そこでこのブログシリーズでは、組織が直面しているセキュリティ上の最重要課題に焦点を当て、その克服方法について説明します。全5回にわたるこのシリーズでは、毎回、特定の課題を取り上げ、それぞれの課題を克服するために、組織独自のニーズを満たしながら、自分に合った方法を見つけるためのガイダンスを提供します。
ニーズ、要件、予算的制約、ロケーションは組織ごとに異なるため、ここで提供するガイダンスは「こうしなければならない」と言うような規範的なものではありません。むしろ利用可能なオプションを、その長所と短所と共に書き出したものであり、組織とそれをサポートする管理チームが、事業運営、プロセス、ユーザ、そしてもちろんデータに最も影響を与える現代の脅威、攻撃、懸念に対処しながら、各組織に最適なセキュリティ戦略を開発できるように支援できるようにします。
過去のブログでは、ハッキンググループ、要人を狙った攻撃、内部脅威などサイバーセキュリティ上の脅威に関連する予期せぬビジネスリスクによってもたらされる課題について取り上げました。第4 回となる本エピソードでは、組織外からのサイバーセキュリティの脅威への準備と対応に焦点を当てます。
- ネーションステートからの標的型攻撃
- パーソナルデバイスを使うことでユーザが持ち込むリスク
- 非認可ソフトウェア&サービスの職場利用
- インフラ内の未発見の脅威
では早速、本題に入りましょう。
ネーションステート
政府による市民の監視。抑圧的な支配。「ビッグブラザー」世界のどこに住んでいるかにもよりますが、これらの婉曲表現はどれもネーションステートやステートスポンサード攻撃を端的に言い表したものです。だからといって、すべての監視、とりわけ高速道路やショッピングモール、公共交通機関の駅や停留所のような公共の場で一般市民を監視するという大きな目的を果たす監視が権力濫用行為であると言っているのではあありません。ただ、すべての政府が同じ原則に基づいているわけではなく、それは国民への見方にも及んでいるということです。
国家の主権を守るという観点で見た場合、計略を変えると異なる結果を招きかねません。よって当然、実世界で用いられている戦術がデジタル領域でも採用され、スパイ活動や破壊工作、さらには本格的な戦争などの戦術がサイバー上で展開されています(これについては後述します)。
ネーションステート攻撃の危険にさらされているのは誰ですか?
簡単に言えば、どんな人でも国家を後ろ盾にしたネーションステート攻撃の標的になり得ます。コミュニケーションや機器へのアクセスを含む膨大なリソースと優秀な脅威アクターを考えると、ネーションステート攻撃は、政府とのコネを持つ組織であろうと、事業活動を行う民間組織であろうと、組織にとって重大な脅威となります。
彼らの狙いは何ですか?
この種の攻撃は通常、さまざまなベクトルを標的としますが、主な目的は次のとおりです:
- 作戦やインフラの混乱、妨害
- 偽情報の拡散、情報の改竄
- 機密データなどの重要情報の入手
- 「内部告発者」による非難を阻止
ネーションステート攻撃の標的は?
個人でも、組織でもネーションステート攻撃やステートスポンサード攻撃を受ける可能性があり、通常、攻撃の背後にある動機は国のアジェンダと合致しています。このうち最も一般的なターゲットは以下のとおりです:
- 反体制派、ジャーナリスト、国に対して積極的に意見を述べたり、不公正な慣行を明るみにする団体など、国家にとって脅威とみなされる者
- 電力、金融、通信、ヘルスケア企業などの重要インフラ
- 兵器システム、情報データベース、また計画、移動、位置などの情報データベースや機密情報などの軍事関係
- 政治運動、票の改ざんや選挙妨害、公共および民間向けの政府ウェブサイト
企業は、ネーションステート攻撃から自社とユーザをどう守るべきでしょうか?
まず何よりネーションステート攻撃を過小評価しないことです。他のサイバー脅威同様、彼らは手段を達成するためにリスクを冒し、攻撃ベクトルが見つかれば、比較的短時間でデータ侵害を成功させます。しかし、他のサイバー脅威や機会攻撃とは異なり、ネーションステート攻撃は多くの場合、非常に潤沢な資金を持ち、また十分な準備が重ねられており、高度な攻撃を遂行するための強力なツールも持ち合わせています。さらに、動機は重要ですが、必然ではありません。ネーションステート攻撃は、歴史的に見て明確なミッションを持たずにサイバー攻撃を行うことが分かっています。しかし非常に忍耐強く、時間をかけて偵察を行い、たとえ遂行に何年かかろうとも、それに基づいて攻撃を計画します。
このことを念頭に置き、ITチームとセキュリティチームは、あらゆる脅威を軽減する銀の弾丸や「オールマイティ」なソリューションは無く、慎重に計画されたものでなければならないことを認識するべきです。
実際、最善策は組織のリソースに接続&アクセスするデバイスのセキュリティポスチャを強化する強固で重層的な防御戦略を導入し、ネーションステート脅威の犠牲になるリスクを最小限に抑えることです。例えば:
- まず重要な第一歩として、リスク評価を実施し、ネーションステート脅威について理解すると共に、実行される攻撃の種類やどのリソースがリスクにさらされているか特定する
- モバイルデバイス管理(MDM)を通じてデバイスにセキュアな構成をデプロイ&実行し、会社所有および個人所有のデバイスの不適当なシステム構成を軽減する
- デバイスのOSとアプリをすべて最新の状態に保つためのパッチ管理計画を取り入れる
- クラウドベースのIDプロバイダ(IdP)を管理ソリューションやセキュリティソリューションと統合することで、アクセスワークフローを保護しながら、インフラストラクチャ全体に権限と保護を拡大する
- MFA(多要素認証)と条件付きアクセス認証コンテキストをローカルとリモートの全デバイスに要求し、Zero Touch Network Access (ZTNA)であらゆるネットワーク上に、真にスケーラブルでセキュアな保護を実現する
- エンドポイントのコンプライアンスを監視し、ログデータを希望のSIEMソリューションにエクスポートして、デバイスの健全性をリアルタイムで把握する
- フリート全体に、ネットワークおよびデバイスのエンドポイント保護を展開。セキュリティフレームワークと連携してマルウェアを防止し、リスクを最小限に抑える
- 高度な動作分析により未知の脅威を発見して修復し、データ侵害が発生する前に不審な動作やマルウェアを特定する
- サードパーティの侵害によって自分達の組織にもたらされるリスクを軽減するため、パートナー企業が適切なアクションをとっているか確認。パイプラインの各段階でエンドポイントが保護されているかチェックする
- セキュリティ意識向上のためのトレーニングセッションを定期的に開催し、サイバー脅威に対するエンドユーザの意識を高める。ソーシャルエンジニアリングの脅威を特定し、阻止するためにユーザの知識を育む
BYOD(私的端末の業務利用)デバイス
BYODプログラムはかなり前から存在していますが、2007年のiPhone登場は、まさに現代におけるスマートフォンの爆発的な成長のきっかけであり、仕事とプライベートユースの両方でスマホは広く普及。
大きくかさばるノートPCよりも、柔軟で使いやすく効率的なことから、ますます多くのユーザがモバイルデバイスを採用するようになりました。また、ノートPCは重量があること、そして使用中にデバイスの電源が落ちないようにするため、より頻繁な充電が必要であることもネックとなりました。さまざまな種類のデバイスで複数のオペレーティングシステムをサポートするという問題は昔からありましたが、モバイル利用の爆発的な増加は、言うまでもなくデバイスと社内ネットワークの安全を維持するITチームとセキュリティチームの仕事を確実に増加させました。
セキュリティポスチャを維持しながらモバイルデバイスをサポートするという課題のソリューションとなるのは、モバイル デバイス管理 (MDM) です。
MDMは、Appleのセキュリティフレームワークと連動して、モバイルデバイスの管理を単に加速させただけでなく、セキュリティとユーザプライバシーを徹底的にサポートするフレームワークを設計することで超高速化させました。Jamf Proのようなソリューションは、Appleが確立した基盤を完全にサポートし、さらにそれを拡張。すべての所有モデルをサポートし、即日サポートにより、ITが安全かつセキュアな方法で、企業ネットワークにアクセスするすべてのmacOS、iOS/iPadOS、tvOSデバイスを管理するための強固な基盤を提供します。
個人所有、会社所有に関係なく、管理およびセキュリティのワークフローをすべてのデバイスに拡張することで、組織は以下のようなデバイスから持ち込まれるリスクを一斉に制限することができます:
- 設定が不適切、または全くコンフィグされていない
- 最新のセキュリティアップデートができていない
- 必要なアプリやアップデートが欠けている
- 紛失や盗難に遭った場合、データを復元、あるいはワイプできない
- 非公認アプリ/サービスの利用によるコンプライアンス違反(シャドーIT)
- 安全でないボリュームのデータ処理および保存
- 信頼できないネットワーク上での非暗号化通信
- パスコードを使用しないことによる、暗号化されていない平文でのデータ放置
- デバイスの健全性に関する重要データをリアルタイムで監視・報告していない
- IT/セキュリティによる管理ができず、インシデントを効果的に軽減できないままになっている
職場におけるデバイスのセキュリティに関して、上記のリストはすべてを網羅したものではありませんが、MDMを利用することで、以下のような方法で組織はビジネスリソースをセキュアに保ちつつ、ユーザの個人デバイスへのスムーズな移行を確実にすることができます:
- ユーザ起動の登録により、プライバシーや個人データはそのままに、ビジネスリソースの企業規模のセキュリティを安全な別ボリュームで利用する
- デバイスのロックダウン設定(ワイヤレスネットワークやビジネスリソースへのコネクティビティを確保するための設定プロファイルのインストールなど)
- 脆弱を修正するシステムおよびセキュリティアップデートでデバイスを常に最新の状態にキープする
- サポートされた設定済みアプリを導入し、ユーザの生産性を維持とデータセキュリティを両立
- ポリシーベースの管理により、企業や当局のガバナンスの遵守徹底
- 個人用の従来のApple IDとは別にビジネス用の管理Apple IDを実装し、データと設定をクラウドにバックアップ
- パスコードの要求やボリュームの暗号化など、セキュリティ強化のための機能や拡張性を有効化
- 事前承認済みビジネスアプリのSelf Serviceカタログを活用したり、ビジネスリソースへのセキュアなリモートアクセスを実現するZTNAのような必要なサービスを導入し、ユーザに権限を付与
- MDMとエンドポイントセキュリティソリューションを統合して、デバイスの状態をリアルタイムで監視し、自動修復ワークフローを実装
- デバイス上およびネットワーク内の脅威を積極的に防御し、デバイスを常に保護する
シャドーIT
前のセクションではBYODに付随する課題についてお話しましたが、このBYODプログラムは時々シャドー ITと混同されることがあります。しかし実は、適切に実施されれば、BYODはシャドー ITの脅威を軽減するソリューションになり得ます。とはいっても、シャドーITの脅威の要因は、サポートされていないデバイスを業務で使用することだけではありません。ITチームやセキュリティチームによる審査を受けていない無認可のアプリやサービスを利用した、企業データへのアクセス、プロセス、保存、送信なども要因です。
シャドー ITは本質的に悪意のあるものではありません。よくあるのが、会社が認めているアプリやサービスの使いにくさに不満を抱いたエンドユーザが、純粋に生産性を維持し、価値を失うのではなく高めたい考えて、より優れたハードウェアや効率的なソフトウェアに依存しまい起こるというものです。
セキュリティ分野のほとんどのことに言えることではありますが、ツールはツールでしかありません。悪意のあるものかどうかを決めるのは、それを操作するユーザの意図です。しかし、他のツールとは異なり、サイバーセキュリティでは、意図だけがリスクを決定するわけではありません。ユーザーは、意識的かどうかにかかわらず、多くの場合、意図に関連したリスクを引き起こす可能性があります。
この記事の目的は、意図に悪意があるかどうかを判断することではなく、シャドーITによってもたらされるリスク要因を特定すること。そして何より、組織のセキュリティ体制を強化するために、それらを効果的に軽減できるよう支援することです。
IBMの2022年「Cost of Breach」レポート は、シャドーITの被害コストを308万ドルから502万ドルと試算。「攻撃者は構成エラーやアプリ内の脆弱性を利用し、その多くは従業員が認可されていないサービスを利用していたために発見されなかった」と結論付けています。
企業は自分たちが知らないものをどうやって守ることができるのでしょうか?
それは、シャドーITを受け入れることです。
明確にしておきますが、これはエンドユーザーがどんなハードウェアやソフトウェアツールでも、勝手に使用して良いと言う意味ではありません。また、1990年代後半から2000 年代の頃のように、非常に厳格な管理に戻るという話でもなく、むしろ現代のセキュリティツール、より柔軟な実践と手順を活用しながら、企業リソースを不正アクセスから保護するという考え方です。
シャドーITの脅威から資産を守るには?
まず第一歩は、ユーザがなぜシャドーITを利用するのか、どのようなリソースが利用されているのか、そしてなぜそれが組織が提供するソリューションよりも優れたソリューションなのかを理解することです。この情報を活用することで、企業はシャドー IT がどのようなリスクをもたらすかをより深く理解し、「どのように資産の安全を守るのが最善か」という最初の質問に対する答えに辿り着くことができるはずです。
何を、なぜ保護しなければならないか分かったところで、では実際にはどう保護すればよいのでしょう?
シャドーITを受け入れるという前述の提案の一環として、エンドユーザに特定のデバイス、アプリ、サービスを使用できないことを伝えるだけでは意味がないことを明確に理解する必要があります。またデータセキュリティに関しては、誰かの言葉をそのまま鵜呑みにするのではなく、保護が適切に実施され、脅威が積極的に軽減されていることを検証、あるいはそれらを実行する力を持つことが大切です。
これは、効果的にリソースを保護しながら、ユーザが最も生産的であるために求めている(あるいは必要でさえある)柔軟な選択を可能にする、多層的な戦略を採用することによって実現が可能です。
- 従業員の選択制または認可されたBYODプログラムを導入し、従業員が最も使いやすいテクノロジーで仕事ができるようにする一方、会社のMDMソリューションによってデバイスが適切に設定されるようにし、可視性とセキュリティを高める
- シャドー ITと組織の標準やプロトコルの足並みを揃える。例えば、デバイス、ユーザ、データを総合的に保護するために、管理およびアイデンティティと統合されたエンドポイントセキュリティ技術を導入する
- セキュリティ保護を進化させる。例えば、ゼロトラストネットワークアクセス(ZTNA)ソリューションを採用し、アクセス要求が行われるたびに、そして許可する前に、ユーザ認証情報とエンドポイントの健全性ステータスを検証することで 不正アクセスや危険なデバイスからビジネスリソースを保護し、暴露やデータ漏洩を最小限に抑える
- デバイス内ストレージやネットワーク上で暗号化が有効になっていることなど、保護されたビジネスリソースにアクセスするためのハードウェア/ソフトウェア要件を設定し、デバイスがこれらの標準を満たすことを要求する
- 運用を合理化し、エンドポイント、ユーザ、データのセキュリティに最大のメリットをもたらすIT資産を優先する。分散した労働力のニーズに適応しながらも、互換性のない非効率なリソースを排除してコストを削減する
脅威ハンティング
エンドポイントの保護はもはや常識です。そしてエンドポイントセキュリティといえば、最も注目される脅威の1つがマルウェアであり、悪意のあるコードはサイバーセキュリティにとって重要な脅威の1つとなっています。エンドポイントプロテクションは既知の脅威タイプに対する優れたセキュリティレイヤーを提供する一方、これらのソリューションの多くで使用される行動分析では、シグネチャに基づいて既知の脅威を防御することでデバイスを保護します。
しかし、それだけでは十分ではありません。別の脅威はデバイスの深部である、OSにインストールされたアプリケーションのコードの下に潜んでいます。これらの未知の脅威は、時間をかけて待ち伏せし、可能な限り企業の業務に関する情報を集め、攻撃するタイミングを待っていることがあります。
「知らないものを知ることはできない。まだ発見されていないことを知ることはできない」と言うJonathan Raymondの言葉はまさにこの状況にぴったりと当てはまります。しかし「まだ発見されていないことを知ることはできない」と言う言葉は、「それらを発見し、もっと知るために逆に何ができるのか?」という好奇心を掻き立てる疑問をITチームとセキュリティチームに投げています。
そしてこの質問に対する答えが脅威ハンティングです。
先に触れたように、すべての脅威アクターが同じ行動をとるわけではなく、彼らのアクションは、ターゲットと同じくらい多様です。ある者はツールを駆使して隙を突き、またある者は、長期戦に持ち込む計画を注意深く立て、標的を長期間監視しながらデータを収集し、最適なタイミングで戦略的に攻撃者を攻撃するためにツールに反映させます。そしてその機会が現れないとしても、彼らはそれを作り出すよう努めます。
どちらも企業のセキュリティポスチャにとって危険なものですが、後者は脅威が実際の攻撃期間よりもはるかに長引く可能性があります。ITチームやセキュリティチームは、このような事態に頭を悩ませるかもしれませんが、見方を変えれば、攻撃者がデータ侵害のようなはるかに深刻な事態に発展する前に攻撃を食い止めるチャンスがあるとも言えます。
脅威ハンティングの目的は、狩る側が狩られる側になることです。言い換えれば、企業のデバイスに侵入した脅威は、ITとセキュリティの専門家チームによって見つけ出され排除されることになります。彼らは、時間とリソースを割いてテレメトリデータを収集、照合、分析して、ベースラインに対する識別可能な異常を探り出し、深層防御のセキュリティプランの一環として、これらの隠れた脅威を追い詰め、緩和します。
脅威ハンティングを専門とするチームは、IT関連のあらゆるバックグラウンドを持つプロフェッショナルで構成され、その規模はさまざまです。チームメンバーは概してデータサイエンスやプログラミングの専門家であったり、経験豊富なセキュリティスタッフで構成されますが、サイバーセキュリティツールの変化により、豊富な経験や専門知識を持たない小規模なチームでも脅威を発見するタスクを実行できるようになり、組織のインフラに潜む未知の脅威のリスクを低減できるようになりました。
独自の脅威ハンティングチームを設立を結成したら、目的を達成するために役立ついくつかのアクティビティがあります:
- エンドポイントの状態を常にリアルタイムで監視し、デバイスの状態をチェックする
- 高度な機械学習 (ML)と脅威インテリジェンスエンジンを活用して大量かつ複雑なデータを分析することで、脅威の検出と修復を支援する
- エンドポイントのログをSIEMソリューションにストリーミングし、脅威、危険なアプリ、不審な行動、システムプロセスに関する情報を一元化したきめ細かなレポートを提供する
- ベースラインを作成することにより、デバイスとネットワークのセキュリティポスチャを標準化し、MITRE ATT&CK、NIST、CIS などのセキュリティフレームワークと整合させることで、コンプライアンスを確保する
- 分析、状況判断、インテリジェンスの方法論を融合させ、成熟したレベルの一貫性と拡張性を実現し、効果を高めながら、現在と未来に適応する
現在および将来の外部セキュリティ脅威からAppleセキュリティを保護します。
AppleとJamfソリューションでリスクを軽減しながら、デバイス、ユーザー、データのセキュリティとプライバシーの適切なバランスを確立しましょう。
Jamfブログの購読
市場トレンドやAppleの最新情報、Jamfのニュースなどをお届けします。
当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシーをご参照ください。