2021年 (ISC)² Blog 和訳

2021年2月12日

セキュリティの人的要素に対応する:アウェアネス&トレーニングプログラム

Diana-Lynn Contesti氏, CISSP-ISSAP, ISSMP, CSSLP, SSCP
John Martin氏, CISSP-ISSAP, CISM
Richard Nealon氏, CISSP-ISSMP, SSCP, SCF

このブログシリーズのパート1では、プライバシー、リモートアクセス(在宅勤務)、インサイダーの脅威、データ漏洩、Zero Trust Architecture(ZTA)、セキュリティアーキテクチャについて説明しました。この話を続けますと、2021年も引き続き在宅勤務者が増え、インサイダーの脅威やデータ漏洩によるリスクが増大すると考えています。しかし、エッジコンピューティング、5G、IoMT/IoT、AI、ランサムウェアなど、情報セキュリティ専門家にとっての懸念事項は他にもあると考えています。

エッジコンピューティング

エッジコンピューティングとは、企業のアプリケーションをIoTデバイスやローカルエッジサーバーなどのデータソースに近づけるための分散コンピューティングフレームワークです。このようにデータソースに近接していることで、すばやい可視化、応答時間の短縮、帯域幅の確保など、ビジネスに大きなメリットをもたらします。Gartner社は、2025年までにデータの75%が従来のデータセンター、あるいはクラウドプラットフォームの外で処理されるようになると予測しています。デバイスで生成されたすべてのデータを中央のデータセンターやクラウドに送信すると、帯域幅や遅延の問題が発生します。エッジコンピューティングは、より効率的な代替手段を提供します。データは、作成された時点に近い状態で処理・分析されます。クラウドやデータセンターにデータを転送して処理するのではなく、ネットワークを介してデータを転送するため、レイテンシが大幅に削減されます。

その中には、機械と機械の間のコミュニケーションや、人と人との間のコミュニケーションも含まれています。あるマシンが別のマシンと安全に情報を交換したいときに、認証機能を信頼することができるのか?そこでは、Zero Trust Securityとアーキテクチャを導入する必要があります。

5G

2020年が終わり、2021年を迎えて、5Gはどこにでもあり、常に接続されているものとして、セキュリティに不可欠な役割を果たすと考えています。

5Gのビジネスケース:

帯域幅が広くなり、多数のIoTデバイスをより高い信頼性でサポートできるようになったことで、大きな恩恵を受ける業界は少なからず存在しています。

しかし、私たちは、ネットワークを5Gに移行させようとする主な動機は、ネットワークプロバイダが5G技術の導入に必要な大規模な投資コストを回収したいからだと考えています。しかし、実際には(ごく少数のビジネスケースを除いて)、ほとんどの人はITを必要とせず、3Gや4Gが一般的に利用できる場所で十分サービスを受けられるのです。

カバレッジ

5Gのグローバルカバレッジマップを見ると、いくつかの点が際立っています。

・ドイツ、スイス、オランダ、イギリス中部(主要都市)、アイルランド共和国、アメリカ東部、タイ、シンガポール、日本、オーストラリア南東部の海岸線など、カバー範囲は非常に狭く、まばらです。そのような場所においても、5Gには大きなギャップがあります。
・5Gは、中南米、アフリカ、中東(サウジアラビアの一部を除く)、インド亜大陸、中国本土、北欧、南欧、ロシア、東南アジアの大部分、オーストラリアの残りの地域には存在しません。
・上記のビジネスケースと連動して、このようにカバレッジが限定される理由は、必要な投資にあります(5Gでは4Gよりも多くの送信機が必要となり、新しいネットワークを一から構築する必要があります)。ネットワークプロバイダは、投資効果が見込めない限り、このような大規模なインフラ展開には投資しないでしょう。上記のカバレッジから見えてくるのは、富裕層にのみサービスを提供する技術展開です。このような経済的分断は長期にわたって続き、世界の大部分の地域では、10年以上にわたって5G技術を利用できない、あるいは利用できない状況が続くと考えられます。

5Gにまつわるリスクは以下の通りです:

・分散型ルーティング:現在のネットワークは、ハードウェアで実現される集中型スイッチングに基づいています。すべてのトラフィックは、中央のハブを通過します。これにより、データの入力方法が制限され、データを入力においては、検査やクリーニングのためのゲートが設けられます。また、管理者はセキュリティテストに合格しなかったデータを簡単に隔離することができます。しかし、5Gネットワークはソフトウェアベースで、分散型のデジタルルーティングアプローチを採用しています。この方法では、データのエントリーポイントが増え、セキュリティチェックポイントを広範囲に分散させる必要があります。この分布により、悪意のあるデータを特定して制限することが難しくなります。
・帯域幅の拡大。多くのネットワークセキュリティソリューションは、ネットワークトラフィックをリアルタイムで監視し、パケットが入ってくるたびに検査するように設計されています。これは、ネットワークによってデータの転送速度が制限されているため可能なことであり、ソリューションには負担がかからないようになっています。ネットワークの安全性を保つためには、制限が必要です。5Gネットワークでは、現在のソリューションでは処理できないほどの高速なデータ転送が可能です。
・IoT(Internet of Things)の脆弱性
IoTデバイスの機能は、5Gの強化によって大きく成長します。現在、これらのデバイスは、交通信号から工場の機械まで、さまざまな機能やプロセスの制御に使用されています。パフォーマンスの向上により、IoTデバイスはより高度な人工知能(AI)と一緒に使用することができ、より大量のセンサーデータを提供することができます。これにより、これまで不可能だったインシデントの影響を受ける機会が生まれ、攻撃者にとって魅力的なターゲットとなります。
・ソフトウェアの仮想化
5G技術は、ハードウェアのアプライアンスを、高レベルのネットワーク機能を実現する仮想化ソフトウェアに置き換えます。このソフトウェアは、一般的なインターネットプロトコルの言語やOSに基づいて機能を実行します。機能がハードウェアによって物理的に制限されていないため、攻撃者にとってはより遠隔地からのアクセスが可能となります。これにより、以前は存在しなかった懸念事項が発生し、多くのセキュリティソリューションでは十分な対応ができません。
失敗の原因は、投資不足である可能性が高いでしょう。メーカーがIoTデバイスをエンドポイントのように扱えば、リアルタイムのエンドポイント検知・レスポンスのエージェントをインストールすることができます。これにより、セキュリティスタッフはインシデント発生時に攻撃を調査し、リモートでIoTデバイスをネットワーク上で隔離したり、ワイプしたり、再イメージ化するなどのアクションを起こして対応することができます。

IoTデバイスメーカーのための基礎的なサイバーセキュリティ活動 NISTIR 8259 2020年5月 - https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8259.pdf

もしあなたが5Gのサイバーセキュリティに貢献することに興味があるなら、National Cybersecurity Center of Excellence(NCCoE)に行って登録してください。また、構成要素に着目するのであれば、ゼロトラストアーキテクチャやその他の要素についても言及があります。

5Gのセキュリティは、IoTと表裏一体の関係にあります。技術自体には細かな(セキュリティ/運用上の)懸念がありますが(例:必要な接点の数の拡大、それらを監視して更新し続ける運用能力)、5Gのセキュリティ上の大きな懸念は、実際にはエンドポイントとしてネットワークに接続されるIoTデバイスに関するものです(後述)。

モノのインターネット(IoT)

IoTについては数年前から議論されており、現在では標準規格が策定されつつあります。 様々な報告書によると、IoTプロジェクトの75%は、プロジェクトが直面する技術的およびビジネス的な課題のために失敗しています。この傾向は2021年も続くと予想していますが、メーカーが従うべき基準がようやく見えてきたので、より成功するプロジェクトにシフトしていくのではないかと考えています。セキュリティ専門家は、自社の環境に最適なデバイスを選択するという課題に直面することになります。

多くの人々は、IoTに関連するすべての用語や技術にまだ慣れていません。参考になるクイックリファレンスを紹介します。

https://www.isc2.org/-/media/ISC2/Resource-Thumbnails/Resource-Center/eBooks/ISC2-IoT-Lexicon.ashx?la=en&hash=71CB188AD8954030FD3DDD9F67408FA183A8893A

2021年には、IoMT(Internet of Medical Things)が登場すると考えています。これは何でしょうか?簡単に言うと、医療情報を交換するための無線通信ネットワーク(医療機器と人)のことです。この導入により、メディカルスタッフは、患者をケアするために、より質の高いサービスを提供できるようになります。IoTとともに、これらの機器のプロトコルの標準化が進むことを期待しています。

ここでは、IoTをいくつかのサブセクションに分けて説明します。

・消費者向けIoT

消費者向けIoTの成長は、サイバー犯罪者が想像する最大級の攻撃ベクトルを(副産物として)もたらしました。本稿執筆時点でのIoTデバイスの数は100億から200億と推定されており、今後4~5年で倍増すると予想されています[1]。これらの大半は、低価格(例:1台あたり10~80ドル)および中価格(300~1,000ドル)の消費者向けデバイス(音声で操作するストリーミング、照明、暖房用のセンサーとコントローラー、ドアベルとセキュリティカメラ、スマートテレビなど)です。

このグループは、自宅での仕事であれ会社での仕事であれ、職場にこれらのデバイスが持ち込まれることが増え、重要なデータの損失が現実化するというリスクを抱えています。

DigiCert社のような組織は、さまざまなメーカーと協力して、消費者のコストを抑えながらIoT機器に電子証明書を搭載しようとしています。しかし、一部の組織/メーカーは、セキュリティの問題を無視し続けるか、もし対処したとしても、すべてのコストを消費者に転嫁することになると考えています。一方で、規制やセキュリティ対策を遵守しない不誠実な会社もいるため、買い手が気をつけるべき市場だと言うことができるでしょう。

インフラ IoT

システムがインターネットを介してアクセスできない独立した砦であった時代は終わりました(私たちの中には、トロイの木馬のように動作し、パッチを当てる必要のない古いGPACシステムを覚えている人もいます)。これは最近になって登場した攻撃ベクトルであると考えています。SolarWinds などの技術を使った最近のサプライチェーン攻撃で明らかになりました。

DoD i140(DoDD 8570ベースライン情報保証)を用いたGICSP - GIAC Global Industrial Security Professional認証も参考にしてください。https://www.giac.org/certifications/dodd-8140

医療機器のインターネット化(IoMT)

今後はIoMTへの攻撃が新たなベクトルになると考えています。これらの機器が有益であるためには、遠隔地でも患者の正確な状態を測定し、感知し、視覚化する機能を備えていなければなりません。また、相互に通信し、相互に作用し、変化にインテリジェントに対応し、将来のイベントを予測し、最適化する相互接続されたものでなければなりません。

参考: https://www.ibm.com/downloads/cas/D4WA40ZX

これらはすべて相互に関連しており、電子機器の販売業者、ソフトウェア、接続業者、在宅介護者、医療関連サービス、医療提供者、そしてそのようなサービスに対価を支払う人々の間で完全なエコシステムを形成しています。これは過小評価されている部分です。COVID-19下にて、セキュリティインテリジェンス、モニタリング、インシデントレスポンスが不足していたことから、2021年以降、これが大きな戦場となるでしょう。 この分野は、ランサムウェアが医療機関を侵食して患者の命に直接アクセスできる分野でもあります。そのため、多くの医療機関は、命がかかっているという理由で、単純に支払いを選択します。病院は攻撃されることを想定しておらず、あるべきセキュリティハイジーンが保たれていません。

ランサムウェア

ランサムウェアは、その数の多さだけでなく、標的となる組織の種類も増え続けます。2021年も引き続き、製造業に焦点を当て、産業用制御システム(ICS)をターゲットにした、最も成長率の高いサイバー犯罪になると考えています。IoT市場の拡大に伴い、このような攻撃手段が増えていくことが予想されます。2020年には、これらの攻撃の成長が145%増加しましたが、2021年にはこの分野で100~150%程度の更なる増加があると予想しています。

ランサムウェアの増加の動機を理解するには、次の言葉を思い出すとよいでしょう(Willie Suttonの言葉と誤解されていますが、実際には記者が作ったとされています)。

「Willie、なぜ銀行強盗をするの?

そこにお金があるからです。」

ランサムウェアは、攻撃者の顔の見えない攻撃であり、被害者が気づくことはほとんどありません。彼らにとっては、ほぼ100%成功し、低コストで簡単に実行でき、起訴されて有罪になる可能性がほとんどない(つまり、「タダ」でお金を手に入れる完璧な方法)と認識されているのです。

平均的な身代金の要求額は、ここ数年で倍増しています。

ランサムウェアのファミリーは、より高い効率と大きなチャンスを求めて、互いに協力し合うようになりました。

COVID-19パンデミックのような話題性のあるイベントは、マルウェアのスパムを作るための武器となっています。

ランサムウェアの運営者は、新しい戦略を開発するのではなく、すでに成功している戦略を洗練させていくことが求められます。そのため、2021年には、特に失うものが多い大企業を狙った標的型攻撃が増えることが予想されます。つまり、サイバーセキュリティ保険の保険料もそれに応じて上がっていくということです。FBIをはじめとする政府機関は、身代金を支払わないよう組織に要請しています。しかし、企業がデータを取り戻すためにお金を支払っているケースが散見されます。企業が当初の身代金要求の2倍、3倍の支払いをしているようであれば、標的型ランサムウェアの攻撃は2021年以降も続くでしょう。

これからも猛威をふるうことは間違いありません。あなたは、個人情報を暗号化して保存することが業務上重要であることを伝えたり、しっかりとしたバックアップ体制を整えたりすることで、あなたのクライアントをサポートすることができます。これにより、サイバーセキュリティポスチャーが改善され、ランサムウェア攻撃の影響を小さくさせることができます。

そのためには、Full Homomorphic Encryption(FHE)を使うというアプローチがあります。FHEは何年もかけて開発されたものですが、現在ではクラウドサービスや開発キットとして提供されています。

https://www.zdnet.com/article/ibm-launches-experimental-homomorphic-data-encryption-environment-for-the-enterprise/

もちろん、これは現実的と言うことはできません。ランサムウェアの実質的なコストは、社会が負担しています(大企業がターゲットにされた場合でも、その顧客に転嫁されます)。ある保険金詐欺の広告によると、"ポケットに手を突っ込んでお金を取られるようなもの "と言われています。 さらに心配なのは、ランサムウェアが重要なインフラを標的にしている場合です。昨年9月にドイツの病院の患者[2]が死亡した事件は、ランサムウェアが直接の原因とは言えませんが、ランサムウェアによる攻撃を受けていたために、最寄りの病院から30km以上も迂回しなければならなかったという事実があります。同様に、COVID-19の感染者が急増した今年10月には、ランサムウェアによる攻撃が米国の病院を襲いました。

ランサムウェアの攻撃がますます利益を生み続け、結果的に、小規模な犯罪者にとっても、大規模な組織ギャングにとっても、「最も簡単でリスクのない」犯罪の一つとして、今後も成長していくと考えられます。例えば、オランダでは、ランサムウェアに関連して起訴された例は1件しかありません。ランサムウェア「CoinVault」と「Bitcryptor」の作者である2人の兄弟が逮捕され、有罪判決を受け、2018年に240時間の社会奉仕活動の判決を受けました。[3]

これらの攻撃は、医療システム、医療開発、ICSシステム、さらには金融システムをターゲットにしています。どの業界も、対象にならないと考えることはできません。

産業界へのコストは今後も増加すると考えられるので、セキュリティ専門家は以下のことを確実に行うことが推奨されます。

1.適切なセキュリティアウェアネストレーニング
2.適切なバックアップ
3.可能であれば、このような事案をカバーするサイバー保険
4.セキュリティハイジーン

人工知能/拡張知能(AI)

このブログでは、真の人工知能は存在しないと考えているため、Augmented Intelligence(拡張知能)として紹介します。

注意:【太文字】人工知能ではなく、拡張知能という言葉を使っているのは、アラン・チューリングのテストに合格したものが今のところ無いからです。

【リンクの挿入】https://en.wikipedia.org/wiki/Turing_test【リンクの挿入】

膨大な量のリスクデータを分析することで、応答時間を短縮し、リソース不足のセキュリティオペレーションを強化する拡張知能は、サイバーセキュリティのゲームを変えつつあります。

拡張知能には以下のような効果があります。機械学習や自然言語処理などのAI技術により、アナリストはより高い信頼性とスピードで脅威に対応できるようになります。

学ぶ

・AIは、ブログやニュース記事など、構造化されたソースと非構造化ソースの両方から、何十億ものデータアーティファクトを使って学習します。機械学習やディープラーニングの技術により、AIはサイバーセキュリティの脅威やサイバーリスクを「理解」するための知識を向上させます。

その理由

・AIは関連情報を収集し、推論を用いて、悪意のあるファイル、疑わしいIPアドレス、インサイダーなどの脅威の関係を特定します。この分析は数秒から数分で完了するため、セキュリティアナリストは60倍の速さで脅威に対応することも可能となります。

補強する

・AIは、時間のかかる調査作業を排除し、精選されたリスク分析を可能とし、セキュリティアナリストが重要な判断を下し、脅威を低減するための組織の対応が始まるまでの時間を短縮します。

FAQ

https://www.ibm.com/security/artificial-intelligence

ここで重要なのは、倫理と完全性です。拡張知能(AI)は、すでに私たちのリビングルームや車、さらにはポケットの中にあると言えるでしょう。そこには、以下のような課題があります。

・AIシステムのプログラミングに適切な注意を払わなければ、プログラマのバイアスが結果に影響を与える可能性があります。このような問題を考慮したフレームワークを開発しなければなりません。これは非常に複雑な領域です。にもかかわらず、攻撃者はすでに企業に対してこれを使用し、次のターゲットを特定するためにも使っています。
・他には、学習データが、教えようとしている内容を完全に代表しているとは限らないため、機械が偏ってしまうという問題もあります。これは、適切なトレーニングデータセットを用意しなかったことによる、意図しない偏りだけでなく、誰かが構築した取引データセットを偏らせることを目的としてハッキングした、悪意のある攻撃による意図的な偏りである可能性もあります。

AIには普遍的に受け入れ可能な倫理体系はありません。AIは社会的な善のために使うことができますが、ある人の善が別の人の悪になるようなタイプの社会的影響を与えるために使うこともできます。私たちは常にこのことを意識していなければなりません。

サイバー犯罪者は、攻撃ベクトルとしても、攻撃対象としても、人工知能を悪用していることが、国連国立地域間犯罪・司法研究所(UNICR)のユーロポールの調査で明らかになりました。

「今後、犯罪者がAIを様々な形で利用することが予想されます。サイバー犯罪者は、攻撃の範囲や規模を拡大したり、検知を回避したり、AIを攻撃ベクトルや攻撃対象として悪用したりする目的で、AIを利用する可能性が高いと考えています。

犯罪者がAIを使って、ソーシャルエンジニアリングの手法で組織に被害を与える悪質な活動を行うことを予見しています。AIを利用することで、サイバー犯罪者は、コンテンツ生成による攻撃の最初のステップを自動化し、ビジネスインテリジェンスの収集を改善し、潜在的な被害者とビジネスプロセスの両方を侵害したことの検知を早めることができます。これにより、フィッシング詐欺やBEC(Business E-mail Compromise)詐欺など、さまざまな攻撃による企業への詐取が、より迅速かつ正確に行われるようになります。

AIは、暗号通貨の取引を操作するために悪用されることもあります。例えば、blackhatworld[.]comのフォーラムの投稿で、過去のデータから成功した取引戦略を学習して、より良い予測と取引を開発することができるAIを搭載したボットについての議論を目にしました。

それ以外にも、将来的にはAIが個人に危害を加えたり、物理的なダメージを与えたりすることも考えられます。実際に、1グラムの爆発物を搭載したAI搭載の顔認識ドローンが開発されています。これらのドローンは、目立たないように小鳥や昆虫を模してデザインされており、マイクロターゲットや一人用の爆弾に使用することができ、携帯電話のネット機能で操作することができます。

トレンドマイクロ社の最近の記事( https://www.trendmicro.com/en_us/research/20/k/the-dangers-of-ai-and-ml-in-the-hands-of-cybercriminals.html )によると、「AIや機械学習(ML)技術は、さまざまな分野や産業において、視覚認識、音声認識、言語翻訳、パターン抽出、意思決定機能など、多くのポジティブなユースケースがあります。しかし、これらの技術が犯罪や悪意のある目的に悪用されることもあります。そのため、これらの技術がどのように利用されているかを示す能力、シナリオ、攻撃ベクターを理解することが急務となっています。このような共通理解に向けて努力することで、高度な攻撃や悪用からシステムや機器、一般市民を守るための準備を整えることができるのです」。

参考情報:

https://securitybrief.co.nz/story/cybercriminals-are-leveraging-ai-for-malicious-use

https://documents.trendmicro.com/assets/white_papers/wp-malicious-uses-and-abuses-of-artificial-intelligence.pdf

さて、今回の2回目のブログは予想以上に長くなってしまったので、デジタルトランスフォーメーション、サプライチェーン、MSSPについて触れられませんでした。第3回目のブログでは、これらのテーマについてご紹介します。2021年と2022年は、情報セキュリティにとって注目すべき年になるかもしれませんね。



[1] https://www.statista.com/statistics/1101442/iot-number-of-connected-devices-worldwide/

https://www.softwaretestinghelp.com/iot-devices/

[2] https://www.zdnet.com/article/first-death-reported-following-a-ransomware-attack-on-a-german-hospital/

https://www.technologyreview.com/2020/11/12/1012015/ransomware-did-not-kill-a-german-hospital-patient/

[3] https://brill.com/downloadpdf/journals/eccl/28/2/article-p121_121.xml

原文記事: https://blog.isc2.org/isc2_blog/2021/02/cybersecurity-predictions-for-2021-part-2.html