2023年は、連邦政府機関のセキュリティチームにとって変革の年となりそうです。CMMC(Cybersecurity Maturity Model Certification:サイバーセキュリティ成熟度モデル認証)などの規制は、連邦政府機関に職員や民間コントラクタからのリモートアクセスを適切に認証することを求めており、これ自身は正しい方向への第一歩と言えます。しかし、このような新しいセキュリティ管理を導入する際には、連邦政府機関が拡大する攻撃対象をどのように保護すべきかについて再考する必要があるでしょう。
セキュリティチームは今後数ヶ月の間、これらの新しい規制の認証を取り付けるために、すでに分散しきったITリソースを再集中させなければなりませんが、その一方で基本的なサイバーセキュリティを疎かにすることはできません。ファイアウォール、セキュアWebゲートウェイ(SWG)、サンドボックス分析、URLレピュテーション、フィッシング検知などの現在のセキュリティスタックにおける複数の検知層を回避する技術を採用し、Webブラウザーを標的とするHEAT(Highly Evasive Adaptive Threats:高度に回避的で適応型の脅威)を使った攻撃の急増を考えると、これは特に重要です。攻撃者はHEAT攻撃によってネットワークへの初期アクセスを獲得し、最終的にマルウェアのダウンロードや認証情報の漏洩を行い、多くの場合それはランサムウェアやその他の攻撃に繋がります。
CMMCやその他の規制への取り組みを進める一方で、基本的で常識的な保護機能を実装してこうしたWebベースの攻撃からユーザーを積極的かつ自動的に保護することも重要です。強固なセキュリティ戦略によってもたらされる安心感によって、連邦政府機関を危険にさらすことなく、より多くのリソースをこれらの変革的なアーキテクチャ再構築プロジェクトに向けることができるようになります。
連邦政府機関は今もWebベースの攻撃の格好の標的になっている
リソースが限られていることと、デジタルトランスフォーメーションやハイブリッドワークの進展、そしてコントラクタの割合が増加していることによる攻撃対象の拡大が重なり、連邦政府機関は攻撃に対して極めて脆弱な状態になっています。悪意のある攻撃者が、連邦政府機関が使用している従来型のセキュリティツールを回避するために設計された高度な技術を使用して、連邦政府機関を侵害しようとするのは間違いありません。攻撃者は、現在ほとんどの業務が行われているブラウザーを狙い、エンドデバイスへの初期アクセスを獲得してそこに待機させ、より魅力的なターゲットを求めてネットワークに拡散させます。
私たちは最近、ある大規模な連邦政府機関でブラウザーのペネトレーションテストを実施しましたが、この機関ではトップベンダーの定評ある2つの次世代セキュリティソリューションを使用していたにもかかわらず、ネットワーク上で悪意のある活動が多数見つかりました。攻撃者はブラウザー経由で初期アクセスを行ったのです。検知と対応によるアプローチは、もはや適切ではありません。最新の回避的な脅威の動きは従来型のセキュリティシステムよりもはるかに速く、最初の侵入から数秒以内にペイロードを配信することさえ可能です。脅威が検知された時点で被害は広がっており、すでに手遅れなのです。
既存のセキュリティスタックの上に保護レイヤーを追加する
このような脅威から組織を守るための唯一の方法は、既存のセキュリティスタックの上に防御機能を重ねることです。この追加のセキュリティ層は、セキュリティイベントが発生するのを初期の段階で阻止し、ブラウザーが侵害された場合にはそれを迅速に遮断するための監視機能を備えたものです。セキュリティが確保されれば、セキュリティチームはCMMC要件への対応などに集中することができます。
しかし、防御機能にもいろいろあります。最新のHEAT攻撃から連邦政府機関を保護するためのセキュリティソリューションに求められるのは、以下の3点です:
1. 未知の脅威からの保護
脅威インテリジェンスは非常に重要で、サイバーセキュリティにおける最新の脅威とトレンドに関する最新情報を組織に提供してくれます。しかし脅威インテリジェンスにも限界はあります。新しいセキュリティ技術が開発されると、攻撃者はすぐにそれを回避する方法を見つけるため、現在有効なインテリジェンスが明日、あるいは1時間後に有効であるとは限りません。連邦政府機関のサイバーセキュリティチームは、既知の脅威に加えて未知の脅威からもユーザーを保護する必要があるため、URLフィルタリングのような従来型のセキュリティ技術では不十分なのです。Menlo Securityの調査によると、Webベースの脅威の30~50パーセントはカテゴリ分けされていないWebサイトから発生しており、ホワイトリストやブラックリストに表示されないのです。
2. Web上でのスケールアップ
現代においてWebは業務を行う上で不可欠なものであり、侵害されたWebサイトやSaaSプラットフォーム、クラウドインフラ、その他のWebベースのプラットフォームから脅威が出現する可能性があります。ソーシャルエンジニアリングにより、ユーザーのソーシャルメディア、パーソナルバンキング、その他のオンラインサービスを攻撃手段として武器化し、エンドポイントにアクセスすることもできます。連邦政府機関のサイバーセキュリティチームは、メール、Webサイト、SaaSプラットフォーム、プライベートアプリケーションなど、すべてのWebトラフィックに対応できる防御ツールを見つける必要があります。
3. 生産性に影響を与えない
政府職員、特にリモートワーカーは、オンラインのリソースに自由にアクセスできる必要があります。アクセス性やパフォーマンスに問題があると、生産性に影響を及ぼし、業務を妨げる可能性があります。このような問題を解決するためには、ネイティブなユーザーエクスペリエンスを維持する必要があります。新しいブラウザーの操作方法を覚える必要が無く、パフォーマンスへの影響も無く、ピクセル化されたコンテンツは使わず、カット&ペーストや印刷などの機能が使えなくなることもありません。ユーザーは保護されなければなりませんが、ユーザーをインターネットから切り離すことはできません。Webは、Webとして使えなければならないのです。
基本に立ち返る
連邦政府機関は、今年から施行される新しいCMMC規制への対応で手一杯です。セキュリティチームは、Webからリスクを排除することができるFedRAMP認定パートナーを持つことが不可欠であり、そうすれば、セキュリティスタックの再構築をできるだけスムースに行うことに時間とエネルギーを集中させることができます。防御的かつ自動化されたアプローチによって、HEAT攻撃がブラウザーから初期アクセスするのを防ぐことができるようにすれば、必要なリソースを確保することができます。