画像: iStock/FangXiaNuo
サイバーセキュリティはニュースで取り上げられていますが、脆弱で時代遅れのセキュリティ対策がもたらすリスクは決して目新しいものではありません。20年以上にわたり、組織は急速に進化する攻撃技術への対応に苦慮してきました。
5月に発生した大規模かつ高度に組織化されたランサムウェア攻撃「WannaCry」により、世界中の数万もの組織がデータの安全な復旧を切望する事態に陥り、マルウェア作成者による脅威は不吉な様相を呈しました。この攻撃は、世界中の組織に明確な警鐘を鳴らし、今こそ既存のサイバーセキュリティ戦略を見直し、強化すべき時だと訴えました。
接続性は機会と課題を生み出す
新興技術、特にモノのインターネット (IoT) は、グローバルな接続性を新たなレベルに引き上げ、導入者と、残念ながら攻撃者の両方にとって、新しく魅力的な機会を生み出しています。
CDWのセキュリティソリューション担当ディレクター、サディク・アル=アブドゥラ氏は、接続性の向上が深刻なセキュリティ脅威の新たな時代を招いていると述べています。「20年間も戦ってきたウイルスが、今や牙を剥いているのです」とアル=アブドゥラ氏は付け加え、組織はより危険なサイバーセキュリティの敵への対応を始めたばかりだと指摘します。「ここ18ヶ月でランサムウェアが爆発的に増加したことで、IT部門外からこれらのプロジェクトを実際に実行に移すための非常に大きな支援が寄せられるようになりました。なぜなら、私たちは実際に痛みを経験したからです。」
IoTは重大な新たな課題を突きつけていると、アル=アブドゥラ氏は指摘する。「新しいデバイスが接続されるたびに、それらは攻撃者にとって潜在的な侵入口となると同時に、管理が必要な新たなデバイス群となるのです」と彼は言う。「残念ながら、世界のほとんどの企業はIoTプロジェクトがもたらす可能性をできるだけ早く実現しようとしており、当初の設計段階からセキュリティを考慮に入れていません。その結果、事後対応や修正が非常に困難な、より大きな脆弱性が生じています。」
アル・アブドゥラ氏はまた、多くの組織が日常的なネットワークセキュリティ対策を怠ることで、意図せずセキュリティリスクを高めていると指摘する。「当社の評価チームがネットワーク内部を調査するたびに、10年間もパッチが適用されていないシステムが見つかります」と彼は言う。「時には、IoTデバイスが原因となることもあります。」
アル=アブドゥラ氏のチームは、工場出荷以来アップデートされていない「LinuxまたはWindowsのコンポーネントが組み込まれた」デバイスを観察しました。防犯カメラ、バッジリーダー、医療機器、サーモスタット、その他様々なコネクテッドテクノロジーは、いずれも潜在的な攻撃の入り口となります。
「ネットワークの間違った場所で、間違った人が間違ったものをクリックするだけで、問題は解決します」と、シスコ セキュリティ ビジネス グループの副社長兼チーフ アーキテクトであるマーティン・ローシュ氏は述べています。「環境全体に感染が広がり、深刻な問題を引き起こします。」
「攻撃者と防御の問題が極めて非対称であるため、私たちが今生きている世界は非常に複雑です」とローシュ氏は付け加えた。
ネットワークとそこに配置されたデバイスの性質が変化し続けていること、そして組織がIT環境に新しいソフトウェアやハードウェアを導入し続けているという事実が相まって、新世代の熟練した攻撃者に追いつくことはほぼ不可能になっています。「攻撃者の攻撃意欲は非常に高いため、今日私たちが直面しているような脅威環境に対応し、効果的な対策を講じることは非常に困難になっています」と彼は述べています。
ヒューマンファクター
セキュリティのベストプラクティスに従うことはネットワーク セキュリティにとって不可欠ですが、多くの組織はセキュリティ チェーンの最も弱い部分である「人」に気付いていないか、ほとんど注意を払っていません。
経営コンサルティング会社ブーズ・アレン・ハミルトンのエンタープライズ情報セキュリティ担当ディレクター、マイク・ウォーターズ氏は、本質的に人間的な問題を技術的な手段だけで解決しようとするのは無意味だと述べています。「人々がどのようなリスクを認識しているかを伝え、それを文書化し、慎重に検討できるような雰囲気、環境を作らなければなりません」と彼は付け加えます。
ブーズ・アレンには2万5000人の従業員がいるとウォーターズ氏は言い、「ブーズ・アレンを守るには2万5000人が必要だ」と付け加えた。ユーザーを教育し、そしてほんの少しのパラノイア(とウォーターズ氏は冗談めかして言う)を植え付けることで、ユーザーが遭遇したあらゆる疑わしい事柄を報告する、警戒心の強い組織が生まれる。「報告の99%は悪くないが、1%の重大な情報は私たちを困らせる可能性がある」と彼は言う。「私たちはその行動を促し、すべてを報告させているのです。」
リスクとメリットを比較検討する
セキュリティとは、リスクと予想される利益を比較評価することに尽きる。「リスクに関して興味深い点の一つは、低レベルのエンジニアはリスクがどこにあるのかを把握しているにもかかわらず、必ずしも誰にも伝えないということです」とウォーターズ氏は言う。彼は例として、第二次世界大戦中の連合軍によるマーケット・ガーデン作戦(書籍と映画『遠すぎた橋』で記録されている)を挙げ、無線通信の不備によって致命的な障害を被った。「現地に着いた時点で、無線が機能しないことは分かっていました」とウォーターズ氏は言う。「事態を悪化させたくなかったため、誰にも伝えなかったのです。」
リスクが特定されたら、ユーザーとITプロフェッショナルは経営陣の支援を得て、そのリスクに対処することに全力で取り組まなければなりません。あらゆる部門、あらゆる状況において、冷静な対面でのコミュニケーションは、常に信頼性が高く効果的なセキュリティ対策となります。「私たちが常に緊張感を持って走り回っていたら、彼らは私たちと話したがりません」とウォーターズ氏は付け加えます。「私たちは、誰もが私たちと話し、それぞれのリスクを共有できるようにしたいと考えています。そうすることで、優先順位を付け、彼らを信頼できるようになります。」
理想的な世界では、セキュリティ専門家はリスクのない環境の構築に努めるはずです。「私たちはリスクをゼロにすることを望んでいます」とウォーターズ氏は言います。しかし、組織が行うあらゆる行動には、ある程度のリスクが内在するため、それは不可能です。「困難に思えるかもしれませんが、企業が受け入れるリスクは確かに存在します」とウォーターズ氏は付け加えます。
過剰な警戒は、特にセキュリティ上の義務が日常業務に不必要に支障をきたす場合、利益を阻害したり、低下させたりします。単に何をしてはいけないかを指示するだけでは、効果がほとんどありません。特に、従業員が実際に行っていることが時間の節約になり、良い結果をもたらしている場合はなおさらです。「Dropboxなどの事例についてお話しします」とウォーターズ氏は言います。「ポリシーが厳しすぎると、従業員はそれを回避する方法を見つけてしまいます。」
ランサムウェアに屈する危険性
ランサムウェアは銃を持った凶悪犯のようなものです。「金を払わないとデータが奪われます!」
このような露骨な要求に直面して、多くの組織は単に屈服し、データを回復するために必要な金額(通常はビットコインの形で)を支払います。
問題は解決したのか?必ずしもそうではないと、エンドポイントセキュリティプロバイダーであるCarbon Blackの共同創業者兼最高技術責任者であるマイケル・ヴィスキューソ氏は述べ、ランサムウェア攻撃から逃れる容易な方法はないと考えている。「身代金を支払った人が、これで終わりだと考えていることに、いまだに驚きます」と彼は言う。「現実には、攻撃者はシステムにアクセスし、いつでも好きなときにファイルを暗号化・復号化し、そのたびに料金を請求しているのです。」
セキュリティ技術企業Sophosのセキュリティリサーチ部門グローバルヘッド、ジェームズ・ライン氏は、多くのランサムウェア攻撃者が復号されたデータ内にコードを隠し、将来的にホストを再感染させていると指摘する。「一度支払えば、二度支払うことになるからです」と彼は説明する。
ライン氏はまた、「シュレッドウェア」という新たな脅威についても警告を発している。これは身代金を要求せずにデータを暗号化し、事実上データを破壊するマルウェアだ。「私がこの件を取り上げるのは、最近、取締役会の諮問会議で『まあ、基金は確保しておいて、もしデータが暗号化されたらサイバー犯罪者に金を払えばいい』という意見が多かったからです」と彼は言う。
代わりに、組織はランサムウェアから身を守るための対策を講じることができます。具体的には以下の対策が含まれます。
効果的なバックアップ: ITスタッフは、バックアップサービスなどの外部の場所に定期的にバックアップを実施することで、手間と費用を削減できます。ランサムウェア感染が発生した場合でも、バックアップデータがあれば組織は迅速に復旧できます。
ユーザートレーニング:感染のほとんどは、悪意のあるペイロードにつながるリンクや添付ファイルをユーザーがクリックしたことが原因です。ITチームは、ユーザーにこれらの落とし穴に注意するようトレーニングすることで、こうした落とし穴を回避できます。
セキュリティ ソリューションの導入:マルウェア対策、ファイアウォール、電子メール フィルターなどの対策は、ランサムウェアの検出と感染の防止に役立ちます。
悪徳起業家たち
組織が野心と革新によって成果を上げるのと同じように、サイバー犯罪者も活動方法を改良しています。「犯罪者は起業家精神にあふれています」と、シスコ セキュリティ ビジネス グループの副社長兼チーフアーキテクトのマーティン・ローシュ氏は述べています。
成功しているサイバー犯罪者の多くは、大規模で組織化されたテクノロジー組織に所属しています。「インフラとホスティング施設を構築するチーム、脆弱性調査を行うチーム、データ抽出を行うチーム、ランサムウェアを開発するチーム、ランサムウェアを配布するチーム、インターネットの脆弱性評価を行うチーム、スパムフィルターを回避する方法を考えるチームなど、様々なチームが存在します」と、Carbon Blackの共同創業者兼CTOであるマイケル・ヴィスクーソ氏は述べています。
ロッシュ氏は、組織は「今日直面しているような脅威環境に対応して効果を上げるのは非常に難しい」と感じているが、シスコ社内のセキュリティ専門家はサイバー犯罪組織を特にターゲットにし、その排除に一定の成功を収めていると述べている。
リスク管理の詳細については、こちらをご覧ください。
