サイバーセキュリティとは、世界中の脅威アクターの悪質な攻撃から、インターネットに接続されたデバイスを保護することを指します。米国標準技術研究所(NIST)では、サイバーセキュリティを以下のように定義しています。
「コンピューター、電子通信システム、電子通信サービス、有線通信、電子通信(これらに含まれる情報を含む)に対する損害を防止、保護、修復し、情報の可用性、完全性、認証、機密性、否認防止を確保すること。」
最初のサイバー攻撃として知られているのは「モリスワーム」で、1988年11月2日に発生しました。作成者であるロバート・タッパン・モリスの名前にちなんで名付けられた攻撃で、多くの有名大学、NASA、軍事作戦の接続ネットワークに大混乱を招き、数百万ドルの損害をもたらしました。このモリスワーム登場後、接続されたネットワークを往来するデータの保護という概念が初期のインターネットのパワーユーザーの間で真剣に検討されるようになり、今日のサイバーセキュリティが生まれました。
今日では、世界中に脅威アクターが存在し、絶えず出現する攻撃手法が、サイバーセキュリティ業界の継続的な進化とその手法の多様化を推進していることは周知の事実です。ネットワークで悪用される前に脆弱性を発見・修正することから進行中の攻撃を阻止してその影響を軽減することまで、サイバーセキュリティはあらゆるグローバルなビジネスとそれを推進する人々にとって重要な慣行となっています。
サイバーセキュリティは、脅威を軽減し、企業と個人に対するインターネットを利用した攻撃を防ぐ上で役立つため、重要です(この記事では、エンタープライズレベルのセキュリティに焦点を当てます)。
サイバーセキュリティフレームワークでは、データとプライバシーの保護と防御が中心となります。以下について考えてみてください。
上記の考察からもわかるように、「なぜサイバーセキュリティが重要なのか?」という問いは重要です。組織ごとに詳細は異なるものの、総合的な目標は共通しています。事業運営の方法と理由の中核となる機密情報を保護することです。
効果的なサイバーセキュリティプログラムは、企業の評判を良好な状態に保つのに役立ち、また、企業カルチャーや人材の醸造にも貢献します。
サイバーセキュリティの主な要素は、エンド・ツー・エンドでネットワークをカバーし、優秀な人材が運営する効果的なプログラムによって企業の業務が保護されるように社員を教育することにあります。サイバーセキュリティの核となる要素をいくつか見てみましょう。
世界中でクラウド導入のペースが加速する中、データの保護がこれまで以上に重要となっています。情報はオンプレミスシステムとクラウドとの間を絶えず行き来するものであり、事業部門の責任者はそのペースを維持したいと考えているため、自由なデータの流れを保護することが非常に重要です。
データはハイブリッド(オンプレミスとクラウド)なネットワーク内のさまざまなシステム間で行き来するため、セキュリティの脆弱性やシステムの設定ミスにより、他のポイントよりも危険になるポイントが存在します。 したがって、ネットワーク上のあらゆる場所で、悪意のある攻撃者がデータにアクセスできる可能性を最小限に抑えることが重要です。
セキュリティオペレーションセンター(SOC)が、組織の業務を通常の状態に戻す段階のことです。ステークホルダーやアナリストが必要なタイミングでデータを利用できない場合は、できるだけ早くデータを復元するための計画を立てておく必要があります。
ドキュメント化は、災害復旧計画の鍵となります。ドキュメント化しておくことで、バックアップシステムに何が含まれて何が含まれていないのかを把握し、最小限の中断時間で業務を通常状態に戻すことができるのです。
このプロセスは基本的に、攻撃者が企業の日常業務に含まれるデータを侵害しないようにするための、各種アクションによって構成されるものです。
クラウドセキュリティは、パブリッククラウドプラットフォームとプライベートクラウドプラットフォームの両方でデータとアプリケーションを保護し、機密性の高い業務が実行される組織のクラウドインフラストラクチャを守ります。
社会を動かし続けるためのインフラストラクチャを保護することは非常に重要です。これらには、医療、発電所と公益事業、エネルギー産業、防衛産業、非営利団体、政府部門などの分野が含まれます。
物理的セキュリティの使命は、文字通り、悪質な行為を行う可能性のある人を、データの保存されている部屋に入れないことです。インターネットに接続され、ビジネスやセキュリティ運用へのアクセス(バッジスキャナーやドアロックなど)を制御するもの(主にIoT機器)はすべて、悪意のある行動の標的となる可能性があります。
セキュリティ意識向上トレーニングは、サイバーセキュリティが専門家の努力だけでは成り立たないという側面の良い例です。部門や職務に関係なく、企業内の誰もが潜在的に責任を負う可能性があるため、サイバーセキュリティの基本と、個人が自分自身と会社を守るために実行できる行動について従業員を教育することが重要となります。
多彩なサイバーセキュリティのフレームワークや種類を掘り下げると、説明が長くなりますので、ここでは、世界中のプログラムで見られる最も一般的なタイプのサイバーセキュリティのいくつかについて見てみましょう。
ネットワーク脅威の検知と対応(NDR)とも呼ばれる領域で、ネットワークトラフィックにルールやシグネチャを適用して、悪質な行動と疑われるものを自動検知してアラートを上げる手法などをいいます。
ネットワークシステム上の脆弱性の管理は、悪質な行為者がある脆弱性を悪用してネットワークに侵入を試みる前にセキュリティチームが次々と脆弱性を塞いでいく、モグラたたきゲームのように見えることもあるでしょう。
サイバーセキュリティ担当者は、脅威インテリジェンス(TI)を活用し、潜在的な脅威が本格的な攻撃やその後の侵害に発展する可能性を測定します。TIは、脅威から身を守るための攻めと守りの行動を通知するのに役立つものであり、また、継続的にフィードされ続けるデータである必要があります。
ウェブ上に存在するアプリケーションのさまざまな側面を保護するのは困難かもしれません。それらのアプリケーションはインターネットで常にデータを送受信しているため、ウェブアプリケーションの脆弱性や侵害の兆候をスキャンして、悪意のある攻撃からそのプロセスを防御することが重要です。
ここ数年、多数の攻撃が注目を集め、また広く知られてきましたが、ニュースで報道されたようなこうした攻撃は、具体的にどのようなプロセスやワークフローで実行されたのでしょうか。
銀行強盗や人の財布を盗む行為と本質的に同じで、クリプトジャッキングにより、加害者は暗号通貨の採掘(マイニング)を目的にネットワークに侵入できるようになります。マイニングは通常、ユーザーの知らないうちに行われ、手遅れになるまで気づかれません。
サプライチェーン攻撃により、脅威アクターは侵入に成功した組織だけでなく、侵害されたネットワークに接続されているサードパーティにもアクセスできるようになります。これらのサードパーティには、外部ベンダー、チャネルパートナーや再販業者、請負業者などが含まれます。
APTとは、充分な資金提供を受けた、リソースも豊富な組織もしくは個人であり、攻撃対象の組織が講じるあらゆるセキュリティ対策を掻い潜り、攻撃を継続します。粘り強く、長期にわたる攻撃を継続し、防御側の力をすり減らします。
ゼロデイエクスプロイトを用いることで、攻撃者は、セキュリティ境界やネットワークを検知されずに侵害することができます。この場合、被害者が侵害に気がついてから対応や修復などを行うまでの日数が全くない、「ゼロデイ」となってしまいます。
大規模で高度なランサムウェアグループは、素人でも簡単に利用できるランサムウェアキットとして、技術的専門知識を販売しています。
MITMを使用することで、攻撃者は2つのターゲット間の通信を盗聴できます。攻撃は正規通信を行なっている2つのホスト間で実施されます。悪意のある攻撃者は機密データにアクセスし、それを別の場所にオフロードすることができます。
サイバーセキュリティに固有の課題について学ぶことは、例えるならば、登山の際に知っておくべき数多くの課題を学ぶことにも似ています。サイバーセキュリティにおいて人材が非常に重要な理由はここにあります。
セキュリティプログラムは、サイバーセキュリティプログラムの特定の機能に固有の課題に対処できる人材で構成されたチームなしには適切に機能しません。
セキュリティ担当者のスキルを維持することに加え、セキュリティ以外を担当する従業員にも、情報セキュリティとサイバーセキュリティの基本を教え、訓練する必要があります。包括的なトレーニングプログラムを構築・実施するためには、組織の経営陣からの働きかけも必要です。
このような社内プログラムをゼロから構築するのは簡単なことではありません。 そのため、多くのセキュリティ組織が、セキュリティ意識向上トレーニングの専門家に頼っています。
国や地域、地方自治体などで義務付けられた規制や指針を絶えず遵守する取り組みは、まるで追いかけっこのようにも思われます。ある組織が特定の分野のコンプライアンス構築に多大なエネルギーを注いだ結果、別の分野ではコンプライアンス遵守がまったくできていないことに気づくようなこともままあります。
実際に、企業が事業を運営する地域によっては(拠点数が1つの場合でも、世界中に複数のオフィスを構える場合でも)、物理的国境やデジタル的な国境を越え、個人ユーザーや顧客データの移転に関するいくつかの規制を遵守しなければならない可能性が高く、さらに、医療、金融、エネルギーなどの一部の業界の場合、相対的に規制が厳しくなります。
国家や裕福なハッカーグループの後ろ盾がある攻撃者など、金銭的動機を持たない攻撃者は、従来のセキュリティプロトコルや手法を回避する方法を見つけることがあります。
ベンダー統合が進み、豊富な資金力を持つ単一の強力なプロバイダが多くのセキュリティソリューションや機能を傘下に集めても、十分な資金と動機がある脅威アクターが時に複数で標的のシステムを制圧するのを阻止することは依然として困難です。
サイバーセキュリティの世界における「疲れ」は、通常「アラート疲れ」を指します。これは、複数の種類のアラートが1日に数百回、場合によっては数千回も届くことが原因です。
また、アラートを調査するための適切な人員がチームにいない場合 (いたとしても、アラート精査に時間がかかれば、情報が古くなる可能性があります)、あるいはそのプロセスを自動化する計画がない場合、どのアラートが誤検知でないかを把握し、有効なアラートを調査することは非常に困難になります。
サイバーセキュリティにおけるベストプラクティスは奥が深く、機能によっては、ベストプラクティスが普遍的に適用できないものもあります。ここでは、足がかりとなり、最終的にはサイバーセキュリティ上の大きなメリットとなりうる領域をいくつか広範に紹介します。
MFAを導入すると、ユーザーやアプリケーションがアクセス権を取得する際に、ユーザー名とパスワードの入力以外に追加手順の実行が必要となります。これは通常、ハードウェアキーの提示、認証テキストメッセージの受信やワンタイムコードの入力の形式で行われます。
自動化とオーケストレーションは、チームは重要なセキュリティとITプロセスの制御に犠牲を強いることなく、セキュリティ体制と効率の向上を実現できます。 ここでは、異なるセキュリティシステムを統合し、効率的に連携させた運用が、サイバーセキュリティプログラムを成功させるための鍵となります。
このモデルでは、人、エンドポイント、モバイルデバイス、サーバー、ネットワークコンポーネント、ネットワーク接続、アプリケーションワークロード、ビジネスプロセス、データフローなど、すべてを本質的に信頼しません(ゼロトラスト)。したがって、人、プロセスなどは、常にに承認や認証が求められます。
このテクノロジーは基本的に、攻撃者を狙うおとりとして機能します。ディセプションテクノロジーは、正規のIT資産に見えるトラップを設定することで、攻撃者がこうした資産を狙うよう誘います。その結果発生したアラートなどから、チームは攻撃を止め、ネットワークから退去させるために必要な時間、洞察とコンテキストを得ることができます。