情報セキュリティは、日本でも関心の高いトピックです。その変化は急速で、ハッカーの知識やそれに対応するセキュリティベンダーやITベンダーの技術は、攻撃と防御を繰り返す中で絶えず進化しています。加えて、昨今のIoTやモバイル、クラウド、AI、ビッグデータなどの活用が進むデジタルトランスフォーメーションの時代においては、データ、アプリケーションやデバイスへのアクセスなどの情報セキュリティへの関心はますます高まっています。

そこで、3月17日に本社製品部門CTOのクリスチャン ライリーがポストした情報セキュリティに関するブログ「5 Years In Information Security – What has changed?」を日本語で紹介したいと思います。


この5年間で情報セキュリティは何が変わったのか?

今日の情報セキュリティを取り巻く状況は常に進化しています。攻撃ベクトルが増大し続けるにつれ、攻撃はより頻繁になり、攻撃者の手口もより洗練されたものへと進化しています。私たちはこれを「ニューノーマル(New Normal)」と呼んでいます。

結果として、厳しい環境に絶えず対応する必要性により、わずか5年前に私たちに「安心」を与えてくれた馴染み深いセキュリティ対策からの大きな変化が生じています。

次に示す規則はいずれも、ほんの数年前まで「黄金律」と言われていたものですが、あなたは憶えていますか?
席を離れる時は自分のワークステーションをロックすること。
アンチウイルスソフトウェアを実行すること。
不審なリンクをクリックしないこと。
自分のパスワードを付箋に書いて他人から見えるところに貼り付けないこと。
強固なパスワードを選択し、頻繁にパスワードを変更すること。
多くのファイアウォールを設置すること。
自分のハードドライブを暗号化すること。
少なくとも1ヶ月ごとに自分が使っているシステムにパッチを充てること。

過去に施されてきた適切な「二重の」セキュリティ対策は、現在でも有効であり必要なものですが、複雑さを増しつつある今日の脅威の危険性に対抗するためには、そのような対策だけでは全く不十分です。そこで、進化し続ける企業のセキュリティ態勢を考慮して、企業が変化に遅れずについて行くための見解と推奨事項を下記にまとめてみました。

1、汎用的な「ベストプラクティス」型のセキュリティとはサヨナラすること:コンプライアンスとはセキュリティプログラムではなく、単なる出発点です。今でも監査レポートのチェックボックスに印を付けているだけの組織は、侵入されても仕方ありません。そのような組織は今すぐ、この件に関して重役会議を開き、自社のビジネス向けにカスタマイズしたセキュリティ対策を確保すべきでしょう。

2、パッチの配布は日常的に実施すること:ミッションクリティカルなアプリケーション、DNSのような不可欠なサービス、またはOpenSSLのような基本的なソフトウェアに欠陥が見つかった場合、パッチが配布されるまで1ヶ月以上も待つことなどできません。あなたの組織内で、ワークステーション、モバイルデバイス、サーバー、クラウドにわたり、即座の修復に対応できることを保証する必要があります。また、新しいデスクトップイメージをプッシュすることなく、アプリケーションレベルでの対応を行えるようにすることも必要です。

3、個人を標的とした攻撃に注意すること:標的型攻撃は、一見信頼できる発信元からの個人的なメッセージやペイロードを使って特定の個人を狙い撃ちします。今や、有害なメールを無害のメールから区別することは、セキュリティ専門家にとってさえも、ますます難しくなっています。また、攻撃者が真に貴重な標的を見つけた場合、多額の資金をつぎ込んだ非常に高度なAPT(Advanced Persistent Threat)攻撃が行われます。そのような攻撃から身を守るためにはより良い教育が必要ですが、それだけでは十分ではありません。セキュリティの強化によりデフォルトの攻撃サーフェスを減らす必要があるほか、封じ込め戦略により攻撃をサンドボックス化する必要もあります。

4、セキュリティ侵害を想定すること: 昔、組織にとってセキュリティ侵害とは、その発生自体を否定すべきものであるか、または秘密裏にのみ語られるものでした。しかし今や、セキュリティ侵害の発生を報告することは、多くの組織にとって当然の義務となっています。インシデント管理に対する規定のアプローチには、技術的な対応と評判に関する対応の両方が含まれています。セキュリティ侵害とその影響を封じ込めることは、政府機関、医療、金融サービスなどの分野における仮想アプリケーションの決定的なユースケースとなっています。これらの組織では、最も一般的な侵入口に対する攻撃を封じ込めるために、すべてのブラウザベースのアクセスを仮想化することが主として実施されています。

5、エンドツーエンドの強固な暗号化を必須とすること:暗号化は、ネットワークやハードドライブに対してのみ行うものではありません。暗号化は、デスクトップからモバイルに至るまで、アプリケーション内にある機密データや、アプリケーション間でやり取りされる機密データを保護する必要があります。犯罪者も暗号の価値を認識しており、ランサムウェア (マルウェアの一種)では暗号化を武器として使用しています。また、SSLの衰退が示したように、時代遅れの暗号化を使用することは、暗号化を行わないのと同じくらい危険です。仮想アプリケーションおよび仮想デスクトップにより、エンドポイント用の暗号化を制御することを推奨します。また、モバイルデバイスに関しては、エンタープライズモビリティ管理を使用し、クラウドアプリケーションやWEBアプリに関してはWEBアプリファイアウォールが組み込まれたアプリケーションデリバリーコントローラーを使用することをお勧めします。さらに、自社の利益を保護し、PCI DSS (クレジット業界におけるグローバルセキュリティ基準) 要件を満たすために、今すぐTLSを採用することをおすすめします。

セキュリティはアクセスにより始まります。ID、ユーザー認証、権利認証、アクセス制御を管理するためには、状況背景に関する深い知識が必要となります。社員や非社員のアクセスに関しては、アクセスに関する5つのW(いつ、誰が、どこで、何に、何のためにアクセスしようとしているか?)を実行することを推奨します。また、仮想化を使用することにより、特権ユーザーに対してきめ細かいアクセス権を提供し、機密データへの直接アクセスが存在しないことを確実にするようおすすめします。

IT部門には競争相手がいます。それはエンドユーザーです。エンドユーザーは、自分たちの力で今よりもっと快適にコンピューティングを行えると思っています。そして多くの場合、エンドユーザーはそれを実現しています。しかしながら、セキュリティは別問題です。シャドウITや許可されていないBYO、コンシューマーグレードのアプリケーション、クラウド、サービスで機密データを扱うことなど、これらをIT部門は確実に制御下に置く必要があります。そのような実現は難しいとお考えですか? シングルサインオンを有効にすることや、アクセスを改善しデバイスを通じた快適なエクスペリエンスを自動化することで、ユーザーの満足度を高めることは可能です。これらのことを確実に実施することで、競争相手であるエンドユーザーが敗れ去るのを見届けましょう。

この記事は、セキュリティに関する規範的な活動を網羅したものではありません。今では、情報セキュリティチームに関する要求はすっかり定着しています。現状に留まることは誰にも許されません。ハッカーが利用する攻撃ベクトルや攻撃手法は飛躍的に増加しており、しかも、より多くの種類の接続デバイス、ユーザー、場所をターゲットとするセキュリティ侵害が発生しています。

次世代の情報セキュリティを定義するものは何でしょうか?ちょうど私たちが「古き良き時代」のセキュリティを振り返る感覚と同様に、IoT(モノのインターネット)の進化が急速になっている将来から見れば、今日の情報セキュリティを取り巻く状況はまだ容易に感じるかもしれません。

今こそ、情報セキュリティの進化をしっかりと注視すべきです。