脅威インテリジェンス企業のGuruculのCEOが世界のCISOが目標としているセキュリティ対策について解説した記事が出ていました。
threatpost.com
キタきつねの所感
2020年に発生した事象からの多くの企業が今年取り組んでいる事と言う内容の様です。
少し残念なのは、ゼロトラスト視点では無い事ですが、それでも多くの日本企業・組織にとっても参考になる点が多いかと思います。
最初に挙げられていたのが、SOCの自動化です。自社SOCを前提に考えると、昼夜に高度な判断能力を持つ人員をSOCに貼り付けておくより、他の所に優秀な方を置いてセキュリティ体制を構築したいという企業は全世界的にも多い様です。
自動化は一足飛びには移行できない課題かと思いますが、挑戦する価値があると考えているCISOが多い様です。
セキュリティオペレーションセンター(SOC)の自動化
最初の顧客の目標はSOCの自動化です。多くのCISOは、データサイエンスがセキュリティ制御の一部を推進できるようにするために、型にはまらないセキュリティ制御への支出を増やすことについて話します。脅威を手動でハントし、すべてのアラートを優先順位付けするのに十分な人数がいるとは誰も言っていません。これは、ポリシーベースのセキュリティソリューションで特に当てはまります。これは、それらが多くの誤検知を生成するためです。したがって、SOCの自動化と、よりインテリジェントなモデリングと高度な脅威検出のためのSOCチームの転用は、複数の業界や地域で見られる共通のテーマです。
(threat post記事より引用)※機械翻訳
ここがゼロトラスト再設計で最初の課題となる部分ですが、コロナ禍で新たに増えた環境の”パッチ当て”が重要だと考えているCISOは多い様です。しかし残念ながら多くの企業がこの部分に失敗し、サイバー(ランサム)攻撃を受けている現状があります。
まずは新しく増えた環境にアセスメントを行う。セキュリティの世界では当然の事なのですが、当たり前の事が出来ていない事に、多くのCISOが気づき始めています。
リモートワークフォースモニタリング
労働力のほとんどは、オフィスビルからさまざまな遠隔地からの作業に移行しています。リモートワーカーを監視する際の課題のいくつかは、リモートワーカーを使用してデータをリアルタイムで把握することですが、これは簡単ではありません。また、フィッシング攻撃を受けやすいユーザーを特定することも重要な問題です。組織は、信頼できない場所または安全でない場所からリソースにアクセスしているユーザーを特定する必要があります。これは、ユーザーが企業のファイアウォールの背後にある1つの安全な場所で作業していないためです。従業員は、Microsoft、Amazon、Salesforceなどの一部のクラウドサービスプロバイダーを介して、またはWebExやZoomなどの仮想会議ソフトウェアを使用して企業資産に直接アクセスしている可能性があります。どのマシンがアセットに接続されているかがわかりません。彼らは本当にどこから来ているのですか?そして、誰がどこから接続していますか?コンテキストを収集し、通常のパターンを確立してから、標準外のものを探すことができる必要があります。これは大きな課題です。
(threat post記事より引用)※機械翻訳
ここもゼロトラスト再設計と一部被りそうですが、リスクベース認証が主になっている所が少し違うかも知れません。クレジットカードの認証、3Dセキュア(v2)でもリスクベース認証が取り入れられ始めていますが、リスクベース認証の最大のメリットは「フリクションレス(ユーザービリティの良さ)」です。
定期的にチューニング(PDCA)が必要というデメリットはありますが、それを上回るメリットを考えて、ログイン認証の裏側にリスクベース認証を併用するという事に取り組んでいる企業が多いという事なのかと思います。
日本ではこうした実装例をECサイト以外では聞いた事がありませんが、特権IDまでカバー出来れば、セキュリティレベルはかなり向上するかと思います。
アクセス分析とリスクベースのアクセス制御
興味深い次の顧客の目標は、アクセス分析とリスクベースのアクセス制御です。パンデミックのため、クラウドオプションの加速がありました。これは、アクセスリスクの可視性を提供するという点で課題を提起しました。派遣社員のアクセスをどのように動的にプロビジョニングしていますか?特権アクセスをどのように管理していますか?リスクのあるアカウントの発見とクリーンアップ、リスクベースのアクセス認証、およびリスクベースの認証に関する課題は、お客様にとって重要な領域になっています。特に今では、さまざまなデバイスのさまざまな場所から非常に多くのユーザーがログインしています
(threat post記事より引用)※機械翻訳
3つ目は内部犯行対策です。ここは従来から対策をしてきた企業も多いかと思いますが、テレワーク等、コロナ禍で会社(有人監視)環境以外でも従業員が働く事が当たり前になりつつある中、従来の対策で十分なのか、追加対策を試行しているCISOが多いという事なのかと思います。
ここは企業や組織にとっては、非常に悩ましい領域な気がします。
色々な考え方があるかと思いますが、私は一定の脅威が内部侵入する事を前提に、アクセス権限については限定付与する事も有効だと思います。会社に居る時と同様に一律で全てのアクセス権限を付与せず、例えば重要な会社情報や個人情報を取扱うサーバやDBには、一時的なアクセス権を申請し、作業が終わったら一時権限がはく奪される様な運用です。(企業内データのセグメンテーション管理?)
また、権限変更があった際は、そのログが改ざんできない様に保護された上で、別な管理者にレポートされる仕組みが併用されていると、悪意のある第三者の特権ID昇格といった攻撃にも耐えられる運用になっていくと思います。
インサイダーの脅威の検出と防止
次の重要な顧客の目標は、内部の脅威を検出して防止することです。誰もが内部の脅威、特にパンデミックで何が起こっているのかを心配しています。インサイダーの脅威には、悪意のあるインサイダーだけでなく、怠慢なインサイダーも含まれます。また、インサイダーになりすましたアウトサイダーも含まれます。インサイダーは詐欺を犯していますか?彼らは会社のデータを盗んでいますか?彼らは見るべきではない記録を見ていますか?これらは、お客様がインサイダーの観点から知りたい重要な側面の一部です。インサイダーの脅威には、スパイ活動から盗難、妨害行為、詐欺、競争上の優位性まで、さまざまな種類があります。通常、内部脅威は、アクセスの誤用、データの漏えい、アカウントまたはホストの侵害という3つの主要なカテゴリに分類されます。
(threat post記事より引用)※機械翻訳
4つ目はクラウドシフトです。オンプレからクラウドへ急速にシフトが進む中で、クラウド内の脅威をどう可視化し、どう運用を効果的にしていくかという課題に取り組んでいるCISOが多い様です。
監査の立場で考えると、クラウドを全面的に信頼するというのも危険かと思います。インフラはしっかりセキュリティ対策が取られていたとしても、サービスの「設定ミス」まではインフラ事業者は担保してくれないからです。
短期間にダイナミックに構成が変わるクラウドは良い点ばかりが注目されますが、クラウド全体としてセキュリティが担保されているかどうか、診断・監査する、この事を忘れた所はクラウドに企業資産が集中するからこそ、大けがをする可能性がある事も留意したいポイントです。
クラウドトランスフォーメーション
顧客の次の目標はクラウドの変革です。クラウドの変革と採用については、かなりの数年前から聞いています。そして、顧客はその方向に動き始めました。パンデミックにより、5年以内にクラウドの変革を計画していた顧客はタイムラインを上に移動しました。重要なアイデアは、顧客が安全なクラウドオプションを確保しようとしているということです。アマゾンAWSからAzure、Box、Office 365などのクラウドアプリケーションとインフラストラクチャを可視化し、クラウド内の脅威に対する制御を緩和する必要があります。彼らはまた、それが彼らの王国への鍵であるため、クラウド特権アクセスを発見したいと思っています。
(threat post記事より引用)※機械翻訳
最後がXDRでした。
誤解を恐れずに言えば、EDRで失敗した所が多かったというオチなのではないかとも思います。好意的に解釈すれば、IoT機器((センサー)等も入ってくるので分析すべき情報が多くなり、今まで以上に「可視化」「自動化」が重要になってきているから取り組んでいる・・のかと思います。
拡張検出および応答(XDR)
XDRは新しいテクノロジーであり、顧客はそれをかなり迅速に採用しようとしています。XDRを採用するための重要な側面の1つは、組織全体のすべてのセキュリティテレメトリをリンクすることにより、高度な脅威検出の精度を向上させることです。エンドポイント、ネットワーク、アプリケーション、およびIDテレメトリは、リアルタイムの脅威検出のために統合されています。さらに、XDRは、迅速なインシデントの相関と原因により、より高速なインシデント対応を実現します。自動化された応答アクションは、オーケストレーションプレイブックと自動化ワークフローをトリガーし、最終的に運用コストを削減します。
(threat post記事より引用)※機械翻訳
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴