HEAT 攻撃が金融機関にとって大きなリスクとなる理由

金融機関が標的にされるのは、当然といえば当然です。サイバー犯罪者やその他の悪意ある攻撃者は、彼らが貴重な個人識別情報（PII）や収益化が可能な独自の金融情報を扱っていることを知っているからです。また、これらの数十億ドル規模の企業は、緊急時に備えた資金（身代金の支払いに利用できる）を莫大に用意している可能性が高いことも一因でしょう。

しかし、デジタルおよびクラウドへのトランスフォーメーションにより脅威が拡大し、攻撃がより一般的になって身代金要求が増加するにつれ、リスク評価としてはもはや無策ではいられなくなりました。金融機関は、今日の最も深刻な脅威であるHEAT（Highly Evasive Adaptive Threats：高度に回避的で適応型の脅威）攻撃を阻止するために、より積極的にセキュリティ戦略を見直す必要があります。この新しいタイプのサイバー脅威は、最大の生産性ツールであるWebブラウザーを脅威のベクトルに変えてしまうのです。

新しい環境への対応

金融機関のビジネスオペレーションは、過去3年間で劇的に変化しました。新しいハイブリッドな働き方をする従業員によって攻撃対象は拡大し、デジタルトランスフォーメーションの進展と新しい顧客エンゲージメントチャネルの導入によって重要な情報とシステムがネットワークエッジやそれ以外の場所に移動し、サードパーティのパートナーやツールへの依存度が高まることによって可視性と制御の複雑さが生まれ、セキュリティ問題の特定と対処を困難にしています。最大の問題は何でしょうか? それは、セキュリティチームがこの状況についていくのが精一杯だということです。

従来型の検知と対応に頼る戦略は、もはや通用しません。なぜなら、検知のスピードがHEAT攻撃に追いつくことは不可能だからです。HEATの回避技術には、HTMLスマグリング、保護されていないチャネル（テキストメッセージ、ソーシャルメディア、コラボレーションソフトウェアなど）を通じた悪意のあるリンクの送信、Webページのソースコード内の悪意のあるコンテンツの隠蔽、良性のWebサイトを利用した高度なマルウェアの配信などがあります。これらのHEAT攻撃は、基本的に目立たないところに潜んでいるため、従来の検知と対応型のセキュリティソリューションを欺き、正当なトラフィックであると思い込ませることができるのです。

攻撃者がネットワークに侵入する方法が多すぎること、塞ぐべき脆弱性が多すぎること、そして正しいセキュリティ判断をするために他の人や組織に頼りすぎていることは明らかです。

検知への偏重を見直す

最初の侵入を阻止するという、従来型のセキュリティへの取り組み方法を見直すことが、こうした攻撃を未然に防ぐための唯一の手段です。ここでは、金融機関のセキュリティチームが、HEAT攻撃を懸念事項から取り除くために予防に重点を置く際に留意すべき5つの事柄を紹介します：

1. 事前に緩和戦略を立てる

侵入された場合の計画を立てておくことは、非常に重要です。リモートワーカー、パートナーエコシステム、顧客、その他の攻撃対象など、自社のセキュリティ態勢における最も弱い部分を特定する必要があります。そして、これらの関係者に組織の安全を守るためのベストプラクティスを伝えると同時に、侵入された場合の復旧計画を策定しておく必要があります。安全対策が施され、迅速な復旧計画があり、全員が同じ考えを持っていることを確認することで、攻撃を緩和するためにできることはすべてやっているという安心感を得ることができます。

2. 拡大する攻撃対象を可視化し、制御する

今日のビジネスは、対面や電話、メールだけで行われるわけではありません。顧客はプライベートアプリケーション、サードパーティプラットフォーム、ソーシャルメディアなど、ほとんど可視化も制御もできないチャネルを利用しています。Webサイト、チャットボット、プライベートアプリケーションなど、コントロールできるチャネルであっても、クラウド上のサードパーティのインフラで実行されている場合が多く、各プロバイダは独自のセキュリティポリシーを持っています。セキュリティチームは、こうした障壁を取り除き、アプリケーション、デバイス、ワークロード、およびマルチクラウドインフラに跨がるアプリケーションを可視化する、新しい集中型のセキュリティプラットフォームを必要としています。また、信頼性と一貫性があり、生産性に影響を与えないエンタープライズレベルのセキュリティ制御を作成および適用できるプラットフォームが必要です。

3. クラウドネイティブなアプローチで、ビジネスの場所を選ばずに拡張できる

フォーチュン500に選ばれているグローバル企業であれ、地方銀行であれ、その業務はオフィスからネットワークエッジ、さらにはその先にまで広がっています。アナリストが休暇中にログインする場合も、顧客がモバイルアプリで取引を行う場合も、窓口担当者が支店で口座残高を確認する場合も、ビジネスの場所を問わずそれらを保護し、ビジネスに合わせてセキュリティを拡張することが非常に重要です。このような拡張性を確保するためには、オンデマンドで起動する動的なインフラをプロアクティブに保護できる、柔軟性の高いクラウドネイティブのセキュリティ戦略が必要です。

4. コンテキストに沿ったポリシーの作成、管理、および適用を行う

最も厳しいセキュリティ対策をすべてのユーザーとエンティティにやみくもに適用すると、通常の業務に不必要な制約をかけてしまいます。インターネットに接続されていないデバイスを使用している銀行支店の窓口係と、ノートパソコンを使用して第三者の金利をチェックする遠隔地の住宅ローン担当者に対して、同じ管理を行うことにはあまり意味がありません。セキュリティ戦略は、ユーザー、デバイス、インフラ、アプリケーションを意識したものであるべきで、そうすればさまざまなワークロードに異なるポリシーを適用することができます。そのためには、まずユーザーが誰で、どこにいて、どのようなアプリケーションを使用し、何をどのように行うことが許されているのかを知ることから始めます。このような状況を把握することで、セキュリティチームは、通常の業務を妨げることなく、適切なセキュリティ制御を行うことができるのです。

5. コンプライアンスとセキュリティを融合させる

金融機関は地球上で最も厳しい規制を受ける組織ですが、コンプライアンス要件を満たすためには、単にチェックリストを埋めるだけでは不十分です。セキュリティチームはコンプライアンスチームと連携し、何をすべきか（コンプライアンス）、どのようにすべきか（セキュリティ）を知る必要があります。コンプライアンス要件の文言と精神を満たすために、防御的なセキュリティ戦略にコンプライアンスを組み込む必要があります。

可視化と制御が防御的セキュリティ戦略の鍵です

金融機関は、インターネットやメールから発信されるHEAT攻撃の脅威に常にさらされています。セキュリティチームは、従来の「検知と対応」のアプローチを見直し、最初の侵害を未然に防ぐために、より積極的に行動する必要があります。そのためには、先見性と計画性、そして拡大する脅威の表面を確実に可視化して制御する、新しいセキュリティフレームワークが必要です。