3つの新たなセキュリティトレンド
拡大し続ける攻撃対象領域への対処
CISOが自社のビジネスを守るためには、脅威の状況に先手を打つことは極めて重要ですが、実際に最先端の状態を維持することは困難です。脅威アクターは進化がとても速く、従来の攻撃手法と新規の攻撃手法の両方で組織を標的とする事例が増えています。セキュリティプログラムは、特に組織が内部AIモデルの構築と導入を急ぐ中で、進化する攻撃対象領域を保護するという任務を与えられ、絶えず拡大し続けています。そして、セキュリティチームは、敵の進歩と組織の進歩の双方に対応し、追いつくために必死になっています。
この記事では、実世界のデータと観察に裏付けられた、CISOの即時注意と対応が必要な3つの新たなトレンドに焦点を絞ります。
トレンド1:脆弱性管理プログラムは、武器化のペースの速さに対応できていない
脆弱性管理プログラムは長年、脆弱性の公表のスピードに合わせてパッチを適用する頻度を維持することに苦労してきました。Webアプリの重大な脆弱性にパッチを配布するのは遅れ、平均35日かかります。残念ながら、信頼できるパッチを配布する速度の維持は難しくなっています。発見される脆弱性は年々増大しており、2023年には5,000件以上の重大な脆弱性が発見されました。
問題をさらに困難にしているのは、脅威アクターが電光石火の速さで脆弱性を悪用することです。例えば、2024年3月4日に公開されたCVE-2024-27198では、TeamCityサーバーが完全に侵入されました。その同じ日に脅威アクターが悪用を試み、概念実証コードが公開されてからわずか22分後に攻撃が観測されました。
2023年だけで、前年比50%増の100近くのzero-day脆弱性が確認されたため、組織は情報開示を受けて緊急対応を行うという絶え間ないサイクルに直面しています。
推奨事項:
組織は、脆弱性リスクを効果的に軽減するために、単にパッチを配布するだけではない、多面的な戦略を採用する必要があります。まず、ネットワークセグメンテーションとZero Trustの原則によって、悪用できる攻撃対象領域を減らすことから始めます。
次に、利用可能なパッチやパッチ適用リソースがまだないアセットへの不正アクセスを阻止するための保護対策を実施します。その一例として、ファイアウォールネットワークとWeb�アプリファイアウォールの両方で脅威インテリジェンスを活用して、不正アクセスの試みを阻止する対策があります。
最後に、パッチを適用する際は、脆弱性の深刻度ではなく、悪用のリスクを最優先します。CISAの「既知の悪用された脆弱性カタログ」のようなリソースは、優先順位付けを決定する上で非常に役立ちます。
トレンド2:セキュリティチームは、内部AIモデルの保護に備えなければならない
機密データを公開することにより、従業員がパブリックLLMモデルを悪用する可能性については、これまで多く指摘されてきました。このため、Samsungのような企業がその利用を禁止しています。
しかし、攻撃者の格好の標的である内部AIモデルに関する議論はあまり行われていません。企業は多額の投資を行っており、その支出は2027年までに1430億ドルに達すると予測されています。
内部のLLMは、機密情報や知的財産への広範なアクセス権限を持っている可能性が高いです。例えば、営業データや顧客とのやり取りを学習したAIツールがオーダーメイドの提案を生成したり、社内のナレッジベースを学習したLLMがエンジニアから問い合わせを受けたりするものが挙げられま��す。さらに、モデルは高性能マシンで実行されるため、金銭目当てのアクターは、マシンの計算能力を標的にする可能性があります。
内部LLMへの攻撃は机上の空論ではありません。既に起こっています。脅威アクターは、Ray(人気のオープンソースAIフレームワーク)を悪用し、数百の企業の本番環境AIワークロードへのアクセスを許可しました。これにより、機密データ、パスワード、クラウドへのアクセス権限を窃取することに成功しました。さらに、アクターは暗号マイニングマルウェアもデプロイしました。
推奨事項:
セキュリティ責任者は、セキュリティチームがLLM利用のリスクを把握し、内部LLMを導入する企業プロジェクトに積極的に取り組むようにさせる必要があります。LLMのOWASP Top 10から着手すると、データ漏洩防止から専用のAIファイアウォールまで、組織は保護対策の優先順位付けのガイドにすることができます。
トレンド3:VPNへの攻撃の増加により、組織では代替リモートアクセスソリューションを求める声が高まっている
この1年間で、セキュリティアプライアンス、特にVPNに対する攻撃の成功�率が大幅に上昇しました。2024年の最初の4か月だけで、IvantiのSecureConnect VPN、Palo Alto NetworksのGlobalProtect VPN/ファイアウォール、CiscoのAdaptive Security ApplianceのVPN機能を標的とした大規模なzero-day攻撃が発生しました。
一度侵入を受けると、組織のネットワークへの広範なアクセスを許可するため、脅威アクターは意図的にこれらのツールを標的にします。VPNがあまりにも頻繁に攻撃されるため、多くの組織が代替となるリモートアクセスオプションを現在評価中です。
Zero Trustネットワークアクセス(ZTNA)ツールはそのための選択肢の1つであり、広範なネットワークではなく特定のアプリケーションへの認証されたアクセスを提供します。また、パフォーマンス上のメリットもあり、従業員が社内リソースに迅速かつ容易にアクセスできるようになります。
ZTNAは、Zero Trustを採用する組織の一般的な出発点となります。サイバーセキュリティとITの専門家200人を対象としたESG調査*によると、Zero Trustの初期導入で上位に挙げられたユースケースは、SaaSアプリへのZero Trustアプリアクセス(ZTAA)ポリシーの適用や、プライベートアプリへのZero Trustネットワークアクセス(ZTNA)のデプロイです。実際、ZTNAを現在使用しているサイバーセキュリティとIT担当者の75%は、すべての従業員のVPNを置き換えたか、または廃止する予定であると報告しています。
推奨事項:
VPNのような境界ベースの防御は、現在の脅威状況やリモートワークの増加を考えると意味がありません。CISOは、VPNの置き換えを初期のロードマップ項目として、Zero Trust導入のロードマップを作成する必要があります。早期に価値を実証するために、小規模なユースケースや対象となるユーザーセットから始め、そこから拡大していきます。実装のスピード、ユーザーとアプリのリスクプロファイル、従業員からのフィードバック、既存の契約タイミングなどを考慮し、導入に優先順位をつけて効果を最大化します。
新たなリスクに先手を打つ
分散型ITインフラへの依存が高まり、分散型/ハイブリッドワークが普及するにつれ、ビジネスの安全確保はますます複雑化します。インバウンドおよびその他Webベースのインターネット脅威への対処は、歴史的に、保護する対象ごとに存在するサイロ化された従来型ツール(例:ネットワークセキュリティ、アプリケーションセキュリティ、データセキュリティ、脅威インテリジェンス)を手動でつなぎ合わせることで行われてきました。
Cloudflareは、プログラム可能なクラウドネイティブサービスを統合したインテリジェントプラットフォームです。あらゆる場所にセキュリティを提供して人��、アプリ、ネットワークを保護します。これにより、組織はコントロールを取り戻し、コストを抑え、拡張されたネットワーク環境を保護するリスクを低減できます。
*Enterprise Strategy Group, a division of TechTarget, Inc. Research Survey, Cloudflare Zero Trust for the Workforce Survey, May 2024
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
最新のセキュリティトレンドの詳細は、Cloudflareの新しいレポート『セキュリティ概説:人、アプリ、インフラに対する脅威』をお読みください。
記事の要点
この記事では、以下のことがわかるようになります。
敵と組�織の進歩の両方に追いつくために、セキュリティはどのように競争しているか
CISOの3つの新たな即時対応が必要な傾向
組織が先手を打つための実用的な推奨事項