ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
アメリカの州や地方の公共機関、K-12(幼稚園から高校まで)の学区*、そして公立の高等教育機関は、現代の先進的な攻撃者にとって急速に魅力的なターゲットになりつつあります。市民やコントラクタ、そして学生など、ユーザー層が幅広いこと、PII(personally identifiable information:個人を特定できる情報)の宝庫であること、そしてIT予算が限られていることなどが組み合わさり、比較的小さな努力で大きな成果を期待できるため、悪意のある攻撃者にとっての費用対効果は良好です。
*「学区(School district)」とは、アメリカで公立学校を運営する地域毎の組織のことです
先月、インディアナポリスの住宅公社がランサムウェア攻撃を受け、同公社のHousing Choice Voucher Program(住宅選択券プログラム)による支払いが中断され、家主の個人情報が流出したばかりです。9月には、ロサンゼルスとミシガン州の2つの学区がランサムウェアの被害を受け、学校が数日間閉鎖されましたが、これらは孤立したインシデントではありません。K-12 Cybersecurity Resource Centerの報告によると、2020年には米国の学区に対するサイバー攻撃は408件にのぼっています。
デジタルトランスフォーメーションやハイブリッドワーク、リモート学習などによって公共機関の運営方法が変化する中、これらの組織のセキュリティチームは、危険で破壊的、かつコストのかかるサイバー攻撃からユーザー、データ、ネットワーク、アプリケーションを保護する方法を見直す必要があります。
問題は、ほとんどの公共機関や教育機関が、現代の攻撃者が使用する高度な手法に追いついていないことです。最新のHEAT(Highly Evasive Adaptive Threats:高度に回避的で適応型の脅威)による攻撃は、ハッカーやランサムウェアの集団が従来のセキュリティツールを回避し、最初に脆弱なエンドポイントにアクセスた後に価値のあるターゲットを探してネットワーク内で横移動し、タイミングを見計らって重要なシステムやデータを停止または制御するためのペイロードを送り込むことが可能です。
サイバーセキュリティに対する検知と対応のアプローチは今でも多くの組織で採用されていますが、HEAT攻撃はこれら従来型のセキュリティツールの脆弱性と欠点を狙っています。これら従来型のツールは、初期アクセスの段階においては攻撃者と闘わず、その代わりにネットワーク内部に侵入してから悪意のある活動を検知しようとします。しかし、今日の攻撃がビジネス並のスピードで行われていることを考えると、脅威が検知されたときにはすでに手遅れになっている可能性が高いのです。初期アクセスから数ミリ秒以内に被害が発生し、ユーザー、データ、アプリケーション、システムが危険にさらされるのです。
ここ数年のデジタルトランスフォーメーション、クラウド移行、ハイブリッドワーク、リモートラーニングの加速は、検知と対応によるアプローチの欠点をさらに悪化させます。たった1人のユーザーがたった1回間違ってクリックしただけで、ネットワーク上のすべてのものが漏洩してしまうのです。これは、学生にオープンなアーキテクチャを提供して自由に探索、共有、コラボレーションさせることを目指す高等教育機関にとっては特に厄介なことです。厳格なファイアウォールルール、URLフィルタリング、ブラックリストといった従来のセキュリティソリューションによる制限は、学校の理念と本質的に対立するからです。
しかし、すべてが失われたわけではありません。組織は、拡大・分散するITインフラを高度な脅威から保護するために、今からでもいくつかの対策を講じることができます。ここでは、公共機関や教育機関が攻撃対象を最小化するために、今すぐ実行できる3つの戦略を紹介します:
検知と対応のアプローチは、セキュリティ戦略として本質的に劣っているわけではありません。ただ、不完全なのです。組織は既存のセキュリティスタックに加えて、Webやメールのアイソレーションなどのプロアクティブで防御的なセキュリティ機能を追加する必要があります。アイソレーションは、良性であれ悪性であれ、すべてのコンテンツを悪意のあるものとして取り扱います。コンテンツからエンドデバイスに自由にアクセスさせるのではなく、クラウド上のリモート層で実行し、クリーンでサニタイズされたコンテンツのみをエンドポイントに送信します。このように初期アクセスを封じることで、ランサムウェアやその他のマルウェアは基本的に無力化され、攻撃の防止と悪意のある行為の監視の両方を実現する、階層的で総合的なアプローチとなります。
国や地方公共団体、K-12学区、そして高等教育機関では、リモートワークがますます増えています。企業ネットワークで保護されなくなったリモートワーカーは、脅威との戦いにおける新たな最前線となり、その戦いに敗れつつあります。世界経済フォーラムによると、セキュリティ侵害の95%は人的エラーが原因であると言われています。セキュリティ戦略はこのことを考慮し、過去のネットワーク中心のアプローチから進化し、ユーザーがどこからログインしようとも、積極的に保護することに焦点を当てるべきです。そのためには、ユーザーとインターネットの他の部分との間に仮想的なエアギャップを作り、本来のユーザー体験に影響を与えることなく、悪意のあるコンテンツからユーザーを分離することが必要なのです。ユーザーができることとできないことを決めるのではなく、インターネット上のコンテンツへのアクセス方法を変えずに、バックグラウンドで透過的にユーザーを保護することができます。
デジタルトランスフォーメーションにより、アプリケーションはデータセンターからネットワークエッジに移動し、リモートユーザーに対応し、クラウドの拡張性と経済性を活用できるようになっています。市民が公共サービスを申請する場合や、在宅の医療従事者がデジタル医療記録システムに患者情報をアップロードする場合、あるいは学生がキャンパス外のアパートから研究データにアクセスする場合に、重要なデータが公共のインフラ上で危険にさらされることが多くなっています。仮想プライベートネットワーク(VPN)のような従来のセキュリティツールは、帯域幅を消費し、パフォーマンス上のボトルネックを作り、脆弱なアクセスポイントになるため、この増加するトラフィックに対処するには適していません。組織は、従来のインフラを破棄して交換してしまうのではなく、クラウド上のプライベートアプリケーションを分離して、信頼できるエンティティだけを限定して許諾するゼロトラストポリシーを導入すれば良いのです。アイソレーションにより継続的な信頼を確立できれば、ユーザーを確実に認証し、アクセス権を持つべきユーザーに制約をかける必要は無くなります。
国や地方公共団体、K-12学区、公立の高等教育機関は、高度なHEAT攻撃に対応できていないため、悪意のある攻撃者の格好の標的になっています。これらの組織は、適切にHEAT攻撃に対処するためにセキュリティ戦略を見直す必要がありますが、必ずしも既存のセキュリティインフラを破棄する必要はありません。既存の検知と対応の機能に、ユーザーとプライベートアプリケーションに焦点を当てたゼロトラストの防御的アプローチを付加することで、セキュリティチームはユーザーエクスペリエンスに影響を与えることなく、拡大する攻撃対象を可視化し制御することができます。
