ワールドツアー:
Menloのセキュアエンタープライズブラウザがどのように攻撃者に先んじるかをライブで見てみましょう
デジタルトランスフォーメーション。爆発的に増加する攻撃対象。在宅勤務。ハイブリッドワーク。SaaS(Software as a Service)。クラウドへの移行。セキュアリモートアクセス。プライベートトンネル。SD-WAN。ランサムウェア。フィッシング。ソーシャルエンジニアリング。ドライブバイアタック。認証情報の盗難。BYOD。セルフサービスIT。数え上げればきりがありません。リモートワーカーを保護することは、かつてないほど複雑で、リスクをはらんでいます。
残念ながら、リモートワーカーを保護するための旧来の方法は、もはや十分ではありません。VPN(Virtual Private Network)は、安全性が低いことが判明し、拡張性も不十分です。インターネットトラフィックを安全なデータセンターにバックホールすることは、遅延を増やし、パフォーマンスに影響を及ぼします。ブラックリストは、動的なインターネットの全てのセクションを遮断してしまい、ユーザーの業務を妨げます。
しかし、企業は新しいセキュリティ問題に古い技術で対応しようとしています。セキュリティ戦略は最新のビジネスニーズに合わせて進化する必要があります。つまり、ユーザーがどこからでも、どんなデバイスからでも企業資産にログオンしてアクセスでき、パフォーマンスに影響を与えることなく、今日の高度な脅威から保護されるようなものでなければなりません。
しかし、古い習慣を捨てるのは難しいものです。ここでは、拡大するサイバーセキュリティの脅威からリモートワーカーを保護しようとする際に、組織が陥りやすい5つの落とし穴を紹介します。
砂の中に頭を突っ込み、ユーザーが個人所有のデバイスで企業資産にアクセスしていないと思い込むのは簡単なことです。ポリシーがどのようなものであれ、個人が所有する携帯電話、タブレット、ノートパソコンでメールをチェックしたりSalesforceにログインしたりすることにセキュリティ上のリスクがあることは、誰もが理解しています。しかし、いずれにせよ人はそれをしてしまうものです。しかも多くの場合、あまり深く考えずに。
実際、米国の労働者の3分の2は個人所有のデバイスを業務に使用しており、管理されていないデバイス(および民生用WiFiなどのネットワーク)は、組織にとって大きなセキュリティリスクとなります。同時に、クラウドがコンシューマー化したことで、ユーザーは会社のポリシーに従うことなく、またIT部門に知らせることもなく、クレジットカードを登録して独自のインフラを立ち上げることが、これまで以上に簡単にできるようになったのです。攻撃者がワンクリックでデバイスにアクセスし、ネットワーク全体に密かに拡散することができるようになったのであれば、管理されていないデバイスやインフラと企業リソースとの間の接続を確実に保護する必要があります。
Web、メール、アプリケーションのアイソレーション技術を導入することで、ユーザーとインターネット上のコンテンツとの間に仮想的なエアギャップを作り、ランサムウェアやドライブバイ攻撃、マルウェアなどがエンドデバイスに最初のアクセスを試みる前に止めることができます。デバイス中心ではなく、ユーザー中心のアプローチにより、管理外のデバイスやインフラも保護され、悪意のある攻撃者が価値の高いターゲットを求めてネットワーク上に拡散する手段を封じることができます。
悪意のある攻撃者は、かつてないほど洗練され、適応力が高まっています。サイバーセキュリティは、攻撃者とセキュリティチームとの間のせめぎ合いです。新しいセキュリティ対策が開発されると、攻撃者はすぐにそれを回避する方法を見つけます。隙間を新しいツールでふさぐと、ハッカーは別の侵入経路を特定します。要は、「今日有効なものが、明日もそうとは限らない」ということです。今日のHEAT(Highly Evasive Adaptive Threats:高度に回避的で適応型の脅威)は、Webブラウザーを標的とし、ファイアウォール、セキュアWebゲートウェイ(SWG)、サンドボックス分析、URLレピュテーション、フィッシング検知など、現在のセキュリティスタックの多階層での検知を回避するテクニックを使用します。これらのHEAT攻撃は、マルウェアの配布や認証情報の漏洩のための最初のアクセスポイントとして使用され、多くの場合、ランサムウェアやその他の攻撃につながります。
脅威ランドスケープから来るあらゆる活動を把握し、現在投資しているセキュリティにとってどのような意味があるのかを考えてみましょう。サイバーセキュリティに関するあらゆることに関して、知識は力であり、HEAT攻撃のような新たな脅威に関しては、なおさらそうです。
VPNアプライアンスは拡張性が乏しく、ユーザーがどこからでもアプリケーションやデータに確実にアクセスする必要がある、デジタルでアジャイルな組織のニーズを満たすことはできません。ソーシャルエンジニアリングや偽のログインフォーム、フィッシングによって認証情報が侵害されると、攻撃者はネットワークの残りの部分に完全に無制限にアクセスできるようになり、東西のセキュリティ対策はほとんど施されなくなります。VPNが機能する場合でも、インターネットトラフィックを安全なデータセンターにバックホールするため、帯域幅を消費し、遅延を増大させます。また、今日のハイブリッドワーカーのニーズに合わせて拡張することもできません。
クラウドベースのアプリケーションアイソレーションを有効にし、脅威防御のレイヤーでプライベートアプリケーションへの接続を提供するなど、安全なリモートアクセスの代替方法を検討してください。このアプローチでは、強化されたゼロトラストアクセスを提供し、エンドユーザーエクスペリエンスに影響を与えることなく、セキュリティ体制を最大化することができます。
ベンダーの統合は、ある程度は理にかなっています。Anomaliによると、企業は平均50~80のセキュリティツールを利用しており、その数は大企業では120にも上ります。このようなソフトウェアの乱立は、資本コストや運用コストの増加につながり、統合と可視化の問題を引き起こします。Gartnerの報告によると、グローバル企業の75%が今後12カ月間にセキュリティベンダーの統合を計画しているということですが、それも驚くには値しません。問題は、あまりに統合が進むと、効果が低下することです。どのベンダーも、あらゆる脅威ベクトルを網羅する最善のセキュリティソリューションを提供することはできません。完全なソリューションを開発したり、寄せ集めようとすれば、必然的に妥協せざるを得なくなるのです。
ベンダーの統合は、少規模であれば効果的です。統合にも少しは意味があるにせよ、(GartnerがSSEの調査で推奨しているように)完全に単一のベンダーに依存するのはリスクが高すぎます。ソフトウェアの乱立と技術的負債は、この業界における大きな問題ですが、組織は、シンプルさと脆弱な保護とを引き換えにするようなことには注意する必要があります。
これは大きな問題です。過去10年間のセキュリティのトレンドは、侵入は避けられないため、ネットワーク内部の悪意ある行動を検知することに集中すべきだというものでした。水平方向のセキュリティは重要ですが、保護を犠牲にしてまで行うべきではありません。HEAT攻撃は、JavaScriptやVPNなどの一見無害な技術の間に隠れることで、従来の検知と対応型のサイバーセキュリティのアプローチを回避します。これにより、悪意のある行為者はネットワークを突破し、数日、数週間、あるいは数カ月にわたって検知を回避することができます。問題は、最初の侵入後に攻撃者が動き出すまでのスピードが加速していることです。最近のOktaの不正アクセスで判明したように、それが数分であってもペイロードを送り込むのに十分な時間となり得ます。他のセキュリティベンダーがどう言おうとも、防御は負け戦ではありませんし、防御策を講じることで最初のアクセスを阻止することができます。
SASEセキュリティとZero Trustを組み合わせたマインドセット(すべてのコンテンツは疑わしいものであり、企業のセキュリティ管理の対象となる)により、今日のネットワークセキュリティスタックのレガシーな欠陥に対処し、最終的に成果を得る、真の防御的セキュリティアプローチを実現します。
新しい働き方は、新しい方法で保護する必要があります。Web、メール、アプリケーションのアイソレーションを活用することで、企業はセキュリティ戦略を進化させ、現代の脅威に対応することができるのです。
HEAT攻撃についてもっと知りたい、あるいは自分がその影響を受けているかどうかを知りたいという方は、当社のHEAT Checkアセスメントを試してみてください。
