ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
先日、CISA(Cybersecurity and Infrastructure Security Agency)のステークホルダーエンゲージメント担当アシスタントディレクターであるAlaina Clark氏の興味深い講演を聴く機会がありました。Clark氏は連邦政府機関のセキュリティ専門家からアドバイザーとして信頼されています。この講演はK-12(幼稚園から高校まで)学区(School district:アメリカなどで公立学校を運営する地域毎の組織のこと)のセキュリティ専門家を対象としたものでした。氏は、K-12学区は連邦政府機関と同じセキュリティ上の課題の多くに直面しており、ITチームは彼女が連邦政府機関に推奨しているのと同じサイバーセキュリティ戦略の多くを導入できると主張しました。
最初、私は半信半疑でした。ブラウザーの標準化やコンテンツブロックソフトウェアの使用といったCISAの提言は、多様性を重んじアクセスに制限を設けないことを基本理念とする教育現場にはそぐわないのではないかと考えたからです。しかし、K-12学区のセキュリティチームが組織の原則から外れることなくガイドラインの精神に従うことができるとしたらどうでしょうか? 連邦政府機関のサイバーセキュリティチームは、無法国家が支援し資金援助する高度に洗練されたランサムウェア攻撃と長い間闘ってきました。そして今、同じ攻撃者がK-12学区を標的にしているのですから、過去から学べることは必ずあるはずです。
Webアイソレーション技術は、これらのガイドラインを可能にする鍵になるのでしょうか?
Clark氏とCISAは最近、非連邦政府機関におけるWebブラウザーの保護とマルバタイジングの防御(Securing Web Browsers and Defending Against Malvertising for Non-Federal Organizations)について、新しくキャパシティ強化ガイドを発表しました。このガイドはマルバタイジングに焦点を当てたものですが、悪意のあるWebコンテンツがブラウザーに組み込まれた保護機能を回避してランサムウェアを含む悪意のあるペイロードを配信できることに注目しています。これらの従来型のセキュリティツールはHEAT(Highly Evasive Adaptive Threats : 高度に回避的で適応型の脅威)を識別して防御することができないため、悪意のある攻撃者がブラウザーを通じてネットワークに初期アクセスし、価値のあるターゲットを求めてネットワーク内を調査し、最終的にペイロードを配信することを許してしまいます。
CISAの強化ガイドによると、ブラウザーへの初期アクセスを防御することは、ランサムウェア攻撃を阻止するための鍵になります。しかし、CISAが推奨する戦術の多くは、教育現場では通用しないでしょう。上記のように、文化が違いすぎますし、多様性も分散性も異なることから、制御によってエンドデバイスをロックダウンすることは困難と考えられるからです。それらとは異なるアプローチが必要ではないでしょうか。それは、Webアイソレーションで実現する破壊的で無いアプローチです。
ここでは4つのCISAガイドラインと、それらをWebアイソレーションがどのように実現できるのかを説明します:
CISAは、システムのアップデートとパッチ適用プロセスを簡素化するために、組織内のWebブラウザー環境を標準化することを推奨しています。ブラウザーとそのバージョンや設定を統一することで環境を常に最新の状態に保つことができ、結果としてセキュリティを強化できます。しかし、K-12学区は均質な組織とはほど遠いものです。生徒、教師、管理者は、さまざまな学校や場所、部門に跨がっており、他のどのようなユーザーベースとも異なっています。そしてほとんどの場合、それらの教育方針では多様性や好奇心、非準拠性を奨励しています。全員が同じブラウザーを使うということは、まずあり得ないのです。しかし、これはIT部門の手が縛られることを意味するわけではありません。ブラウザーのインフラ管理を簡素化し、攻撃対象を縮小する方法は他にもあるからです。Webアイソレーションは、インターネットとユーザーデバイスの間に追加のレイヤーを作成することでこれを実現します。このレイヤーはクラウド上に作られ、仮想的なエアギャップとして機能します。インターネットからのすべてのコンテンツはエンドデバイス上のブラウザーではなく、クラウド上のリモートブラウザーで取得・実行され、ユーザーのデバイスへの直接アクセスは効果的に遮断されます。そのため、誰がどのブラウザーを使っており、パッチが適用されているかどうかは重要ではありません。重要なのは、リモートブラウザーが最新であるかどうかだけです。それに、アップデートするブラウザーが1つのほうが、数千ものブラウザーをアップデートするよりもずっと簡単なのです。
CISAの強化ガイドによると、「広告ブロックソフトウェアは、ユーザーがWebサイトを訪問したり、アプリケーションを使用したりする際に、広告(およびその他の悪意のあるWebコンテンツ)が表示されないようにしたり、異なる種類の広告を削除したりする。」とあります。あらゆるコンテンツブロック技術(広告ブロックに加え、URLフィルタリングも)が持つ問題に、誤検知の危険があります。K-12学区では、セキュリティだけでなくアクセス性も重視しており、情報の自由な流れを妨げたり学生の研究活動を阻害したりするようなセキュリティは、その原則を崩すことになります。しかしWebアイソレーションなら、クリックの時点でコンテンツを許可するか否かの判断が不要になり、その代わりにすべてのコンテンツは悪意があるとみなされ、リモートブラウザーで分離されます。悪いコンテンツは自動的に取り除かれ、良いコンテンツだけがエンドデバイスのブラウザーに配信されます。これにより、最終的にはすべてのコンテンツにアクセスできるため、誤検知を効果的に排除することができます。
CISAは、組織がDNS技術を使用して既知の悪意のあるドメインへのリダイレクトをブロックすることを推奨しています。CISAはサイバー攻撃の91%がDNSを使用してペイロードを配信していると報告していますが、ほとんどのURLフィルタリングソリューションは、悪意のあるドメインをすべて識別することはできません。ある時点で安全だと判断されたWebサイトが、次の日にも安全であるとは限らないのです。悪意のある攻撃者は、信頼できる既知のドメインを乗っ取ってWebサイトに悪意のあるコンテンツを挿入することが知られています。CISAでさえ、DNS技術ではこうした攻撃の3分の1しか防げないと認めています。攻撃者はたった1回侵入に成功すれば十分なのに、このような防御率で大丈夫なのでしょうか? DNS技術のような検知と対応の機能にWebアイソレーションを追加し、未知の脅威を防ぐことで既存のアプローチを強化することが重要です。これでCISAの言う3分の1の防御率は100%になり、誰もが納得できる数値になるのです。
私たちはこのCISAの推奨事項を心から支持し、これに同意します。既存のセキュリティスタックにWebアイソレーションを追加することは、ユーザーを混乱させることなく組織の検知と対応型のセキュリティ戦略を強化できる素晴らしい方法です。ただ、使用するWebアイソレーションソリューションが、エンドユーザーのWebブラウジング体験を損なわないことを確認してください。Webは、エンドユーザーが期待するとおりに表示され、動作しなければなりません。カスタムブラウザーが必要だったり、レンダリングがピクセル化されたり、タイムラグがあったり、コピーやペースト、印刷などの機能の制限があったりしない事が重要です。ユーザーが、自分がアクセスしているコンテンツが自分のデバイスから離れたクラウド上のリモートブラウザーで実行されていることに気づかないことが理想です。Webブラウジングは、シームレスで高速かつ安全であるべきだからです。
Webブラウザーは、K-12学区においてもますます重要なツールとなっています。遠隔教育やデジタルトランスフォーメーション、そして人事、給与計算、出欠管理などの業務のためのSoftware as a Service(SaaS)プラットフォームの台頭により、ローカルインフラからクラウドへの移行が進んでいます。このため、K-12学区はランサムウェアやその他の攻撃の格好の標的となりつつあり、拡大する攻撃対象を保護することは非常に困難になっています。幸いなことに、K-12学区のセキュリティチームは何年もこうした攻撃者と戦ってきたCISAや連邦政府機関からベストプラクティスを学ぶことができます。しかし、K-12学区の文化はオープン性とアクセス性において大きく異なっているため、従来の戦術に手を加える必要があります。その鍵を握るのがWebアイソレーションです。既存の検知と対応のアプローチにアイソレーション技術を追加することで、K-12学区はサイバーセキュリティに関するCISAの連邦ガイドラインに適応し、生徒、保護者、教師、管理者、そして彼らの個人情報をよりよく保護できるようになります。
