最近、米運輸保安庁(TSA)のCIOが、米国は「サイバー戦争」に突入していると発言しました。同日、同国サイバーセキュリティ・社会基盤安全保障庁(CISA)と国家安全保障局(NSA)のレッドチームとブルーチームによるサイバーセキュリティ勧告が発出され、ネットワークセキュリティに大きなギャップがあり、組織がサイバー 脅威に対して脆弱になっていることが強調されました。国を問わず、CIOとCISOは企業のインフラとデータの管理者として、今すぐ自社の環境にこうした落とし穴がないか精査し、リスクを軽減するための迅速な対策を講じるべきです。
勧告は、アイデンティティとアクセスの不適切な制御が重大な露出になっていることを正しく指摘しています。次のような失敗はよくあることです。
ユーザー権限と管理者権限を分離していない
脆弱または回避可能な多要素認証を実装している
非アクティブセッションのタイムアウト設定値が長すぎる
ローテーションポリシーが不適切なため固定パスワードに依存している
このようなミスは、攻撃者がネットワーク境界の内側に侵入した後のラテラルムーブメントと特権エスカレーションを許してしまいます。
セキュリティチームは、 コンテキストを意識したアクセスポリシーの実装により、漏洩した認証情報というあまりにも頻繁に発生する問題の影響範囲を限定的にとどめることができます。適切なシステムを導入すれば管理者権限を厳格に管理でき、一般従業員にとっては摩擦が最小限に抑えられます。
適切なアクセス制御なしにパブリックインターネット経由で内部リソースを提供することほど、大きなトラブルのもとはありません。単純な設定ミスが原因で、データベース、ファイル共有、バックアップシステム、管理コンソール、その他のサービスへの不正アクセスが許可されることが多く、攻撃者はこれを利用しようと躍起になっています。
外部アクセスとDDoS攻撃対策に統一コントロールプレーンを実装することで、セキュリティチームは一貫した可視性と保護適用力を得られます。コントロールを回復し、貴重なデータを不正取得を目論む輩から守ることができるのです。
可視化とセグメント化がされていなければ、悪意のあるコードや攻撃者 は、いったんネットワークに侵入してしまえば横移動(ラテラルムーブメント)し放題です。セキュリティチームには、本番環境、ステージング環境、開発環境といった異なる環境間の接続が見えないかもしれません。
企業ネットワークを、関連するリソースをまとめた論理的な信頼ドメインにセグメント化すれば、影響範囲を制限できます。また、行動分析を改善すれば、境界内部の脅威をより容易に検知できるようになります。
基本的なサイバーハイジーンはもちろん必須です。しかし、NSAとCISAの警告は、企業が脆弱なソフトウェアに適時にパッチを適用するといった作業に依然苦労していることを示しています。最新のplatform-as-a-serviceサービスでは、企業は必要なコードのみを実行し、実行を隔離することにより、攻撃対象領域を縮小することができます。
CISOは、コード実行の隔離によって外部から攻撃可能な領域を縮小し、コード侵害による潜在的被害を抑えることができます。サービスの過剰な露出を抑えれば、攻撃者のチャンスを潰すことができるのです。
CISAとNSAによる脆弱性の指摘は、CIOとCISOへの緊急の注意 喚起です。今こそ、内部および外部のネットワーク露出を徹底的に調査し、リスク対策行動を起こす時でしょう。
ここでは、特定されたリスクを緩和するためにCIOとCISOが取るべき6つの具体的ステップを紹介します。
ネットワークインフラとアプリケーションの徹底的なセキュリティ評価を実施します。これにより、攻撃者が不正利用する可能性のある脆弱性を特定することができます。
強力な認証と認可のコントロールを実装します。これには、フィッシング耐性のある多要素認証(MFA)の使用、ロールベースのアクセス制御(RBAC)の実施、パスワードの定期的なローテーションなどが含まれます。
ネットワークを論理的なゾーンに分割します。これにより、万が一侵入された場合でも、マルウェアその他の脅威の拡散を食い止めることができます。
DDoS攻撃対策機能を備えたWebアプリケーションファイアウォール(WAF)を展開し、一般的な攻撃から公開アプリケーションとAPIを保護します。
Zero Trustセキュリティモデルを導入します。つまり、すべてのユーザーとデバイスが、あらゆるリソースへのアクセスを許可される前に認証と認可を受けるようにするのです。
Cloudflareのような統一コントロールプレーンを備えたクラウド型セキュリティプラットフォームを使用して、組織全体のセキュリティ体制を管理します。
Cloudflareの堅牢なコネクティビティクラウドは、指摘されたセキュリティ上の懸念の多くにリーダーが総合的に対処できるように構築されています。Zero Trust、ネットワークの可視化とセグメント化、内部アプリケーションとAPIの保護、攻撃対象領域の縮小などにCloudflareの機能を活用することで、企業はハイブリッドで分散した環境全体のセキュリティ体制を大幅に改善することができます。
CISOは、サイロ化したポイントソリューションに頼るのではなく、オンプレミスとクラウドの両方で企業全体のセキュリティを確保するプラットフォームとして、Cloudflareを使うことができます。現代のITリーダーは、ビジネスクリティカルなインフラとデータの管理者として、危険に露出するセキュリ ティギャップを解消する最善の方法を評価検討するのが賢明でしょう。今こそネットワーク防御を強化するときだ。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
John Engates — @jengates
Field CTO、Cloudflare
この記事では、以下のことがわかるようになります。
サイバー戦争は世界中の組織に影響を与える
企業インフラとデータの脆弱性を精査する方法
CIOとCISOがとれるリスク修正の6つのステップ