新年といえば、普通は古いものを捨てて新しいことを始めるタイミングです。しかし2022年にCISOが取り組むべき課題は、すべてがあまりにも馴染み深いもののように思われます。懸念すべき事項としてリモートワーク、ランサムウェア、サプライチェーンのセキュリティ、人材不足などが頭に浮かぶでしょうし、そうあるべきです。
CISOは、タイムズスクエアのボールドロップの後で新年を迎えたはずが、目が覚めたら2021年に戻ってしまったように思えるでしょうが、それも無理はありません。Auld Lang Sine(蛍の光:海外では新年に演奏される)の最後の旋律が終るやいなや、CISAとNSAは重要なインフラ組織に警告を発し、ロシアの工作員に対する防御を強化するよう求めました。その直後にウクライナ政府のWebサイトが攻撃され、REvilランサムウェアがニュースになりました。(今回ロシアはこのグループのリーダーを逮捕したと発表しました)前にも聞いたような話ではありませんか? セキュリティは古いものの一部を2022年に持ち込んでいるように見えますが、新たにひねりも加えられています。
リモートワーク
商業用の不動産市場では楽観的な予測が示され、オフィスビルが満室になる都市が増えていますが、少なくとも当面の間、リモートワークは継続するでしょう。そしてセキュリティの観点からの課題はハイブリッドな業務形態が拡大していることで、今やユーザーは自宅とオンサイトの両方から業務を行っています。リモートで業務を行う場合、ユーザーはセキュリティで保護されていないネットワークを使用し、同居している家族とデバイスや帯域幅を共有するため、リスクは当然高まります。たとえば、ネットワークに接続する家庭内のデバイスには、中国製のチップセットが含まれている可能性がありますが、そのようなことはオフィス環境では決して起こりません。
2020年の初め、急いで全員を家に帰してリモートワークに移行させるために、多くの組織でセキュリティ基準が緩和され抜け道が作られました。そろそろセキュリティ基準を再考すべき時です。今年、組織はパンデミックに突入した際に何をしたかを振り返り、リモートワークが主流となる未来を考えて改善を試みるでしょう。これには複数の場所に分散したデータや、同様に拡大した脅威ランドスケープへの対応が含まれます。そしてそれは、悪意のある可能性を示す指標を見極めるために、セキュリティソリューションを再考して再構築することを意味します。
回避性が高い脅威がもたらすランサムウェア
もしあなたの組織が2021年に破壊的なランサムウェアの攻撃を受けたのなら、今年も覚悟したほうが良いでしょう。なぜなら2022年のランサムウェアはさらに危険なものになるからです。攻撃者は回避性が高い脅威を使ってランサムウェアを配信し、レガシーな防御層を迂回して組織に大打撃を与えるでしょう。ランサムウェアが未だに蔓延しているのは何故なのか?その理由は簡単です。すべてを現金化したいと考えている活動的なサイバー犯罪者にとって、ランサムウェアは依然として儲かるビジネスだからです。ランサムウェアによる儲けは、1987年のAIDS Trojanでは179ドルでしたが、昨年初めのColonial Pipelineでは440万ドル以上になりました。このような収益性が魅力ですから、ランサムウェアの攻撃者は当面はこれを続けるでしょう。そして、Ransomware-as-a-Service(RaaS)により、攻撃の意図を持っていれば誰でも攻撃が可能になるため、その数は増加しています。
悪意のある攻撃者は、ランサムウェアのペイロードを配信するために回避性が高い脅威を使うようになっており、その数は増加しています。この手法には、ネットワークセキュリティソリューションを回避する動的なファイルのダウンロード、メールのみに依存しない新しいフィッシング手段の開発、動的に生成または難読化されたコンテンツ、HTTPトラフィック検査の回避などが含まれます。難読化されたJavaScriptの場合、セキュリティ研究者と検知エンジンの両方がコンテンツの内容を読み取れないため、攻撃者は欠陥のある防御層を通過して機密データを盗んだり、アカウントを乗っ取ったり、ランサムウェアのペイロードを起動したりできるようになります。
ランサムウェアは、在宅勤務の増加によって悪化し続けるでしょう。以前はリモートセキュリティのソリューションとしての最初の選択肢だったVPNは、保護機能が限られており、トラフィックの増加に耐えられなくなっているからです。
サプライチェーンのセキュリティ
サプライチェーンに対する監視が厳しくなっているにもかかわらず、攻撃者はレーダーの下に隠れ続けています。少なくとも攻撃が開始され、SolarWindsの場合のように損害の兆候が見られるまでは見つかりません。そしてサプライチェーンは、2022年も引き続き注目を集めるでしょう。それは、パンデミックによって引き起こされた供給不足が今後も続く可能性が高いことと、セキュリティ上の欠点と脆弱性がそれをさらに脅かすからです。
最近のLog4jの騒動に対する組織の反応は、それ自体はサプライチェーンの問題ではないものの、SolarWindsの時の反応と似ています。今の状況は、SolarWindsの事件から学ぶべき同じ教訓を示しているのです。それは、見えないところで何が起こっているかを理解しなければならないということです。多くの企業や機関は、自分たちが実際に何を実行しているのかを本当には理解していないため、何を修正したら良いかがわかりませんし、ましてやその方法もわかりません。これは、サプライチェーンにおいては特に危険なシナリオです。企業は、社内だけでなく、サプライチェーン内の他の企業が何を行っているか、脆弱性への対応や資産のセキュリティ保護にどれほど熱心に取り組んでいるかについて把握する必要があります。セキュリティにおける脆弱性の多くはロングテールであるため、欠陥や弱点をめぐる最初の騒動が収まった後でも、サプライチェーン内で問題が発生する可能性があります。
サプライチェーン全体の健全性を考え、サードパーティがセキュリティを重視するよう要求しなければなりません。その際、セキュリティソリューションをチェックボックスで管理するだけでなく、組織がセキュリティにどのように取り組んでいるかの実際のインサイトが重要です。
人材不足
失業率が数十年ぶりの低水準となり、あらゆる業界で労働者がより良い仕事を求めて転職したり、パンデミック下での安全を確保するために退職したりしています。ここ数年セキュリティ業界を悩ませ、今後数年間続くと予測されていた人材不足の問題は、この「大辞職」時代を迎え、さらに悪化しています。
リモートワークは脅威ランドスケープを拡大させ、それを保護するためにセキュリティが複雑化し、リスクは増加します。これらの要素がすべて積み重なって、IT部門の人材不足だけでなく、セキュリティへの影響も増大しています。セキュリティ業界はまだ歴史が浅く、業務の定義も曖昧で、それがこの業界に確立されたキャリアパスが存在しない原因かもしれません。しかしこのような状況は、才能を集めることを難しくします。組織は、セキュリティにおけるキャリアとはどのようなものかを、より明確に定義する必要があるでしょう。その報酬は金銭的なものに加え、単なる仕事ではなくより大きな目標を達成することで得られる満足感が重要です。そしてこれは、企業や機関にとってはセキュリティ人材の多様化を図る良い機会でもあり、女性や他のマイノリティグループに目を向けて、人材の不足を埋めることができます。またこれは、資格について再考する良い機会でもあります。特定の学位や資格よりも、ソフトスキルと好奇心を持った才能を見つける方が良いでしょう。応募者の幅を広げることで、これまで採用が見送られていた人材でも、チームにとって貴重な戦力となる可能性があります。
これらのセキュリティ上の問題を回避、または少なくとも軽減することは、大局的に見れば基本に立ち返ることを意味しています。組織は、データと資産がどこにあるかを把握し(ヒント:それらはデータセンターだけに存在するわけではありません)、攻撃される可能性のある脅威を特定し、リスクプロファイルを作成し、セキュリティ体制を強化するツールに投資しなければなりません。
2022年には「信頼」が重要性を増すでしょう。組織は、ユーザーがどこからでも必要なリソースに安全にアクセスできるようにすると共に、リモートワークを保護するのに特に適したSecure Access Service Edge(SASE)フレームワークの重要な要素であるZero Trust Network Access(ZTNA)への取り組みを強化する必要があります。
CISOは、破壊的なランサムウェア攻撃、サプライチェーンの脆弱性、人材不足などの課題に2021年に終止符を打ちたかったところですが、同じ問題の多くが2022年に残され、さらに深刻化すると思われます。うまくいけば、組織は2021年から学び、解決のためのより充実したツールに到達し、これらの問題が今後同じような破壊的な影響を与えることは無くなるでしょう。