2018年はデータ漏洩の被害が拡大を続きました。今後さらにデータ侵害が横行し続けることが予測されています。世間の注目を浴びたいくつかのデータ漏洩事件により、GDPRなどすでに世界中でプライバシーに関する規制がより厳しくなっている流れを受け、2018年カリフォルニア消費者プライバシー法などさらなる対策が講じられています。2019年も引き続き私たちはデータ漏洩のニュースを目にすることになるでしょう。そして、データ漏洩の影響を受ける者には漏洩した時の通知に関する規制、企業にはセキュリティ対策をさらに徹底し、顧客のデータに責任を持ち、必要に応じて説明責任を負うことを強いる上で役立つプライバシーに関する追加の法律の施行も目の当たりにすることになるでしょう。

2019年以降、IT業界において最大のトレンドとなるのは何だと思いますか?

Ivantiのセキュリティ関連製品は、データ漏洩につながることが多いセキュリティに関するインシデントを軽減または緩和するためにお客様を支援することを重視した製品です。2019年という新たな一年に向け、セキュリティ体制を強化し、セキュリティに関するインシデントを軽減する上で役立ついくつかの推奨事項をご紹介します。

  • 継続的な脆弱性管理でギャップを埋める:企業全体のセキュリティ体制を集約し、重点的に取り組むため、大多数の脆弱性管理プログラムで、脆弱性の評価機能とSIEMやSOARプラットフォームへの統合機能が提供されていますが、次の段階である必要な修正を実施し、ギャップを埋めるための作業は多くの場合、手動で行う必要があります。2019年は、パッチ管理とその他のソリューションへの引き継ぎ作業を自動化することで、このギャップを埋めることを目指しましょう。
  • パッチ適用にかかる時間を短縮.セキュリティにおける最大の課題は時間です。脆弱性が露呈している時間が長ければ長いほど、攻撃者が脆弱性を悪用するために利用できる時間が長くなります。多くの企業が、1年以上の周期で更新プログラムが公開されていた脆弱性がセキュリティに関連するインシデントの一部として使用されたことだけでなく、2~4週間周期で更新されていた多くの脆弱性も悪用されていることを認識しています。リスクが最も高い脆弱性を最優先し、2週間以内に解決することで、露呈は大幅に軽減されます。最も緊急性の高い脆弱性を速やかに特定し、優先的に対応し、パッチ適用を完了する方法を見つけましょう。
  • アプリケーションコントロール(管理)の導入:すべては信頼できるかどうかにかかっています。信頼を確認できないのであれば、実行しないのが得策です。これは、ゼロデイ攻撃、ランサムウェア、マルウェア全般の防衛策となります。アプリケーションコントロールは、ほぼ間違いなく、企業が実装できる最も効果的なセキュリティ対策ですが、その範囲と複雑性により、最も難易度の高い対策のひとつでもあります。ユーザーがセルフサービスを利用できるようにする必要がある場合、アプリケーションコントロールは特に困難を極めます。簡単に使用・維持できるアプリケーションのベースラインを提供する信頼モデルがあれば、所有コストを削減できます。
  • より優れた権限管理の実現:多くのセキュリティ侵害が、ユーザーを標的とし、攻撃者に対して侵入経路の扉を開けさせるためにソフトウェアの脆弱性が悪用されることに端を発している一方、システムに侵入後、攻撃者が次の経路への扉を開けられるかどうかはすべて権限次第となります。攻撃者が実行できることは何か?乗っ取られたユーザーに与えられている権限が制御されている場合、攻撃者はユーザーの権限を昇格させる方法を見つける必要があるため、大きな被害を及ぼすアクションを起こすために攻撃者の動きを遅らせることになるでしょう。ただし権限管理について考慮すべきことは、このケースに留まりません。脅威をもたらす攻撃者は多くの場合、システムに不正侵入し、Mimikatzなどの追加のツールを利用して、より高いレベルのアクセス権を持つ認証情報に不正アクセスを実行します。そこから攻撃者は、侵入した環境において既知のユーザーとサポートされているシステムツールを使用してシステム内を移動し、価値あるデータにアクセスする方法(アクセス経路)を探します。このため、最低限の権限管理をするだけでは十分でありません。また、侵入後のさらなる横展開を制限するコンテキストルールも検討する必要があります。

企業が把握しておくべきだと当社が考える大胆な予想もあります。今後のセキュリティの取り組みについて検討する際は、これらの情報も覚えておいてください。

  • 2020年、Windows 7から卒業できず、Microsoftに延長サポート料金を支払うことに難色を示している企業は、クリティカルな脆弱性にさらされ、結果的に、脆弱性を軽減する方法が限られている状態で、重大なリスクにさらされることにつながることが予想されます。
  • 2020年までに、GDPRによって科せられる最高額の罰金である2,000万ユーロまたは年間収益の4%に相当する罰金が科せられる大手企業を目の当たりにすることになるでしょう。
  • 2021年までに、人間とAIの「学習」を組み合わせて構築される企業の「運用知識」は、販売可能の資産となると同時に、セキュリティを侵害するハッカーの標的となるでしょう。知識は金銭的価値のある資産となる
  • 2021年までに、本人確認は、高い信頼性と一貫性がある顔認識やその他の生体認証で行われるようになるでしょう。文字列のパスワードはこの世からなくなるでしょう。 
  • 2019年、少なくとも1社の企業が、データ漏洩により存続が左右されることになるでしょう。
  • 2020年までに、Microsoftは史上最大のアンチウイルス対策ベンダーとなるでしょう。Microsoftはアンチウイルス対策市場の半分以上を占め、信頼できるアンチウイルス対策ベンダーとして認識されるようになるでしょう。

ITのセキュリティ体制を強化するためにサポートが必要ですか?2019年に導入を希望する取り組みをお聞かせください。以下をクリックして、セキュリティをはじめさまざまなトピックに関する弊社の予想をご確認ください。