組織の攻撃対象領域を減らすための 8 つのベストプラクティス
Robert Waters
攻撃対象領域の拡大がサイバーセキュリティリスクの増大につながります。 したがって、論理的には、攻撃対象領域の縮小はサイバーセキュリティリスクの低減につながります。
攻撃対象領域管理ソリューションの中には、この取り組みを支援する修正機能を備えているものもありますが、修正は反応的な行動です。 セキュリティやリスク管理に関するあらゆることと同様に、能動的であることが理想的です。
良い点は、攻撃対象領域の戦いにおいて、ASM ソリューションだけがセキュリティチームの武器ではないということです。 IT 環境の露出を減らし、サイバー攻撃を未然に防ぐために、組織が講じることのできる手段は数多くあります。
組織の攻撃対象領域を減らす方法
悪意ある主体以外のすべての人にとって残念なことですが、攻撃対象領域をすべてなくすことはできません。しかし、この投稿で詳しく説明する以下のベストプラクティスのセキュリティ統制は、攻撃対象領域を大幅に縮小するのに役立つでしょう。
攻撃対象領域用語集で述べたように、異なる攻撃ベクトルは、技術的には複数の種類の攻撃対象領域 (デジタル、物理的、人的) に該当する可能性があります。 同様に、この記事のベストプラクティスの多くは、複数の種類の攻撃対象領域を減らすのに役立ちます。
そのため、各ベストプラクティスには、特定のベストプラクティスが主にどの種類の攻撃対象に対応しているかを示すチェックリストが付属しています。
#1: 複雑さを低減する
.
| デジタル攻撃対象領域 | 物理攻撃対象領域 | 人的攻撃対象領域 |
| X | X |
.
複雑さを軽減することで、サイバーセキュリティの攻撃対象領域を減らします。 当然だと そして、そうなのです。 しかし、多くの企業はこの一見単純なステップで長い間失敗してきました。 不明瞭だったからではなく、常に簡単なことではなかったからです。
Randori と ESG の調査によると、過去 1 年間に 10 社に 7 社の組織が、インターネットに接続した不明な、管理されていない、または管理が不十分な資産によって危険にさらされていたことが明らかになりました。サイバー資産攻撃対象領域管理 (CAASM) ソリューションにより、このような組織は、未承認、未管理の資産も含め、すべての資産を特定し、このような資産のセキュリティ保護、管理、さらには企業ネットワークからの削除もできるようになります。
エンドポイントデバイスからネットワークインフラストラクチャに至るまで、未使用または不要な資産もネットワークから削除し、適切に除却するべきです。
ソフトウェアアプリケーションを構成するコードもまた、複雑さが攻撃対象領域の拡大に寄与する領域です。 開発チームと協力して、悪意のある主体にさらされる実行コードの量を最小限に抑える機会がどこにあるのかを特定し、それによって攻撃対象領域を減らします。
#2: 論理的、物理的アクセス制御にゼロトラスト戦略を採用する
.
| デジタル攻撃対象領域 | 物理攻撃対象領域 | 人的攻撃対象領域 |
| X | X |
.
米国国立標準技術研究所 (NIST) は、ゼロトラストを以下のように定義しています。
「危険にさらされていると見なされているネットワークで、情報システムやサービスにおいて、正確で最小特権の要求ごとのアクセス決定を実施する際の不確実性を最小化するために設計された概念とアイデアの集合。」
言い換えれば、すべてのアクセス要求に対して、「決して信用せず、常に検証する」ということです。
Ivanti がどのように NIST CSF in The NIST Cybersecurity Framework (CSF): CSF Controls に対する Ivanti のソリューションを採用するお手伝いができるのかをご覧ください。
論理アクセス制御へのゼロトラストアプローチを取ることは、継続的に態勢とコンプライアンスを検証し、最小限の特権アクセスを提供することにより、組織の攻撃対象領域を縮小し、データ侵害の可能性を低減します。
ゼロトラストは製品ではなく戦略ですが、ゼロトラスト戦略を導入するのに役立つ製品もあります。 これらの製品の中で最も重要なものは、セキュアアクセスサービスエッジ (SASE) フレームワークに含まれる製品です。
- ソフトウェア定義ワイドエリアネットワーク (SD-WAN)
- セキュア Web ゲートウェイ (SWG)
- クラウドアクセスセキュリティブローカー (CASB)
- 次世代ファイアウォール (NGFW)
- ゼロトラストネットワークアクセス (ZTNA)
また、一般的にはこのような見方はされていませんが、ゼロトラスト戦略は論理的なアクセス制御にとどまらず、物理的なアクセス制御にまで拡大できます。 施設の保護された区域に誰かを立ち入らせるときは、決して信用せず、常に検証することを忘れないでください。 この目的のために、アクセスカードやバイオメトリクスのようなメカニズムを使用できます。
リスクに基づく脆弱性管理へと進化する
.
| デジタル攻撃対象領域 | 物理攻撃対象領域 | 人的攻撃対象領域 |
| X |
.
まず、悪い点です。US National Vulnerability Database (US NVD) には 16 万件以上の脆弱性が含まれており、毎日数十件が追加されています。 しかし、朗報があります。脆弱性の大半は悪用されたことがありません。つまり、サイバー攻撃に使われることはなく、攻撃対象領域にはならないということです。
実際、Securin、Cyber Security Works (CSW)、Ivanti、Cyware によるランサムウェアの調査レポートでは、16 万件以上の脆弱性のうち、アクティブなエクスプロイトのトレンドにあったのはわずか 180 件でした。
NVD の全脆弱性と組織を危険にさらす脆弱性の比較
脆弱性管理へのレガシーなアプローチは、共通脆弱性スコアリングシステム(CVSS)の陳腐で静的なリスクスコアに依存しているため、悪用される脆弱性を正確に分類することはできません。 また、Cybersecurity & Infrastructure Security Agency Known Exploited Vulnerabilities (CISA KEV) Catalog は正しい方向への一歩ではありますが、不完全であり、組織の環境における資産の重要性を考慮していません。
真のリスクベースのアプローチが必要です。リスクベースの脆弱性管理(RBVM)は、その名前が示すように、組織にもたらすリスクに基づいて、脆弱性を修正するための優先順位を決定するサイバーセキュリティ戦略です。
究極のリスクベースパッチガイド を読んで、リスクベースのアプローチへと修復戦略を進化させる方法を発見してください。
RBVM ツールは、脆弱性スキャナー、侵入テスト、脅威インテリジェンスツール、およびその他のセキュリティソースからデータを取り込み、それを使用してリスクを測定し、修正活動の優先順位を決定します。
RBVM ツールのインテリジェンスを手にした組織は、最もリスクの高い脆弱性を修正することで、攻撃対象領域を縮小 ほとんどの場合、インフラストラクチャ側では悪用された脆弱性にパッチを適用し、アプリケーションスタックでは脆弱なコードを修正する。
ネットワークセグメンテーションとマイクロセグメンテーションを導入する
.
| デジタル攻撃対象領域 | 物理攻撃対象領域 | 人的攻撃対象領域 |
| X |
.
もう一度、NIST の用語集から引用すると、ネットワークセグメンテーションは次のように定義されます。
たとえば、不要なトラフィックを拒否するように設定されたファイアウォールで保護された、ネットワーク上の個別のエリアを作成することによって、ネットワークをサブネットワークに分割します。 ネットワークセグメンテーションは、マルウェアやその他の脅威をネットワークの限られた部分に隔離することで、その被害を最小限に抑えます。
この定義から、セグメンテーションによって攻撃者をネットワークの特定の部分からブロックすることで、攻撃対象領域をいかに減らせるのかがわかります。 従来のネットワークセグメンテーションがネットワークレベルでの攻撃者の垂直移動を阻止するのに対し、マイクロセグメンテーションはワークロードレベルでの攻撃者の水平移動を阻止します。
具体的には、マイクロセグメンテーションは、ネットワークのセグメンテーションを超え、ネットワーク別ではなく、アプリケーションやデバイス別といった、より粒度の高い方法でポリシーを施行します。
たとえば、ある IoT デバイスがアプリケーションサーバーとしか通信できず、他の IoT デバイスとは通信できないように制限をかけたり、ある部署の誰かが他の部署のシステムにアクセスできないようにしたりできます。
#5: ソフトウェアおよび資産の構成を強化する
.
| デジタル攻撃対象領域 | 物理攻撃対象領域 | 人的攻撃対象領域 |
| X |
.
オペレーティングシステム、アプリケーション、およびサーバーやエンドユーザー、ネットワーク、IoT デバイスなどの企業資産は、通常、未設定か、セキュリティよりも導入や利用のしやすさを優先したデフォルトの設定で提供されます。 CIS Critical Security Controls (CIS Controls) v8 によると、デフォルトの状態のままにしておくと、次のような悪用が可能です。
- 基本的な
- 開いているサービスとポート
- デフォルトのアカウントまたはパスワード
- 構成済みのドメインネームシステム(DNS)設定
- 古い (脆弱性) プロトコル
- 不要なソフトウェアのプリインストール
このような構成は攻撃対象領域を拡大することは明らかです。 この状況を改善するために、CIS Controls v8 の「Control 4: 企業資産とソフトウェアの安全な構成」では、ソフトウェアと資産のセキュリティが低下しないように、強力な初期構成を開発、適用し、その構成を継続的に管理維持することを推奨しています。
この取り組みを支援するために、チームが活用できる無料のリソースやツールを紹介します。
- CIS ベンチマークリスト - 25 以上のベンダー製品ファミリーの推奨構成
- NIST National Checklist Program (NCP) - ソフトウェアのセキュリティ構成を設定するためのガイダンスを提供するチェックリストの集合。
- CIS-CAT Lite - さまざまな技術に対応したセキュアな設定の実装を支援する評価ツール。
#6: ポリシーコンプライアンスを施行する
.
| デジタル攻撃対象領域 | 物理攻撃対象領域 | 人的攻撃対象領域 |
| X | X |
.
特に、Everywhere Work の時代には、これまで以上に多くの従業員がハイブリッドやリモートで働くようになっており、エンドポイントがほとんどの攻撃サーフェスの規模に大きく寄与していることは周知の事実です。現在、政府職員の 10 人に 7 人が、少なくとも一部の時間、バーチャル勤務をしています。
オフィスの中にいる従業員に IT とセキュリティのポリシーを守らせるのは大変なことです。その 70% が世界中に散らばっているのならなおさらです。
統合エンドポイント管理 (UEM) ツールは、ポリシーを自動的に実施することにより、普遍的なポリシーコンプライアンスを保証します。 この事実は、IT やセキュリティの専門家にとって驚くべきことではなく、多くの専門家は現時点では UEM を商品と考えています。 実際、Gartner は、2025 年までに顧客の 90% がクラウドベースの UEM ツールで資産の大半を管理するようになると予測しています。
とはいえ、UEM は IT およびセキュリティポリシーコンプライアンスを実施するための最良の選択肢です。だから、このリストから外すのは惜しいと思われます。
統合エンドポイント管理の究極ガイドを読んで、最新の UEM ソリューションの主なビジネス上の利点とエンドポイントセキュリティのユースケースについて学んでください。
さらに、最新の UEM ツールは、コンプライアンス以外にも、攻撃対象領域の特定、管理、削減に役立ついくつかの機能を提供しています。
- ネットワーク上のすべてのデバイスを検出することで、IT 資産を完全に可視化します。これは、CAASM ソリューションを持たない組織のための ASM 機能です。
- 適切なソフトウェアとアクセス許可をデバイスに提供し、必要に応じてソフトウェアを自動的に更新します。ユーザーによる操作は必要ありません。
- あらゆる種類のデバイスを、入社から退職までのライフサイクル全体にわたって管理し、使用されなくなったデバイスが適切に処分されるようにします。
- デバイスの構成を自動的に強化します (この機能の重要性については、#5: ソフトウェアと資産の構成強化を参照してください)。
- ゼロトラストアクセス、および ID、セキュリティ、およびリモートアクセスツールとの統合による、コンテキスト認証、脆弱性、ポリシー、構成、およびデータ管理をサポートします。 たとえば、UEM とモバイル脅威防御(MTD)ツールを統合することで、モバイルデバイスが企業ネットワークやその資産を侵害しないように、リスクベースのポリシーを制定することができます。
#7: サイバーセキュリティのポリシーとベストプラクティスについて全従業員を教育する
.
| デジタル攻撃対象領域 | 物理攻撃対象領域 | 人的攻撃対象領域 |
| X |
.
2023 年 Verizon データ侵害調査報告書(DBIR)のために分析された侵害の 74% には人的要素が関与していました。
したがって、Ivanti の 2023 年版サイバーセキュリティステータスレポートのデータを確認し、世界中の従業員のうち、自分の行動がサイバー攻撃を回避する組織の能力に影響を及ぼすとは考えていない人の割合を見ても、驚くには値しません。
職員は自分の行動を重要視しているのでしょうか。
アレキサンダー・ポープの不朽の名言「To err is human...」(誤りを犯すのは人間である)。サイバーセキュリティの用語で言えば、AI が正式に支配するまで、人間は攻撃対象領域の重要な一部であり続けます。 そしてそれまでは、可能な限り人間の攻撃面を管理し、減らさなければなりません。
これまでのところ、そのための最善の方法は、一般的なベストプラクティスと企業固有のポリシーの両方に関するサイバーセキュリティトレーニングであることが証明されています。ソーシャルエンジニアリングモジュールを含めることを絶対に忘れないでください。
多くのサイバーセキュリティ専門家がそう考えています。 経験上、サイバー攻撃やデータ漏洩を防ぐために最も成功したセキュリティ対策は何ですか」という質問が、Reddit のr/cybersecurity subreddit で投げかけられたとき、上位コメントの多くがユーザー教育の必要性に言及しました。
再び CIS Controls v8 から引用すると、Control 14: セキュリティ意識とスキルのトレーニングは、組織に対して次のことを行うよう奨励しています。「企業に対するサイバーセキュリティリスクを低減するために、従業員がセキュリティを意識し、適切なスキルを身につけるよう、従業員の行動に影響を与えるセキュリティ意識向上プログラムを確立し、維持する。」
CIS (Center for Internet Security) は、次のリソースを活用して、セキュリティ意識プログラムの構築を支援することを推奨しています。
- NIST® Special Publication (SP) 800-50 情報セキュリティ意識向上トレーニング
- National Cyber Security Centre (NCSC) - サイバーセキュリティへの 10 のステップ - 参加とトレーニング
- EDUCAUSE - 啓発キャンペーン
- National Cyber Security Alliance (NCSA)
- SANS セキュリティ入門トレーニングリソース
非技術職だけでなく、セキュリティおよび IT スタッフも、それぞれの役割に関連したサイバーセキュリティトレーニングを受けるべきです。 実際、Randori と ESG が 2022 年に発行したレポート The State of Attack Surface Management で調査した IT およびセキュリティの意思決定者によると、セキュリティおよび IT 担当者に ASM のトレーニングを提供することは、ASM を改善するための 3 番目に効果的な方法です。
パートナー、ベンダー、その他のサードパーティ請負業者にもセキュリティトレーニングを受けさせることで、人的な攻撃対象領域を抑制できます。
#8: デジタル従業員体験 (DEX) を改善する
.
| デジタル攻撃対象領域 | 物理攻撃対象領域 | 人的攻撃対象領域 |
| X | X |
.
従業員にいくらサイバーセキュリティ教育を施しても、セキュリティ対策が複雑になればなるほど、従業員がそれを回避する可能性は高まります。 エンドユーザーの 69% は、複雑すぎるセキュリティ対策の操作に苦労していると報告しています。 そのような不満を抱えたユーザーは、安全でない経路でデータを配布したり、セキュリティ更新プログラムのインストールを妨げたり、シャドー IT を導入したりしがちです。
IT リーダーは、セキュリティを犠牲にしてデジタル従業員体験(DEX)を向上させるか、体験よりもセキュリティを優先させるか、という不可能な選択を迫られているようです。 実は、セキュリティと DEX は、組織の成功と回復力にとって等しく重要なのです。 実際、Enterprise Management Associates(EMA)の調査によると、セキュリティ上の摩擦を減らすことで、侵害の発生件数を大幅に減らすことができます。
では、どうすればよいのでしょうか。 Ivanti の「2022 Digital Employee Experience Report」によると、IT リーダーは経営幹部の支援を受けて、セキュア・バイ・デザインデジタル従業員体験の提供に力を入れる必要があります。 かつてはそれが不可能に思えたかもしれませんが、従業員のテクノロジーエクスペリエンスを測定し、継続的に改善するのに役立つ DEX ツールの新興市場のおかげで、今ではかつてないほど簡単になりました。
2022 年デジタル従業員体験レポートを読んで、DEX がサイバーセキュリティに果たす役割について詳細をご覧ください。
組織がセキュリティと従業員体験の両方を容易に改善できる分野の1つは、認証です。 覚えたり、入力したり、リセットしたりするのが面倒で非効率的なパスワードは、長い間エンドユーザーの悩みの種でした。
その上、極めて安全性に欠けていました。 2023 年 Verizon DBIR で分析された、内部での悪意ある行為を伴わない 4,291 件のデータ漏えいのうち、およそ半数が資格情報によるものであり、フィッシングによるものの約 4 倍でした。つまり、組織のIT資産に参入するための最も一般的な経路となっています。
パスワードレス認証ソフトウェアはこの問題を解決します。 エンドユーザーのエクスペリエンスを向上させ、攻撃対象を一挙に減らしたいのであれば、パスワードレス認証ソリューションを導入し、FIDO2 認証プロトコルを使用します。 付箋に書かれたパスワードに永遠に別れを告げることができれば、あなたもユーザーも喜ぶことでしょう。
DEX とセキュリティのバランスをとる方法については、以下のリソースを参照してください。
- DEX の基本 eBook
- DEXのためのGartner®マーケットガイド
- デジタル従業員体験管理(DEX)向けの効果的なソリューション
- デジタル体験管理(DEX)向けの進化する要件
- デジタル従業員体験 (DEX) の計画と測定のためのステップバイステップガイドオンデマンドウェビナー
- デジタル従業員体験(DEX)イニシアチブのビジネスケースを構築するオンデマンドウェビナー
無料リソースからの追加ガイダンス
Ivanti が提案する攻撃対象領域を減らすためのベストプラクティスは、私たちの実体験から得た学びと、権威あるリソースから得た二次知識を組み合わせたものです。
これらのベストプラクティスは、確かに攻撃対象領域のサイズを大幅に縮小させる思われます拡大し続ける現代の攻撃対象領域のサイズと複雑さに対抗するために、組織が取るべき他の手段には事欠きません。
攻撃対象領域を縮小するための追加ガイダンスについては、以下の無料リソースを確認してください。
- 2023 年社内の同意のためのサイバー戦略ツールキット (Ivanti と Cyber Security Works (CSW) の共同)。
- Australian Cyber Security Center (ACSC) Essential 8
- CIS Controls
- CISA Cyber Security Evaluation Tool (CSET)
- 政府サイバーセキュリティステータスレポート
- NIS2 (指令 (EU) 2022/2555)
- 事例:NISTサイバーセキュリティのフレームワーク(CSF)。
- NIST Special Publication 800-207 (「ゼロトラストアーキテクチャ」)
次のステップ
上記のベストプラクティスをすべて実施し、次はどうしようかと考えているところでしょう。 サイバーセキュリティのすべてに言えることですが、立ち止まっている時間はありません。 攻撃面は常に監視が必要です。
いつ次の管理されていない BYOD デバイスがネットワークに接続されるか、いつ CRM ソフトウェアの次の脆弱性が悪用されるか、いつ次の従業員がチームのハッピーアワーの後のバーに iPhone を忘れるかはわかりません。
既存の攻撃ベクトルを追跡するだけでなく、新たな攻撃ベクトルについても常に情報を得る必要があります。 たとえば、最近の AI モデルの爆発的な普及は、攻撃対象の大幅な拡大を推進しており、IT 環境への扉を開くテクノロジーはさらに増えていると言ってよいでしょう。
