「サイバー戦争」というヘッドラインへの対応
企業セキュリティの評価と強化
2023年に、米運輸保安庁(TSA)のCIOは、米国は「サイバー戦争」に突入していると発言しました。同日、同国サイバーセキュリティ・社会基盤安全保障庁(CISA)と国家安全保障局(NSA)のレッドチームとブルーチームによるサイバーセキュリティ勧告が発出され、ネットワークセキュリティに大きなギャップが��あり、企業がサイバー脅威に対して脆弱になっていることが強調されました。国を問わず、CIOとCISOは企業のインフラとデータの管理者として、今すぐ自社の環境にこうした落とし穴がないか精査し、リスクを軽減するための迅速な対策を講じるべきです。
認証と認可:避けるべき主な失策
勧告は、アイデンティティとアクセスの不適切な制御が重大な露出になっていることを正しく指摘しています。次のような失敗はよくあることです。
ユーザー権限と管理者権限を分離していない
脆弱または回避可能な多要素認証を実装している
非アクティブセッションのタイムアウト設定値が長すぎる
ローテーションポリシーが不適切なため固定パスワードに依存している
このようなミスは、攻撃者がネットワーク境界の内側に侵入した後のラテラルムーブメントと特権エスカレーションを許してしまいます。
��セキュリティチームは、コンテキストを意識したアクセスポリシーの実装により、漏洩した認証情報というあまりにも頻繁に発生する問題の影響範囲を限定的にとどめることができます。適切なシステムを導入すれば管理者権限を厳格に管理でき、一般従業員にとっては摩擦が最小限に抑えられます。
インターネットに公開されているサービスの保護
適切なアクセス制御なしにパブリックインターネット経由で内部リソースを提供することほど、大きなトラブルのもとはありません。単純な設定ミスが原因で、データベース、ファイル共有、バックアップシステム、管理コンソール、その他のサービスへの不正アクセスが許可されることが多く、攻撃者はこれを利用しようと躍起になっています。
外部アクセスと分散型サービス拒否(DDoS)攻撃対策に統一コントロールプレーンを実装することで、セキュリティチームは一貫した可視性と保護適用力を得ることができます。コントロールを回復し、貴重なデータを不正取得を目論む輩から守ることができるのです。
可視性の改善とセグメンテーションの実装
可視化と�セグメント化がされていなければ、悪意のあるコードや攻撃者は、いったんネットワークに侵入してしまえば横移動(ラテラルムーブメント)し放題です。セキュリティチームには、本番環境、ステージング環境、開発環境といった異なる環境間の接続が見えないかもしれません。
企業ネットワークを、関連するリソースをまとめた論理的な信頼ドメインにセグメント化すれば、影響範囲を制限できます。また、行動分析を改善すれば、境界内部の脅威をより容易に検知できるようになります。
攻撃対象領域を縮小
基本的なサイバーハイジーンはもちろん必須です。しかし、NSAとCISAの警告は、企業が脆弱なソフトウェアに適時にパッチを適用するといった作業に依然苦労していることを示しています。最新のplatform-as-a-serviceサービスでは、企業は必要なコードのみを実行し、実行を隔離することにより、攻撃対象領域を縮小することができます。
CISOは、コード実行の隔離によって外部から攻撃可能な領域を縮小し、コード侵害による潜在的被害を抑えることができます。サービスの過剰な露出を抑えれば、攻撃者のチャンスを潰すことができるのです。
進むべき道:リスクの評価と緩和
CISAとNSAによる脆弱性の指摘は、CIOとCISOへの緊急の注意喚起です。今こそ、内部および外部のネットワーク露出を徹底的に調査し、リスク対策行動を起こす時でしょう。
特定されたリスクを緩和するためにCIOとCISOが取るべき6つの具体的ステップ:
ネットワークインフラとアプリケーションの徹底的なセキュリティ評価を実施します。これにより、攻撃者が不正利用する可能性のある脆弱性を特定することができます。
強力な認証と認可のコントロールを実装します。これには、フィッシング耐性のある多要素認証(MFA)の使用、ロールベースのアクセス制御(RBAC)の実施、パスワードの定期的なローテーションなどが含まれます。
ネットワークを論理的なゾーンに分割します。これにより、万が一侵入された場合でも、マルウェアその他の脅威の拡散を食い止めることができます。
DDoS攻撃対策機能を備えたWebアプリケーションファイアウォール(WAF)を展開し、一般的な攻撃から公開アプリケ��ーションとAPIを保護します。
ゼロトラストセキュリティモデルを導入します。つまり、すべてのユーザーとデバイスが、あらゆるリソースへのアクセスを許可される前に認証と認可を受けるようにするのです。
Cloudflareのような統一コントロールプレーンを備えたクラウド型セキュリティプラットフォームを使用して、組織全体のセキュリティ体制を管理します。
ネットワーク防御の強化
Cloudflareの堅牢なコネクティビティクラウドは、指摘されたセキュリティ上の懸念の多くにリーダーが総合的に対処できるように構築されています。ゼロトラストの実装、ネットワークの可視性とセグメンテーションの向上、内部アプリケーションやAPIの保護、攻撃対象領域の縮小といったCloudflareの機能を活用することで、企業はハイブリッド環境や分散環境全体においてセキュリティ態勢を大幅に強化することができます。
CISOは、サイロ化したポイントソリューションに頼るのではなく、オンプレミスとクラウドの両方で企業全体のセキュリティを��確保するプラットフォームとして、Cloudflareを使うことができます。現代のITリーダーは、ビジネスクリティカルなインフラとデータの管理者として、危険に露出するセキュリティギャップを解消する最善の方法を評価検討するのが賢明でしょう。今こそネットワーク防御を強化するときです。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
電子書籍『AI時代のセキュリティモダナイゼーション』で、Cloudflareのコネクティビティクラウドが、現在および将来の脅威に対するセキュリティを強化するのにどう役立つかをご覧ください。
記事の要点
この記事では、以下のことがわかるようになります。
サイバー戦争は世界中の組織に影響を与える
企業インフラとデータの脆弱性を精査する方法
CIOとCISOがとれるリスク修正の6つのステップ