「サイバー戦争」の報道に対するCIOの反応
企業セキュリティの評価と強化
最近、米運輸保安庁(TSA)のCIOが、米国は「サイバー戦争」に突入していると発言しました。同日、同国サイバーセキュリティ・社会基盤安全保障庁(CISA)と国家安全保障局(NSA)のレッドチームとブルーチームによるサイバーセキュリティ勧告が発出され、ネットワークセキュリティに大きなギャップがあり、組織がサイバー脅威に対して脆弱になっていることが強調されました。国を問わず、CIOとCISOは企業のインフラとデータの管理者として、今すぐ自社の環境にこうした落とし穴がないか精査し、リスクを軽減するための迅速な対策を講じるべきです。
認証と認可:避けるべき主な失策
勧告は、アイデンティティとアクセスの不適切な制御が重大な露出になっていることを正しく指摘しています。次のような失敗はよくあることです。
ユーザー権限と管理者権限を分離していない
脆弱または回避可能な多要素認証を実装している
非アクティブセッションのタイムアウト設定値が長すぎる
ローテーションポリシーが不適切なため固定パスワードに依存している
このようなミスは、攻撃者がネットワーク境界の内側に侵入した後のラテラルムーブメントと特権エスカレーションを許してしまいます。
セキュリティチームは、コンテキストを意識したアクセスポリシーの実装により、漏洩した認証情報というあまりにも頻繁に発生する問題の影響範囲を限定的にとどめることができます。適切なシステムを導入すれば管理者権限を厳格に管理でき、一般従業員にとっては摩擦が最小限に抑えられます。
インターネットに露出するサービス:チョロい標的になるな
適切なアクセス制御なしにパブリックインターネット経由で内部リソースを提供することほど、大きなトラブルのもとはありません。単純な設定ミスが原因で、データベース、ファイル共有、バックアップシステム、管理コンソール、その他のサービスへの不正アクセスが許可されることが多く、攻撃者はこれを利用しようと躍起になっています。
外部アクセスとDDoS攻撃対策に統一コントロールプレーンを実装することで、セキュリティチームは一貫した可視性と保護適用力を得られます。コントロールを回復し、貴重なデータを不正取得を目論む輩から守ることができるのです。
可視化とセグメント化:脅威の自由な移動を阻止せよ
可視化とセグメント化がされていなければ、悪意のあるコードや攻撃者は、いったんネットワークに侵入してしまえば横移動(ラテラルムーブメント)し放題です。セキュリティチームには、本番環境、ステージング環境、開発環境といった異なる環境間の接続が見えないかもしれません。
企業ネットワークを、関連するリソースをまとめた論理的な信頼ドメインにセグメント化すれば、影響範囲を制限できます。また、行動分析を改善すれば、境界内部の脅威をより容易に検知できるようになります。
脆弱なコードとサービス:攻撃対象領域を縮小せよ
基本的なサイバーハイジーンはもちろん必須です。しかし、NSAとCISAの警告は、企業が脆弱なソフトウェアに適時にパッチを適用するといった作業に依然苦労していることを示しています。最新のplatform-as-a-serviceサービスでは、企業は必要なコードのみを実行し、実行を隔離することにより、攻撃対象領域を縮小することができます。
CISOは、コード実行の隔離によって外部から攻撃可能な領域を縮小し、コード侵害による潜在的被害を抑えることができます。サービスの過剰な露出を抑えれば、攻撃者のチャンスを潰すことができるのです。
進むべき道:リスクの評価と緩和
CISAとNSAによる脆弱性の指摘は、CIOとCISOへの緊急の注意喚起です。今こそ、内部および外部のネットワーク露出を徹底的に調査し、リスク対策行動を起こす時でしょう。
ここでは、特定されたリスクを緩和するためにCIOとCISOが取るべき6つの具体的ステップを紹介します。
ネットワークインフラとアプリケーションの徹底的なセキュリティ評価を実施します。これにより、攻撃者が不正利用する可能性のある脆弱性を特定することができます。
強力な認証と認可のコントロールを実装します。これには、フィッシング耐性のある多要素認証(MFA)の使用、ロールベースのアクセス制御(RBAC)の実施、パスワードの定期的なローテーショ�ンなどが含まれます。
ネットワークを論理的なゾーンに分割します。これにより、万が一侵入された場合でも、マルウェアその他の脅威の拡散を食い止めることができます。
DDoS攻撃対策機能を備えたWebアプリケーションファイアウォール(WAF)を展開し、一般的な攻撃から公開アプリケーションとAPIを保護します。
Zero Trustセキュリティモデルを導入します。つまり、すべてのユーザーとデバイスが、あらゆるリソースへのアクセスを許可される前に認証と認可を受けるようにするのです。
Cloudflareのような統一コントロールプレーンを備えたクラウド型セキュリティプラットフォームを使用して、組織全体のセキュリティ体制を管理します。
ネットワーク防御の強化
Cloudflareの堅牢なコネクティビティクラウドは、指摘されたセキュリティ上の懸念の多くにリーダーが総合的に対処できるように構築されていま��す。Zero Trust、ネットワークの可視化とセグメント化、内部アプリケーションとAPIの保護、攻撃対象領域の縮小などにCloudflareの機能を活用することで、企業はハイブリッドで分散した環境全体のセキュリティ体制を大幅に改善することができます。
CISOは、サイロ化したポイントソリューションに頼るのではなく、オンプレミスとクラウドの両方で企業全体のセキュリティを確保するプラットフォームとして、Cloudflareを使うことができます。現代のITリーダーは、ビジネスクリティカルなインフラとデータの管理者として、危険に露出するセキュリティギャップを解消する最善の方法を評価検討するのが賢明でしょう。今こそネットワーク防御を強化するときだ。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
著者
John Engates — @jengates
Cloudflare社テクノロジー・オフィサー
記事の要点
この記事では、以下のことがわかるようになります。
サイバー戦争は世界中の組織に影響を与える
企業インフラとデータの脆弱性を精査する方法
CIOとCISOがとれるリスク修正の6つのステップ