的とする脅威者の格好の標的となるでしょう。 2022年に発表されたレポートによると、95%の組織が過去 12カ月間に API セキュリティインシデントを経験し、12%が月平均 500 以上の攻撃に悩まされていたことが明らかになりました。デジタル環境のこの分野のセキュリティにも、そろそろ真剣に取り組むべき時が来ているのです。 4. 中小企業にとって、情報漏えいは存亡に関わる問題 セキュリティ侵害は、企業にとってどれほどの損害をもたらすものなのでしょうか。この質問への答えは簡単には見つかりません。というのも、多くの企業は、顧客や投資家、パートナーを遠ざけることを恐れて、インシデントについてあまり多くを開示したがらないからです。しかし、国際保険会社のヒスコックス社は2022年、米国と欧州諸国の5社に1社が歴史的な攻撃によって倒産に近い状態に陥ったという調査結果を発表しました。ほとんどの企業が、サイバー攻撃をビジネス上の脅威のトップに挙げ、リモートワークによって組織がより脆弱になったことを認めています。 この調査では、企業の規模別に評価したわけではありませんが、リソースの少ない企業のほうがランサムウェアやその他の攻撃によって存亡の危機にさらされる可能性が高いことはいうまでもありません。繰り返しになりますが、特効薬はありません。業界のベストプラクティスに従って、保護とユーザーの意識を高めることが重要なのです。 5.ディープフェイクでビジネスメール詐欺(BEC)は加速 サイバー犯罪の地下世界では、常にイノベーションが起きています。フィッシングと対峙する企業と脅威者コミュニティとの間のイタチごっこが絶え間なく続くのを私たちは目にしています。もう一つ、BEC 攻撃も激しさを増しています。FBI は2022年、BEC の手法にディープフェイク技術やビデオ会議ソフトを組み合わせた試みがあると警告を発した。 ディープフェイク音声は、ユーザーを騙して詐欺師に多額の資金を送金させることで大きな被害をすでにもたらしています。また技術が進んで安価で説得力のあるものになれば、Zoom会議で配信されるフェイク映像は、間違いなくさらなる混乱を引き起こす可能性があります。この問題に取り組むには、より優れた訓練を受けた人材、電信送金の署名プロセスの改善、ディープフェイクを発見してブロックする AI 搭載ツールの組み合わせが必要です。 経済的な逆風が吹き荒れる2023年、中小企業のITリーダーは、セキュリティ予算を堅持し、賢く活用することが不可欠となります。 原文はこちら A cybersecurity year in review: Five things we learned from 2022 Dec. 28, 2022 Phil Muncaster https://blog.barracuda.com/2022/12/28/cybersecurity-year-in-review-2022/
海外ブログ 2023.01.11
CISAが2023~25年のサイバーセキュリティ戦略を公開 2022年12月15日、Mike Vizard 毎年この時期になると、サイバーセキュリティのリーダーたちは、来年の戦略のようなものを作成しようとします。ただサイバーセキュリティ戦略に関しては、直面する脅威の性質が常に進化し続けているため、正確さを期すことは難しいのです。しかしCSIA (Cybersecurity and Infrastructure Security Agency、米サイバーセキュリティー・インフラセキュリティー庁)は、多くのサイバーセキュリティリーダーがそっくりそのままコピー&ペーストしたくなるような2023〜25年の戦略計画を親切にも発表しています。 37ページにおよぶこの文書は、細かいルールを定めたものではありませんが、組織内の全員が達成に向けて取り組むべきサイバーセキュリティの4つの大きな目標を示しています。企業の IT 部門の観点からは、以下のように要約することができます。 防御力と回復力を確保する取り組みを率先して行う:そうすることで、サイバー攻撃やインシデントへの抵抗力も強くなります。その一環として、組織はサイバー脅威を積極的に検知する能力の向上、重要なサイバー脆弱性の開示と緩和、そして可能な限りIT環境をデフォルトで安全にすることに注力すべきです。 重要インフラへのリスクを軽減する:リスク分析ツールへの投資により可視性を拡大すること、限られたリソースの配分の優先順位を高めることで可能となります。 ステークホルダー間の業務連携を強化する:情報共有も同様に強化しましょう。 機能、能力、労働力を統合する:そうすることで、卓越した文化に基づく統一されたサイバーセキュリティチームを構築するのです。 目印となる「北極星」をつくり出す サイバーセキュリティ専門家の多くは、目の前のミッションを直感的に理解しています。サイバーセキュリティ専門家にとってより大きな問題は、それを達成するためにどのようなリソースを利用できるのか、なのです。利用可能なリソースによって、どのような戦術でさまざまな種類のリスクと戦うかが決まるのですから。しかし、サイバーセキュリティの戦略を明確に周囲に伝えることも大切です。CISAのディレクターのジェン・イースタリーが言うように、その戦略が組織にとっての「北極星」となり、サイバーセキュリティにどのくらいの予算を配分する必要があるかを皆に思い起こさせるからです。今のように、ストレスの多い時期にはなおさら重要です。 実際、その任務の一環としてイースタリーは、サイバーセキュリティ諮問委員会に対し、その具体的な目標を推進するために設立される小委員会を通じて、「サイバーセキュリティのリスクを効果的に管理するために取締役会や経営幹部が何をすべきか」に焦点を当てる予定だと述べています。 難しい選択 もちろん、ランサムウェアの台頭を受け、ビジネスリーダーはサイバーセキュリティの価値をかつてないほど評価しているでしょう。しかし、評価しているからといって、必ずしも深く理解しているとは限りません。多くのビジネスリーダーが経済的に難しい選択を迫られていますが、サイバーセキュリティは「予算を削ることでより多くを成し遂げられる」分野ではありません。 効率化を進めるために、予算を再配分することもあるでしょう。しかし、サイバー攻撃がますます増加し、巧妙になっている今、サイバーセキュリティへの支出を削減してしまえば、ビジネスへのリスクレベルが高まることは間違いありません。ほかに選択肢のないような状況もありますが、ビジネスリーダーは、どのようなトレードオフがあるのかを深く理解する必要があります。 一方、サイバーセキュリティ専門家は今、組織のリーダーになる特別なチャンスに遭遇しています。完璧なサイバーセキュリティは実現できないかもしれませんが、脅威のレベルに対する理解が深まれば深まるほど、どの組織のメンバーも、サイバーセキュリティ専門家の指導に耳を傾けるようになるはずです。そして、その目的と希望も理解するようになるでしょう。 原文はこちら CISA shares 2023-2025 cybersecurity strategy Dec. 15, 2022 Mike Vizard https://blog.barracuda.com/2022/12/15/cisa-shares-2023-2025-cybersecurity-strategy/
海外ブログ 2022.12.28
バラクーダのセキュリティ最前線から2023年の脅威を予測 トピック: Attacks and Threat Actors, User Training and Security Awareness 2022年11月21日、Tilly Travers 未来を予測するのは難しいですが、この1年の流行や新しいトレンドを見ることで、起こりうる出来事を予想することはできます。バラクーダは、2023年の脅威予測の一環として、セキュリティ最前線の専門家に、2022年に何を見て、2023年に何に遭遇すると思うか尋ねました。意外だったのはどんなことで、組織が過小評価または過大評価しているリスクは何で、今後1年間危険にさらされる可能性があることは何でしょうか。 Q: 2022年に最も驚いたセキュリティ関連トピックで、2023年以降にも影響があると考えられることがらは何ですか? 脆弱なソフトウェアのサプライチェーン、兵器化したソーシャルメディア、多要素認証(MFA)の乱用、地政学的な動機に基づくサイバー攻撃の拡大、Everything-as-a-Service(コンピュータ処理に必要なソフトウェアやハードウェアなどがインターネットを通してクラウドから「サービス」として提供する概念や仕組み)です。 Riaz Lakhani バラクーダ最高情報セキュリティ責任者(CISO):私が最も驚いたのは、重大な脆弱性が報告された人気のサードパーティ製ソフトウェア・ライブラリの多さと、それらのライブラリを自社のアプリケーションなどで使用しているために影響を受けた大企業の数が多いことです。 Adam Kahn Barracuda XDR VPセキュリティオペレーションズ担当:今年は初めて、個人がソーシャルメディアプロフィールからランサムウェア攻撃を受けるのを目のあたりにしました。 Shani Mahler Barracuda XDR のエンジニアリング・プロダクトマネジメントディレクター:「インフルエンスベース」のサイバー攻撃がいかにエスカレートしているか、です。大手SNSにはこの問題を解決するインセンティブがほとんど見当たらず、したがって解決されないままで、セキュリティチームもインフルエンスオペレーションを監視することができません。セキュリティオペレーションセンター(SOC)の仕事は、機械やネットワークを監視してリスクを発見することであり、人がどのように影響を受けて混乱を引き起こすかを監視することではありません。ソーシャルメディアの影響力は、監視されていない、非常に有効なサイバー脅威であり、2023年も引き続き猛威を振るうと考えられます。 Merium Khalid オフェンシブセキュリティ・シニア SOC マネジャー:多要素認証(MFA)の乱用が増えたこと。2022年は、MFAがすべてのセキュリティの問題を解決してくれるわけではないことがわかった年だったと思います。かつてないほど多くの侵害が報告されました。MFAの乱用かあるいはソーシャルエンジニアリングを通じてMFAコードを攻撃者に引き渡してしまった結果です。 Stefan van der Wal アプリケーションセキュリティのコンサルティングシステムエンジニア:ランサムウェアがまだ問題であること。これほど壊滅的な影響を及ぼす攻撃に関して、2022年にはかつてないほど報じられてきました。それにもかかわらず、いまだに予防・検知・対応・復旧の面で適切な対策をとっていない組織が残っていることに驚きました。脅威により対処しやすくなるよう、セキュリティ業界全体がこれほど努力しているにもかかわらず、です。 John Flatley E メールセキュリティのコンサルティングシステムエンジニア:攻撃ツールがいかに簡単にアクセスでき、利用できるようになったかということ。攻撃者にこうしたサービスをすべて提供するサブスクリプションサービスがあります。 Stefan Schachinger ネットワークセキュリティ・プロダクトマネジャー:2022年の地政学的な紛争から、私たちはサイバー脅威に国境はないこと、そして世界がサイバー攻撃にいかに弱いかを思い知らされました。ランサムウェアを含む多くのサイバー脅威は、もともとターゲットを破壊するためではなく、金儲けのために設計されたものです。この状況は2022年に一変しました。紛争に直接関与していない国や組織が突然、それまで考えられなかったような巧妙なレベルで、混乱や妨害を目的として実行される国家主導の(あるいは容認の)攻撃の標的となったのです。世界的なサイバー攻撃に対する脆弱性のレベルがいかに低いかを痛感させられました。しかし重要な教訓ともなりました。2023年に脅威のレベルが低下する可能性は低いのですから。 こうした背景のもと、2023年に組織が備えるべきサイバー脅威のトップトレンドは? 悪用される認証方式、拡大する攻撃対象、増え続けるゼロデイ、サプライチェーン攻撃、Webおよびアプリケーション攻撃、脆弱なIoT RL:アカウント乗っ取りが、攻撃者にとって簡単に手に入る果実であり、組織にとって最優先のリスクであることに変わりはありません。二要素認証やMFA疲労攻撃が容易になり、TOTP(時刻に同期して生成されるワンタイムパスワード)はソーシャルエンジニアリングの影響を受けやすいため、セキュリティ担当者は認証対策を見直す必要があるでしょう。 AK:2023年には、クラウドベースやSaaSを採用する組織が増えるため、組織が攻撃対象となる可能性は高まるでしょう。幸い、これには問題なく対応できるはずです。というのも、サイバー脅威が活発で進化しており、インテリジェントで自動化されたリアルタイムの監視と対応が必要であるという理解が広まりつつあるからです。 SM:2023年、組織はその規模や業種に関わらず、どんなサイバー脅威から狙われても対処できるような準備が必要です。 MK:ゼロデイ脆弱性が増加するでしょう。 2022年、CVE(新たな脆弱性)の登録件数は2万1000件でした。その多くは「クリティカル」に分類され、攻撃者によって積極的に悪用されるものも少なくありませんでした。ゼロデイが警告なしに組織を襲うため、組織はできるだけ早くソフトウェアのパッチを当て、修正できるようなチームを編成する必要があります。 SVDW:サプライチェーンへの攻撃。2022年はサプライチェーン攻撃の年でした。より多くの攻撃者が企業を攻撃する際に最も弱いリンクを狙うようになりました。どの企業も外部の企業とビジネスを行っており、誰も他の組織への攻撃のピボットにはなりたくありません。 JF:メールアカウント乗っ取り、ランサムウェア、ウェブアプリケーション攻撃という恐ろしい3つの攻撃。 SS:インフラに接続されるモノが増え、エッジコンピューティングと連携したクラウドサービスが増え、リモートワークが続く中、攻撃対象は拡大しています。このため、組織はセキュリティの見直しを迫られています。長年にわたり、セキュリティの主な目的は、最初の侵害から身を守ること、つまりマルウェアや攻撃者をネットワークから締め出すことでした。しかし現在では、何かまたは誰かが侵入してきた場合に備え、侵入されたときにどのように対応するかを準備する必要があります。 私たちはどのくらい準備ができている? 2022年、組織が最も過小評価しがちだったサイバーリスクは? 脆弱なソフトウェア開発パイプライン、従業員のセキュリティ意識、アプリケーションのセキュリティ、攻撃の可能性 RL:過小評価されがちだったのは、アカウントの乗っ取りがいかに容易か、何が最も重要な資産でそれはネットワーク上のどこに存在するか、攻撃対象領域はどのようなものかという点です。開発からパッチ適用、デプロイなど、ソフトウェア生産を自動化するためのCI/CD(継続的インテグレーションとデリバリー)パイプラインを強化する必要性も、過小評価する企業が多々あります。CI/CDパイプラインには、ソースコード、アプリケーションコードリポジトリ、コンテナ、ビルドサーバなどの重要なコンポーネントが含まれているため、攻撃者の最重要ターゲットになるのです。 SVDW:最も過小評価されているのはアプリケーションセキュリティリスクでしょう。現在、多くの攻撃がアプリケーションから発生していますが、セキュリティに積極的に取り組むべきだとすべての企業が認識しているわけではありません。企業は、サイバー攻撃者に先んじて、サプライヤーに保護措置について尋ね、アプリケーションのセキュリティ体制を調べておく必要があります。 SM:従業員のセキュリティに関する理解度がいかに低いかを組織側は十分に認識していません。従業員は常にフィッシングやスミッシングといったソーシャルエンジニアリングの手口で狙われています。しかし多くの企業では、従業員に対するセキュリティ啓発教育(SAT)を年に1回しか行っていません。 MK:過小評価されているのは、セキュリティ意識向上トレーニングの重要性。発生する漏洩や侵害の多くは、クレデンシャルの漏洩が原因であり、これはより良い教育を通して減らせます。 JF:過小評価されているリスクは、前述の攻撃タイプの規模とアクセス性が上がっていること。そして、攻撃ツールの活用がいかに容易になったかということ。 SS:組織も政府も過小評価しているのは、標的型攻撃の被害に遭う可能性と、攻撃の影響がいかに広範囲に及ぶかです。2022年は、たった1つの組織が経済や社会にとってどれほど重要な存在になり得るかを教えてくれました。すべてがつながった世界では、相互依存の関係は巨大になり、小さな原因が大きな影響を及ぼしかねません。例えば、文書や請求書などのシステムが1つでも危険にさらされれば、企業は世界中の業務を停止せざるを得なくなるし、電力網が機能しなくなれば、全国的な停電を引き起こす可能性があります。私たちは、組織やインフラを守るより効率的な方法を生み出し、「小さな」理由で大規模なダウンタイムを回避するためのレジリエンスを強化し、継続的な攻撃を阻止できるようにならなければなりません。 では、過大評価しがちなサイバーリスクとは? ブルートフォースアタック、データコンプライアンス違反、そして防御がいかに優れているか MK:ブルートフォースアタックが成功するリスクを過大評価しがちです。ネットワークをスキャンして脆弱性を探すことは、私がSOCで目にする最も一般的な敵対的偵察活動の1つです。ビジネス上の必要性から外部に向けた資産を保有している場合、ブルートフォースや脆弱性のスキャンを受ける可能性は非常に高いです。しかし、企業がジオブロック、VPN、MFAなどの管理体制を敷いている場合、ブルートフォース・アクティビティが侵害につながる可能性は低くなります。 SVDW:GDPRのコンプライアンスリスクを過大評価しがちです。データプライバシーに関して非常に制限的なポリシーを構築している組織もあります。PII(個人を特定できる情報)が関与していないデータ周りのビジネスの俊敏性を阻害し始めない限り、良いことでしょう。これは、例えば、コンプライアンス部門がデータリスクとして考えているセキュリティ対策を、組織がとらないことを意味します。一方、本当のリスクは、情報セキュリティリスクに対応するシステムを導入していないことです。 SS:組織は、自分たちの保護レベルや、おそらくすでに足場を固めている攻撃者から自分たちを守る能力を過大評価しがちです。また、緩やかにしか統合されていない、あるいはまったく統合されていない孤立したセキュリティ対策やツールのプラス効果を過大評価しています。 2023年、どのようなセキュリティ対応をすべき? AI、アプリケーションセキュリティ、新しい認証方法、自動化、24時間365日の人間主導のリアルタイム監視、セキュリティオペレーションセンター(SOC)-as-a-Serviceが2023年のサイバーセキュリティを強化 RL:既存の認証方法が攻撃者に狙われるなか、セキュリティ担当者は代替手段を検討する必要があり、パスワードレスやFIDO U2F(ユニバーサル2ndファクター)シングルセキュリティキー技術が注目されるでしょう。 MK:2023年以降、テクノロジー業界は、生体認証やパスワードレスな認証方法にシフトしていくことが予想されます。 AK:脅威検知、特にセキュリティの注意力を削ぐ「誤検知」ノイズを除去するうえで、人工知能(AI)がより多く利用されるようになり、それがセキュリティに大きな変化をもたらすでしょう。これにより、即時の注意と対応が必要なセキュリティアラームに優先順位をつけることができます。自動化されたSOAR(Security...
海外ブログ 2022.12.23
ゼロトラスト・ネットワークアクセスを始めよう 2022年11月4日、Tilly Travers ゼロトラスト・ネットワークアクセスの必要性 COVID-19の急速な感染拡大に対応するため、企業はほぼ一夜にしてリモートワークやハイブリッドワークを導入しました。その結果、BYOD(Bring Your Own Device)ポリシーが急増し、データもアプリケーションもインフラもクラウドに移行されました。 これらの変化は一過性のものではなく、多くの企業にとって恒久的なものとなっています。つまり、とりあえずのセキュリティ対策をより永続的で拡張性と将来性のある保護対策にアップグレードする必要があるのです。 そこでバラクーダは、新しい無料のe-Bookを掲載しました。企業がビジネスセキュリティを強化するために、ゼロトラスト・ネットワークアクセスを理解し、導入する助けになるでしょう。以下に簡単に概要を記します。 もはや機能しないもの VPN VPNは、企業ネットワークへの安全なアクセスを多数のリモートユーザーやコンピューティングデバイスに提供するのに悪戦苦闘しています。さらに事を複雑にしているのは、すべてのユーザーが、データとアプリケーション、およびシステムに対して同じアクセス権を持つ必要はなく、また持つべきでもないという事実です。 サイバー攻撃者は、高いレベルのいわゆる特権アクセス権を持つ管理者のようなユーザーに引き寄せられます。しかし、技術者でない契約社員やリモートワーカーに対してアクセス制御があまかったり過剰なアクセス権が与えられていたりすれば、攻撃者はこうした契約社員やリモートワーカーを利用して簡単にクレデンシャルを盗むことができます。 組織は、ユーザーやデバイス、トラフィックがすべて本物であることを確認し、それぞれが必要なデータやシステムだけにアクセスできるようにする、より強固な方法を必要としています。 複雑なセキュリティインフラストラクチャ ソーシャルエンジニアリングや悪意のあるソフトウェアからユーザーを保護しようと、多くの場合、ファイアウォールとVPN、Webゲートウェイ、それにネットワークアクセス制御ソリューションを組み合わせます。その結果、管理するのも理解するのも難しい複雑なインフラストラクチャが出来上がってしまいます。パッチワークのようなセキュリティインフラストラクチャは統合的な可視性を欠き、誰がどこからネットワークのどの部分にアクセスしようとしているのか、それが正当なアクセスなのかどうかを判断できません。 進むべき道:何も信用せず、すべてを検証する そこで登場するのがゼロトラスト・ネットワークアクセス(ZTNA)です。ゼロトラストは、あらゆるものを継続的に検証し、ユーザーが必要なものだけにアクセス権が与えられるようにするアプローチです。 ゼロトラストは、空港での移動に例えるとわかりやすいでしょう。 チェックインカウンターに到着したら、パスポートで本人確認を行います。これで、海外旅行の第一段階は終了です。しかし、飛行機に搭乗するためには、搭乗券も必要です。両方の書類がなければ、旅は始まりません。 これをネットワークアクセスに置き換えてみましょう。ネットワークにアクセスするために、本人確認と必要な権限があることを証明できなければ、あなたは旅を続けることはできません。 ZTNAの3大メリット ZTNAは、許可がないことを理由に、ネットワークにアクセスしようとする不審な試みを自動的にブロックします。 ネットワークにアクセスしようとしたすべてのデバイス、場所、ユーザーの身元を記録します。コンプライアンスや監査に必要な大切な包括的ログを提供するのです。 強力な自動化により、承認やサインインにかかる時間を短縮し、リモートアクセス、パフォーマンス、生産性を向上させ、セキュリティも強化します。 ZTNAを始めるための3つの重要な質問 保護したいものは何か。個人情報、機密データ、重要なアプリケーションやサービス、資産、デバイス、知的財産などが考えられます。 この一部または全部にアクセスする許可を必要とするのは誰か。 ユーザー、デバイス、トラフィックが既知で本物であることを、あらゆる段階で判断するにはどうすればよいか。 原文はこちら Getting started with Zero Trust Network Access November 4, 2022 Tilly Travers https://blog.barracuda.com/2022/11/04/getting-started-with-zero-trust-network-access/
Blog 2022.12.21
