2021年 (ISC)² Blog 和訳

2021年1月22日

アクセス制御とネットワーク・セグメンテーションで資産を保護する

 企業はますます新たな技術への依存度を高めており、従業員や顧客とのコラボレーションや交流の方法を変えることで、サービス品質の向上というメリットを享受しています。企業のデータはマルチクラウド環境に移行しており、コンテナの採用はアプリケーションの迅速かつ俊敏な開発に貢献しています。IoTデバイスやセンサーは、タイムリーで正確な意思決定に役立つ豊富なデータをビジネスに提供します。 

拡大する脅威

 しかし、この技術を活用しているのは企業だけではありません。犯罪者も同様です。Verizon DBIR 2020の報告書(*1)によると、クラウド資産が侵害の約24%に関与していたとされています。これは、クラウドセキュリティを非難するというよりも、サイバー犯罪者が被害者への最短かつ簡単なルートを見つけ出しているということを示しています。コンテナ化された環境も脅かされています。コンテナを使用している組織の94%(*2)が、コンテナ環境で深刻なセキュリティ問題を経験しています。
 2020年には380億台以上のデバイス(*3)がインターネットに接続されると予想されており、IoTの脅威の状況は、消費者と企業の業務の両方に影響を与える脅威の1つとして明らかになりつつあると、IBM X-Force Threat Intelligence 2020レポート(*4)は述べています。IBM X-Forceの調査では、2019年に複数のMiraiマルウェアによる攻撃が、家電製品をターゲットにしたものから、エンタープライズグレードのハードウェアをターゲットにしたものへと変化していることを確認しています。攻撃者が組織の足がかりを探している場合には、侵害されたネットワークデバイスは、攻撃者によって踏み台として使用される可能性があります。
 サイバーセキュリティ組織は、増大し、複雑化する攻撃面に対処しなければならないことに疑いの余地はありません。CyberEdge 2020 Cyberthreat Defense Report(*5)の回答者は、サイバー脅威に対する組織の防御能力を評価するよう求められた際に、自分の直接の管理下にあり、監視、パッチ、修正が最も容易な資産について最も自信を持っていると答えています。これらには、物理サーバーや仮想サーバー、データベース、WebサイトやWebアプリケーションなどが含まれます。驚くことではありませんが、ほとんどの場合、ITの専門家は、コンテナのような比較的新しいITコンポーネントや、産業用制御システムやSCADAデバイスのような古くてサイバーセキュリティを考慮して設計されていないITコンポーネントに関心を持っています。
 IBM X-Forceのデータは後者を裏付けています。IBMのレポートによると、攻撃者が産業用制御システム(ICS)や類似の運用技術(OT)資産を標的にした事案は、2018年以降、2000%以上増加しているとしています。IT/OTインフラの集約とIoTデバイスの広範な利用により、OTの世界からデータを集約することで、ITやIoTの侵害は物理資産を管理するOTデバイスを標的にしたものとなり、復旧のためのコストを大幅に増加させてしまいます。
 脆弱性のあるシステムに起因するデータ侵害は、ブランドの評判を大きく損ない、顧客の信頼を失う可能性があります。しかし、企業は資産を保護するためにセキュリティのベストプラクティスを採用することができます。

強力なアクセスコントロール

 現実を直視しましょう。これらのすべての技術を使用することは、従来の境界防御を時代遅れにしてしまいます。昨今では、アイデンティティが新たな境界です。そのため、誰がどの場所で、どの資産に、どのくらいの期間、どのような目的でアクセスできるかを制御するためのポリシーを設定し、適切に構成し、実施することが重要になります。また、資産へのアクセスを要求する人が、本当に本人であるかどうかを確認することも重要です。アイデンティティおよびアクセス管理(IAM)管理の主な目的は、資産の機密性、完全性、および可用性を保護することです。
 多要素認証(MFA)とシングルサインオン(SSO)の使用は、すべての組織のアクセス管理の基礎となるものであると考えなければいけません。MFAはより強固なユーザ認証を提供しますが、ハイブリッド環境で複数のプラットフォームやシステムにアクセスするためのユーザの負担を取り除くのがSSOです。MFAとSSOを組み合わせることで、シームレスな認証を実現し、企業リソースにアクセスするために複数のパスワードを使用する手間を省くことができます。
 MFA と SSO に加えて、組織はさらに 2 つのアクセス管理の概念を採用する必要があります。最小特権の原則を適用することで、オンプレミス、コンテナ、クラウドベースのいずれの場合でも、個人が権利を有する資産にアクセスするために必要な最低限の権限を提供することができます。情報をセグメント化し、ロールベースのアクセスのみを許可することで、資産のセキュリティポスチャーが大幅に改善されます。
 最後に、ユーザアクセスの認証と認可は、単発のプロセスであってはいけません。。従業員の異動やアカウント乗っ取り攻撃の頻度が増加しているため、認証プロセスは動的なものである必要があります。ユーザー環境を監視し、ステップアップしたリスクベースの認証を提供することで、認証プロセスを強化し、中間者攻撃を防ぐことができます。

ネットワークセグメンテーション

 サイバー犯罪者は、私たちの個人情報や信用情報に興味を持っていますが、医療機関や産業制御機関などの重要インフラになると、DDoS攻撃などの破壊的な攻撃を好んで行います。可用性や信頼性への影響は、不正なアクセスや開示による機密性や完全性の侵害と同様に懸念される事柄です。
 さらに、脅威インテリジェンスでは、サイバー犯罪者は、盗んだ、または漏洩させた資格情報を最初のステップとして使用して企業ネットワークに足場を築き、その後、すべてのアセットを水平に移動して監視活動を実行することが示されています。だからこそ、攻撃者のその行動を困難にさせることが大切なのです。正しいネットワークアーキテクチャを選択することは必須であり、ネットワークセグメンテーションを実現することがベストプラクティスです。
 ネットワークのセグメンテーション戦略には多くの利点があります。セグメント化されたネットワーク(*6)は、パフォーマンスの向上と通信の問題が減るという点の他にも、全体的なセキュリティポスチャーの改善に大きく貢献します。セグメント化されていないネットワークはフラットであり、オンプレミスでもクラウドでもコンテナ化されていても、すべてのデバイスがネットワーク全体でアクセス可能であることを意味します。
 セグメンテーションは、攻撃が広がる範囲を制限することで、サイバーセキュリティを向上させます。例えば、セグメント化することで、組織の他のセクションのシステムに影響を与えることなく、単一のセクションでマルウェアの感染爆発を押さえ込むことができます。さらに、セグメント化されたネットワークは、攻撃から身を守ることができないデバイスへの有害なトラフィックの到達を阻止することができます。例えば、病院の接続型輸液ポンプは、設計上、高度なセキュリティ防御機能を備えていない場合があります。ネットワーク・セグメンテーションを行うことで、有害なインターネットトラフィックが届かないようにすることができます。最後に、セグメンテーションは、スコープ内システムの数を制限することで、コンプライアンスに関連するコストを削減することができます。そうすれば、高価なコンプライアンス要件や監査プロセスは、ネットワーク全体ではなく、スコープ内のシステムにのみ適用されます。

CISSP資格があなたの成功にどのように役立つか

 複雑な状況で倫理的に行動することは、情報セキュリティの専門家にとって困難なことでもあります。 しかし、CISSP資格を持っている人は、倫理基準の遵守にコミットすることを実証し、検証を受けています。
組織が専門的なセキュリティ能力を必要とするときには、情報セキュリティだけにとどまらない幅広い知識と経験を持つCISSP資格保持者にお願いすることができます。
 CISSPは、次のような職種の方を含む、経験豊富なセキュリティ実務者、管理者、経営者で、幅広いセキュリティの実践と原則の知識を証明することに興味がある方に最適です。セキュリティディレクター、セキュリティシステムエンジニア、またはセキュリティアナリスト。
 (ISC)² は、アメリカ国家規格協会(ANSI) ISO/IEC規格17024の要求事項を満たした最初の情報セキュリティ認証機関であり、CISSP認証は国防総省(DoD)指令8570.1を満たしています。

*1:https://enterprise.verizon.com/resources/reports/dbir/
*2:https://www.stackrox.com/.../05/kubernetes-security-101/
*3:https://www.juniperresearch.com/press/press-releases/iot-connected-devices-to-triple-to-38-bn-by-2020
*4:https://www.ibm.com/security/data-breach/threat-intelligence
*5:https://cyber-edge.com/cdr/
*6:https://blogs.cisco.com/security/how-to-strengthen-your-security-in-2020
原文記事:https://blog.isc2.org/isc2_blog/2021/01/how-access-control-and-network-segmentation-can-protect-your-assets.html