Ivantiブログ: セキュリティ

ソフトウェアサプライチェーン攻撃を無視できない理由

Mon, 05 May 2025 12:34:43 Z

Ivanti の 2025 年サイバーセキュリティステータスレポートは、ソフトウェアサプライチェーンの脅威に対する防御策を整備していると考える組織は、3 社のうち 1 社のみであることを明らかにしています。サードパーティとの依存関係を攻撃者が狙うケースが増えています。組織がサプライチェーン攻撃を放置していると、それがサイバーセキュリティにとって大きな弱点となるおそれがあります。

増加するソフトウェアサプライチェーン攻撃のリスク

攻撃対象領域は急速に広がっています。そのターゲットとなっているのは主に組織のソフトウェアサプライチェーンです。現代の企業では、社内の技術的なインフラストラクチャが多くのソフトウェアアプリケーション、ツール、依存関係に依拠しています。 BetterCloud の 2024 年レポートによると、1 つの組織につき平均 112 の SaaS アプリケーションが使用されています。そしてウェブはますます複雑になっています。各ソフトウェアアプリケーションには平均して 150 の依存関係があります（そのうち 90% は間接的な依存関係です）。これが脆弱性の大部分を占めているのです。

過去数年間でサードパーティとの依存関係を標的とする脅威アクターの数は急増しており、2024 年にはすべてのソフトウェアサプライチェーンの 75% が攻撃を報告しています。攻撃者がサプライヤーのコードに悪用できる弱点を探すようになり、ソフトウェアサプライチェーンの脅威もより巧妙化しているにもかかわらず、セキュリティチームは、すべてのソフトウェアコンポーネントを適切に検査するのに苦労することがよくあります。

Ivanti のサイバーセキュリティ調査によると、組織のリーダーの 84% がソフトウェアサプライチェーンの監視は「非常に重要」であると考えているのに対し、ほぼ半数 (48%) は、自社のサプライチェーンで最も脆弱なコンポーネントを依然として特定できていないと答えています。デューデリジェンスがこのように欠如していると、企業は大きな金銭的リスクおよびレピュテーションリスクを負うことになります。

一般的なソフトウェアサプライチェーン攻撃の種類

調査会社

ガートナーによると、ソフトウェアサプライチェーン攻撃を経験する組織は 2025 年には 45% に上ると見られています。ここでは、攻撃者が標的とする最も一般的な種類のソフトウェアサプライチェーンの脆弱性の概要を説明しましょう。

アップストリームサーバー攻撃は、最も一般的なサプライチェーン攻撃です。ハッカーが、コードリポジトリなどユーザーの「アップストリーム（上流）」に位置するシステムを侵害し、悪意のあるペイロード/マルウェアを注入する場合に発生します。このペイロードは、ソフトウェアアップデートなどを通じて「ダウンストリーム（下流）」のユーザーに拡散されます。
ミッドストリーム攻撃とは、攻撃者が元のコードベースではなく、ソフトウェア開発ツールなどの中間システムを侵害するインシデントを指します。
依存関係かく乱攻撃は、開発者またはシステムを騙して、外部ソースから侵害されたソフトウェア依存関係をダウンロードさせようとするものです。一般的な攻撃方法の中には、信頼できる内部ライブラリに似た名前を持つ、悪意のあるソフトウェアをアップロードさせるものもあり、正当な依存関係の代わりに悪意のあるバージョンがソフトウェアのビルドに組み込まれることが多くあります。
コード署名証明書攻撃は、ソフトウェアのセキュリティと信頼性を検証するためのデジタルコード署名証明書に、ハッカーが悪意のあるソフトウェアを挿入したときに発生します。これらの攻撃は、脅威アクターがソーシャルエンジニアリングやその他の戦術を使用して開発環境を侵害したときに発生します。
CI/CD インフラストラクチャ攻撃は、悪意のある目的で本物の GitHub リポジトリを複製するなど、マルウェアを導入して自動化された開発パイプラインを標的にするものです。

サプライチェーン攻撃の最近の事例

こうした種類の攻撃が実際に発生した事例は、ニュースを深掘りせずとも枚挙に暇がありません。過去数年間に世界的な注目を集めたサプライチェーン攻撃の事例をいくつかご紹介しましょう。

Okta 社へのソーシャルエンジニアリング攻撃
- 2023 年 10 月、ID およびアクセス管理を行うサービスプロバイダー Okta は、顧客サポートシステムへの重大なデータ侵害を経験しています。これは、Okta の顧客 4 名が同社の IT サービスデスクを狙ったソーシャルエンジニアリング攻撃の被害に遭ったというものです。攻撃者は、これらの管理者の資格情報を使用して複数のダウンストリーム攻撃を開始し、1Password、BeyondTrust、Cloudflare など、何千もの Okta 顧客のデータに不正アクセスを行っています。
Kaseya 社へのランサムウェア攻撃
- 2021 年 7 月のこの事件では、ハッカーが Kaseya 社のリモート管理ツールに存在する 6 つのゼロデイ脆弱性を悪用しています。これらの脆弱性を利用し、ソフトウェア更新に乗じて悪意のあるランサムウェアペイロードを送り込み、数百のマネージドサービスプロバイダー (MSP) とその顧客を感染させました。この攻撃により、世界中で約 2,000 社の業務が停止し、攻撃者が 7,000 万ドルという巨額の身代金 (最終的には支払われませんでした) を要求したことが話題になりました。
Codecov 社への CI/CD 攻撃
- 2021 年 1 月、当時 29,000 人以上の顧客が使用していた人気のコードテストツール Codecov に悪意のある人物が侵入しました。攻撃者は Codecov の Bash Uploader スクリプトに不正アクセスし、悪意のあるコードを挿入し、このコードが Codecov の顧客によって CI/CD パイプラインで使用されました。 Codecov 社は攻撃を 2021 年 4 月になるまで検知せず、報告もなされませんでした。つまり、悪意のあるこの人物は数か月にわたって顧客システムに含まれる数千の機密データにアクセスしていた可能性があります。
- これらのサプライチェーン侵害はいずれも、攻撃を受けたプロバイダーとその何千もの顧客とそれ以外の人々に、連鎖的かつ広範囲にわたる損害を引き起こしました。

サプライチェーン攻撃が及ぼす深刻な影響

ソフトウェアサプライチェーン攻撃によって生じる被害の規模は見過ごすことができません。上記の攻撃はいずれも、重大な経済的損害と評判の悪化をもたらし、多くの組織がベンダーのセキュリティに対するアプローチを再検討するきっかけとなりました。

財務への影響

調査会社

Cybersecurity Ventures では、ソフトウェアサプライチェーン攻撃によって企業が被る世界全体の年間コストについて、2025 年には 600 億ドル、 2031 年には 1,380 億ドルという驚異的な数字に達すると予測しています。これらの損失には、収益の損失、修復費用、訴訟費用、コンプライアンス違反に対する罰金の可能性など、あらゆる損失が含まれます。 2023 年のデータ侵害を受けて、Okta 社の株価は11％下落しています。 2022 年に別の大規模なデータ侵害が発生した後、影響を受けた株主が訴訟を起こし、Okta 社は 6,000 万ドルの支払いを余儀なくされました。

業務への影響

サプライチェーン攻撃では、何千もの顧客が混乱やシステムの停止に見舞われ、重要な業務が停止し、遅延が発生して他のベンダーにも影響が及ぶ可能性があります。 Kaseya 社への侵害の影響を受けた機関をいくつか見てみましょう。スウェーデンでは、その週末に食品大手小売業者が800店舗の閉鎖を余儀なくされ、国鉄も混乱に見舞われました。ニュージーランドでは、学校 11 校と 100 以上の保育園のオンライン業務がすべて停止し、問題が解決するまで紙とペンに頼らざるを得なくなりました。

風評被害

事件が公となって企業の評判が損なわれると、顧客や株主からの信頼が失われる可能性があります。企業が何年もかけて築き上げたベンダーや顧客の忠誠心を失う可能性もあるのです。 2023年3月、ハッカーがアプリケーションに悪意のあるコードを挿入したために人気のビジネスコミュニケーションソフトウェア「3CX」が侵害を受けました。60 万人以上の顧客の機密データが漏洩した可能性があったことから、数か月にわたって悪い意味でメディアの注目を集め、世論の反発を招きました。

責任の所在は？技術上の負債と共同責任

ソフトウェアサプライチェーンの脅威は頻度と深刻度を増すと予想されています。企業は明確な説明責任を確立し、サードパーティベンダーとソフトウェアサプライチェーンにもサイバーセキュリティに関する厳格なセキュリティベストプラクティスの遵守を求めることが重要になっています。

ソフトウェアセキュリティの所有者は？

現時点では、サードパーティベンダーのセキュリティを評価するための厳格で標準化されたプロセスを持たない組織が数多く存在します。さらに、多くの顧客とベンダーの間では、サードパーティ製ソフトウェアのセキュリティ管理の責任を誰が負うかについてさえコンセンサスが得られていません。

サイバーセキュリティ動向ステータスレポートでは、さまざまなレベルのサイバーセキュリティ能力を持つ組織を分析し、サイバーセキュリティの成熟度を測る「Cybersecurity Maturity Scale（成熟度スケール）」を作成しています。このスケールは、成熟度の低い組織 (レベル 1 およびレベル 2) から、より高度なサイバーセキュリティ機能を備えた組織までをカバーしています。 (レベル 4)

この調査を通じて、成熟度の低い組織ではサイバーセキュリティはベンダーのみの責任であると考えていることが分かっています。それに対して、サイバーセキュリティ対策のレベルが高い企業では、ソフトウェアベンダーと顧客の間で責任を共有することが提案されています。

ソフトウェアサプライチェーンの脅威に対する防御方法

ソフトウェアサプライチェーンのセキュリティは、包括的かつ積極的なサイバーセキュリティ戦略において重要な位置を占めます。

ソフトウェアサプライチェーンを強化し、潜在的な攻撃から防御するには、攻撃対象領域をすべてのサードパーティベンダーとコンポーネントまで拡大して組織全体の一部として扱うことが必要です。ここでは、組織がサプライチェーン攻撃をより効果的に防止し、潜在的なサプライチェーンの脅威を検出して対応する準備を整えるための重要な推奨事項について説明しましょう。

1. 厳格なベンダー管理とリスク評価

ソフトウェアベンダーと提携する前に、十分な調査を行いましょう。業界の規格に適合し、脆弱性開示ポリシーを公開しているベンダーを見つけましょう。定期的な監査、コードレビュー、ベンダーと顧客の双方による積極的な評価が、リスクを軽減するための鍵となります。

Ivanti の調査では、最高レベルのサイバーセキュリティを備える組織は、サードパーティベンダーのサイバーセキュリティを評価する際に次の点についてデューデリジェンスを実施する可能性が高いことが分かりました。

セキュリティ評価質問票（SAQ）を評価に組み込む
ISO 27001 や SOC 2 など、ベンダーのセキュリティ認証を検討する
業界固有のコンプライアンス標準を見直す
ベンダーが潜在的なセキュリティ侵害に対処するためのインシデント対応計画およびプロセスを備えていることを確認する
ソフトウェア部品表 (SBOM) を求めて、ソフトウェアで使用されているオープンソースおよびサードパーティのコンポーネントを把握する

2. すべての依存関係について継続的な監視とプロアクティブな修復を行う

自動化された脅威検出ツールおよびプロセスを採用し、すべてのソフトウェアコンポーネントを監視および評価することが重要です。特にオープンソースソフトウェアコンポーネントの依存関係は見落とされることが多く、定期的に監視・更新しないと大きな脆弱性リスクとなります。

AI と自動化ツールは、デバイス、アプリケーション、ネットワークのパフォーマンスに関するリアルタイムの分析情報を提供し、潜在的な問題を検出することができます。自己修復および自動修復ソリューションは、人間の介入を最小限に抑えるか、人間がまったく介入せずに問題を効果的に解決する方法となります。

3. サードパーティベンダーとの定期的なコミュニケーション

ソフトウェアサプライチェーンのセキュリティに対する相互責任を確立するための基礎となるのは、顧客とサードパーティベンダー間の頻繁でオープンなコミュニケーションです。セキュリティチームと IT チームは、ソフトウェアの更新、既知の脆弱性を修正するパッチ、新たなセキュリティの脅威について常に最新情報を把握しておかなければなりません。

ソフトウェアサプライチェーンのセキュリティについて詳しく知る

さらに詳しく知るには？サイバーセキュリティ動向ステータスレポートの全文をお読みください。現時点でのサイバーセキュリティの喫緊の脅威と積極的なリスク管理戦略に関する詳細な情報を把握することができます。

定量的リスク評価からアクションへと移行するには

Tue, 15 Apr 2025 13:50:58 Z

定量的リスク評価は、リスク分析に対する客観的なアプローチとなります。ただし、リスクを理解することは最初のステップにすぎません。ここでは、評価の結果を解釈し、その洞察を現実の環境で意味のある意思決定にどのように変換するかについて詳しく説明します。

（ここでは定量的リスク分析の実行方法については取り上げません。このプロセスは、Ivanti の「データ駆動型リスク評価ガイド」で詳しく説明されています。）

リスクの定量化について理解する

もとより、定量的リスク評価とは？

リスクの定量化とは？

定量的リスク評価（QRA と略されることもあります）は、サイバーセキュリティリスクの潜在的な影響と発生可能性に基づいて、リスクにドル換算の価値を割り当てるというもので、次のような疑問を投げかけます。「この脆弱性によってこの資産がリスクに晒された場合に発生する損害は？」 リスクを重大度ごとにカテゴリー分類する定性的手法とは対照的に、定量的なアプローチでは、より客観的な実像を把握します。

なぜこれが重要なのでしょうか？定性的なサイバーセキュリティリスク評価では、解釈に大きな幅があります。リスクをビジネスの尺度であるドルとセントに置き換えると、こうした曖昧さの多くが解消されます。セキュリティ責任者以外の人にとって、「高い」リスクが実際にどのような意味を持つのか理解しやすくなるのです。

より広範なサイバーセキュリティ戦略にリスク定量化を適用するには？

リスクの定量化は、リスク管理に不可欠なツールですが、最終目標ではなく、リスク軽減の意思決定を行うための基盤となるものです。

たとえば、「ベンダーが暗号化されていないクラウド通信を使用することで 150 万ドルの損害が発生する可能性がある」といったリスク露出を提示できれば、そうしたリスクに対応するための選択肢が検討できるようになります。この点については、後半でさらに詳しく説明します。

定量的リスク分析の解釈：重要な要素

定量的リスク分析では、結果を解釈するために理解しておくべき重要な要素がいくつかあります。

資産価値 (AV)： 保護されている資産が組織にとってどれだけの価値があるか。
エクスポージャー係数 (EF)： リスクが顕在化した場合に失われる、または損なわれる可能性のある資産価値の割合。
年間発生率 (ARO)： そのリスクが年間を通じて発生すると予想される頻度。（発生頻度が 1 年に 1 回未満のリスクの場合、この値は 1 未満とすることができます。）

これら 3 つの数値を使って次の計算を行います。

単一損失予測 (SLE)： リスクが現実化した場合に 1 回の脅威で失われる金銭的価値。この値は、式 資産価値 (AV) x エクスポージャー係数 (EF) から算出されます。
年間予想損失額 (ALE)： リスクが現実化した場合に 1 年間で失われる金銭的価値。この値は、式 単一損失予測 (SLE) x 年間発生率 (ARO) から算出されます。
残余年間予想損失額 (ALE)：リスク軽減策を適用した後、リスクが現実化した場合に 1 年間で失われる金銭的価値。緩和策を講じることによりエクスポージャー係数 (EF)、年間発生率 (ARO)、またはその両方が削減されますが、それ以外の計算は同じままです。

年間予想損失額 (ALE) はリスク分析における主要な結果で、リスク対策オプションを評価するために使用される最も重要な数値です。ただし、年間予想損失額 (ALE) は完璧な数字ではなく、もう 1 つの重要な要素、つまり不確実性が存在します。

資産価値 (AV)、エクスポージャー係数 (EF)、年間発生率 (ARO) はすべて推定値です。慎重な調査に基づいた非常に近い推定値であることが理想的ですが、それでも推定値であることには変わりありません。これらの推定値に対する信頼度は、通常、信頼度レベル (例: 80%) とそれに続く未知数のリストで表されます。

実践へ：リスク対応

ここまで、定量的リスク評価の解釈方法について説明しましたが、リスク分析の最終的な目的は、そのリスクに対して何をすべきかを決定することです。

すべてのリスク対応は、「避ける（回避）」、「受け入れる」、「移転する」、「軽減する」の 4 つのカテゴリーのいずれかに大別されます。

避ける（回避）

リスクの回避とは、リスクへのエクスポージャーを完全に排除することを意味します。これは、実際にリスクをゼロにまで低減する唯一のリスク対応策となっています。実際には、リスクを伴うプロセスまたはシステムをシャットダウンすることになります。

回避は、基本的に究極の選択肢であり、これを実現する可能性はほとんどありません。たとえば、外部との電子メールのやり取りをすべて停止することで、フィッシングのリスクをゼロにすることができます。国家安全保障の問題に取り組んでいる人には、これは価値のある方法かもしれませんが、その他の人にとっては、事業の運営が急停止することになるでしょう。

リスク分析では、このような対応が支持される状況が2 つあります。年間予想損失額 (ALE) がきわめて極端であり、緩和戦略ではそれを許容レベルまで下げることができない場合、または、リスクを負うプロセスまたはシステムを 1：1 で代替できる手段があり、エクスポージャー係数 (EF) または年間発生率 (ARO) をゼロにすることが可能な場合です。

受け入れる

リスクを受け入れるということは、無策を選択することを意味します。一見すると非合理的に思えるかもしれませんが、真剣に検討する価値のある選択肢です。

リスクを受け入れることが最善の選択肢となる非常に単純なシナリオが 1 つあります。それは、リスク軽減のコストが残余 ALE (つまり、リスク軽減後の年間予想損失額 (ALE)) を上回る場合です。このような状況では、組織を保護するためのコストが、組織の損失よりも大きくなります。

また、微妙な状況においては、リスク受け入れが合理的である場合もあります。これらは、リスク軽減のための機会費用を考慮します。セキュリティチームに限定される場合でも、ビジネス全体の機会費用でも同じです

セキュリティチームは、無限のリソースを有するわけではありません。そのリスクを軽減することを選択すると、より懸念されるリスク対応からリソースを転用することになる場合、リスク受け入れは（たとえ不快であっても）合理的な選択肢となります。特に、リスク緩和戦略に多くの手作業を要し、実装に多くのスタッフの作業時間が必要な場合、この取り組みに時間を取られて手薄になる作業があるはずです。

より広範な機会費用も考慮する必要があります。これは、リスクを軽減または回避するために、企業が諦めなければならない機会なのです。つまり、ビジネスチャンスが年間予想損失額 (ALE) よりも大きければ、リスク受け入れが合理的である場合もあるのです。新しい市場にクラウドサービスを提供するために国外にデータセンターを開設する場合などは、これに該当します。新たなセキュリティリスクが発生する可能性はありますが、ビジネス上のメリットは明らかです。

移転する

リスクの移転とは、通常はサイバーセキュリティ保険など、別の当事者に負担を負わせることを意味します。リスクを保険に移転することは、概して、保険料が年間予想損失額 (ALE) よりも低い場合の選択肢となりますが、いくつか注意点があります。

まず、保険でカバーされるのはセキュリティインシデントの金銭的コストのみです。セキュリティインシデントには、法的損害や風評被害も伴います。あなたの組織の年間予想損失額 (ALE) がこれらの損害を考慮に入れて（これが理想的な方法です）ドル建てで換算値を割り出している場合、その数字を細分化して、当面の金銭的コストのみを対象とする必要があります。金銭的リスクは高いが、法的リスクと風評被害のリスクは低い場合、リスクの移転は理にかなっています。

第二に、保険では、何らかのセキュリティ制御を実施することが間違いなく求められます。繰り返し発生するインシデントに対しては保険の適用が停止される可能性もあります。つまり、保険料に加えて、これらを管理するためのコストが必要となるため、計算が異なる可能性があります。また、リスクを保険に移転することは、年間発生率 (ARO) が高いリスクに対しては一時的な措置でしかないと言えます。

軽減する

リスク軽減は最も積極的な対応であり、セキュリティ制御の適用、脆弱性の修正、誤った構成の修正などによってリスクを軽減します。

軽減策を講じてもリスクを完全に排除することはできません。リスクを完全に排除するには、リスクをすべて回避するしか方法はありません。それに対して軽減策では、エクスポージャー係数 (EF)、年間発生率 (ARO)、またはその両方を削減する手順を実行することでリスクを軽減し、それを踏まえて、残余 ALE と呼ばれる新たな ALE (年間予想損失額) を算出します。

一般的に、元の ALE と残余 ALE の差がリスク軽減策のコストよりも大きい場合、軽減策は強力な選択肢となります。

リスク許容度の組み込み（またはエッジケースの処理方法）

リスク評価を行なっても、必ずしも明確な対応策を選択できるようになるわけではありません。 2 つの選択肢にわずかな差しかなかったり、不確実性のレベルが高かったりするケースは常に存在します。リスク許容を取り入れると、こうしたエッジケースを理解できるようになります。リスク許容は、リスク分析に通常は含まれませんが、その分析を解釈するための便利な枠組みとなります。

（組織でまだリスク選好度を文書化していない場合、編集可能なこのリスク許容度ステートメントテンプレートを使用して開始することができます。）

リスク許容度とは、組織がその目的を遂行するために受け入れるリスクのレベルのことです。 リスク許容度が高いということは、より大きな利益を得るために大きなリスクを受け入れる用意があることを意味します。一方、リスク許容度が低いということは、リスクを可能な限り減らすことを好むことです。リスク許容には複数の側面があります。運用リスクに対する許容度は高くとも、コンプライアンスリスクに対する許容度は低いこともあります。

これらの各側面（セキュリティリスク、コンプライアンスリスク、イノベーションリスクなど）には、考慮すべき重要な要素がいくつかあります。

リスクキャパシティは、組織が許容できる最大リスク量であり、通常は財務上のリソース、運営能力、規制上の制約によって決まります。
リスク許容度は、目標に対して許容可能な偏差のことです。
リスク閾値は、戦略の変更が必要であることを示す「越えてはならない一線」です。

リスク許容度とキャパシティの間のしきい値、または異なる許容度間のしきい値でも、それを使用することで、適切なリスク対応がわかりにくいグレーゾーンを整理するのに役立ちます。

洞察をアクションに変換

定量的リスク評価を理解することは最初のステップに過ぎません。真の価値は、こうした洞察を活用してアクションを起こすことから生まれます。リスクの回避、受け入れ、移転、軽減のいずれの場合でも、目標は同じです。つまり、セキュリティリスクとビジネスの優先順位のバランスを取り、決定的なアクションを講じられるようにすることです。

リスク許容度を理解する – エクスポージャー管理の重要な要素

Mon, 10 Feb 2025 14:44:03 Z

リスクはビジネスにつきものです。組織がリスクをどのように理解し、管理するかがすべてを左右するのです。

運用上の課題から市場の変動、規制の変更、技術の進歩まで、会社は、成長を生み出す可能性も損失につながる可能性もあるさまざまな不確実性に直面しています。

リスクを効果的に管理するには、企業は目標達成のためにどの程度のリスクを受け入れるかを判断できるような枠組みを確立しなければなりません。そこで「リスク許容度」という概念が役に立つのです。

ただし、リスク許容度を定義するには、会社が直面するすべてのリスクを把握し、理解する必要があります。エクスポージャー管理戦略のための基盤を築くセキュリティチームにとっても、その組織のリスク許容度を定義することは重要なステップとなります。

リスク許容度とは？

リスク許容度とは、組織がその目的を遂行するために受け入れるリスクのレベルのことです。これを定義することで、組織がどのようなリスクをどの程度取るかについて、境界が設定されます。 A リスク許容度が高いということは、より大きな利益を得るために大きなリスクを受け入れる用意があることを意味します。一方、リスク許容度が低いということは、その組織がリスクを可能な限り減らすことを好むことを意味します。

最先端の研究開発に投資を行おうとするテクノロジー系スタートアップ企業について考えてみましょう。不確実でも、潜在的な利益にそれだけの価値があると考えれば、斬新で画期的なイノベーションを実現するために高いリスク許容度を採用するかもしれません。逆に、すでに世に認められた大企業では、リスク許容度が低いかもしれません。市場での地位や評判を大きく損なう可能性のあるプロジェクトを避け、着実な成長に重点を置く可能性があります。

リスク許容度は定量的かつ定性的

リスク許容度は決して静的なものではありません。業界、会社の規模と健全性、戦略目標、規制要件、市場全体の環境などの要因に基づいて調整されるべき動的な尺度です。

リスク許容度は数字だけで測る問題でもありません。リスク選好度は定量的要因と定性的要因の両方を組み合わせたものなのです。

許容できる損失の額、負債比率、目指す投資収益率（ROI）などの測定可能な要素を企業が有する場合もあれば、企業の評判に影響が及ぶ可能性、倫理的な配慮、その決定が企業理念とどの程度一致しているかなど、主観的な側面も検討しなければならないかもしれません。

リスク許容度を定義することは、なぜ重要なのでしょうか？

組織が成功を望むなら、計算したうえでリスクを負うべきです。ただし、リスク許容度を明確に理解していなければ、意思決定が一貫性を欠いたり、後手に回ったり過度に慎重になったりして、機会損失やビジネスの損失につながる可能性があります。リスク許容度を定義することがなぜ重要なのか、その理由を挙げましょう。

戦略とリスク管理を整合化するため

リスク許容度を明確に定義することで、リスク管理の実践を事業全体の目標に一致させた戦略的枠組みが実現します。企業がどの程度のリスクを受け入れる意思があるかを把握していれば、自社のリスク許容度に見合った機会を追求し、過度のリスクを負う可能性を回避することができます。

意思決定を改善するため

リスク許容度を定義することで、責任者や管理者が許容可能なリスクを明確に理解し、情報に基づいた意思決定を行うことができるようになります。また、リスクを取る行動/リスクを回避する行動の両方に対して期待されることを組織全体で設定し、管理者がさまざまなシナリオを使ってリスクと報酬のトレードオフを評価することができます。

ステークホルダーの信頼を築くため

リスク許容度が明確に定義されていれば、組織がリスク管理を重視していることを示すことができ、投資家、規制当局、従業員、その他の利害関係者に安心感を与えます。また、リスクと報酬のバランスをとるための系統的かつ信頼できるアプローチを示すことで、ステークホルダーの信頼がさらに強化されます。

一貫性を促進するため

組織内の全員が、どの程度のリスクが許容されるのかについて「情報を得る」ことで、許容される行動を把握して一貫した意思決定が可能になります。つまり、目的がくい違ったり、反対方向に進んだりする可能性が低くなります。たとえば、法務部門とマーケティングチームが許容可能なリスクについて同じ考えを共有していなければ、法務部門はマーケティングチームの素晴らしいアイデアにブレーキをかけてしまう可能性があります。

効果的なリスク監視を支援するため

会社がリスク許容度を定義すると、財務から運用までを含めた企業全体でリスクレベルを監視するシステムを構築できます。こうすれば、潜在的な問題を早期に発見し、活動が安全と見なされる範囲内、あるいは少なくとも許容範囲内にとどまるようにすることができます。重要リスク指標（KRI）を設定して監視すると、誰かがその境界に接近している場合に早期に警告を発することができます。

会社はどのようにリスク許容度を定義するのでしょうか？

リスク許容度の定義にあたって、組織は通常、「リスク選好度ステートメント（RAS）」を作成します。リスク許容度ステートメント（RAS）の導入部では、会社の戦略目標およびそれに関連するリスクが説明されます。

業界をリードするようなソフトウェアプロバイダーを目指す会社について考えてみましょう。ここでは、目標を達成するために不可欠な戦略目標のリストとともに、それに関連するリスクもリストアップしなければなりません。たとえば、Ivanti の事業は、クラウドベースの IT サービスとセキュリティ管理ソリューションを提供することであり、リスク許容度ステートメントでは、この事業分野に関わるすべてのリスクを列挙し、それらをどのように管理するかを会社として説明しなければなりません。

あるソフトウェアプロバイダーのリスク許容度ステートメントの一部を例示しましょう。

一般的なリスク許容度

[XYZ 社]は、リスクに対してバランスの取れたアプローチを採用し、すべてのリスクが等しいわけではなく、戦略目標を達成するためにはある程度のリスクが必要であることを認識しています。

イノベーション・リスク私たちは、競争環境において製品を差別化する先進技術や革新的なソリューションへの投資に対して、高いリスク許容度を備えています。そのためには、研究&開発や製品開発においてある程度の不確実性を受け入れる必要があることを、私たちは理解しています。

運用リスク私たちは、低～中程度のリスク選好度を維持しています。オペレーショナル・エクセレンスを追求する一方で、私たちは提供基準を損なうことなく効率性とサービス品質を向上させる取り組みを優先しています。

セキュリティリスクセキュリティ上の脅威や侵害に対する私たちのリスク許容度は極めて低くなっています。ネットワーク・セキュリティとデータ保護に対する当社のコミットメントは最重要であり、当社のシステムとお客様のデータを保護するために多額の投資を行っています。

コンプライアンス・リスク私たちは、法的・規制的要件に対するコンプライアンス違反に対するリスク許容度を低くしています。すべての業務分野において、関連する法律、基準、ベストプラクティスを確実に遵守することが重要です。

一般的なリスク許容度 [XYZ 社]は、リスクに対してバランスの取れたアプローチを採用し、すべてのリスクが等しいわけではなく、戦略目標を達成するためにはある程度のリスクが必要であることを認識しています。
イノベーション・リスク	私たちは、競争環境において製品を差別化する先進技術や革新的なソリューションへの投資に対して、高いリスク許容度を備えています。そのためには、研究&開発や製品開発においてある程度の不確実性を受け入れる必要があることを、私たちは理解しています。
運用リスク	私たちは、低～中程度のリスク選好度を維持しています。オペレーショナル・エクセレンスを追求する一方で、私たちは提供基準を損なうことなく効率性とサービス品質を向上させる取り組みを優先しています。
セキュリティリスク	セキュリティ上の脅威や侵害に対する私たちのリスク許容度は極めて低くなっています。ネットワーク・セキュリティとデータ保護に対する当社のコミットメントは最重要であり、当社のシステムとお客様のデータを保護するために多額の投資を行っています。
コンプライアンス・リスク	私たちは、法的・規制的要件に対するコンプライアンス違反に対するリスク許容度を低くしています。すべての業務分野において、関連する法律、基準、ベストプラクティスを確実に遵守することが重要です。

リスク許容度ステートメント（RAS）では、ビジネスを行う上で発生する日常的なリスクではなく、組織に最も大きな影響を与えるリスクを定義します。そこで、複数のリスクシナリオを検討しなければなりません。たとえば、特定の戦略にはサプライチェーンリスクが伴う場合があります。ベンダーに縛られることによる影響や、サプライヤーが顧客データを適切に処理しなかった場合の規制違反の危険性などがこれに当たります。

また、企業が引き受けることができる財務リスクの量も定義しなければなりません。新しい製品やサービスを提供することが目的である場合、市場で失敗する可能性は常に存在します。

リスク許容度の構成要素

リスク許容度を定義する際に考慮すべき重要な要素を挙げましょう。

リスクキャパシティ（許容可能な最大リスク量）

これは、組織が負うことができるリスクの最大量を指し、通常は財務上のリソース、運営能力、規制上の制約によって決まります。リスクキャパシティはリスク選好度とは異なります。一定レベルのリスクを負うだけの能力を持つ組織でも、リスク選好度に基づいてリスクを負わないことを選択する可能性があるのです。

リスク許容度

リスクキャパシティが、組織が耐えられるリスクの量を示すものであるのに対し、リスク許容度は目標に対して許容可能な偏差のことであり、分野ごとに異なる許容度を設定することもできます。たとえば、新製品に対するリスクは負っても、顧客データの管理に関してはリスクを回避する組織もあるかもしれません。

リスク閾値

リスク監視と重要リスク指標（KRI）についてz前述しましたが、これらは会社がリスク閾値、つまり「越えてはならない一線」を超えないようにするために使用されます。リスク閾値を超えると、計画の変更、安全対策の強化、あるいは業務を完全に停止することが必要になる場合があります。

関連：Ivanti 調査レポート：認識を一致させる：経営幹部陣におけるサイバーリスク管理

エクスポージャー管理にリスク許容度が重要である理由は？

かつて、デジタルリスクを軽減することは現在よりもはるかに簡単でした。時は経過し、今や多くの大規模組織では攻撃対象領域が著しく拡大していています。従業員が使用するデバイス/アプリケーション数とその使用場所が増えて職場環境が変化し、デジタル脅威の対象も拡大しています。

Ivantiの調査では、IT専門家の半数以上が、今後12 か月の間に損害となるセキュリティインシデントを阻止できるようには思えないと回答していますが、攻撃対象領域の拡大もその一因となっています。また、3人に1人以上が、1年前に比べると脅威を検出してインシデントに対応する備えが不十分であると回答しています。

従来型の脆弱性管理では、長期にわたってソフトウェアやハードウェアの脆弱性やその他の共通脆弱性識別子（CVE）を事後的に修復することに重点を置いてきました。ただし、通常は断続的にスキャンを適用するのみにとどまります。現在のサイバー脅威のシナリオにおいては、新たなアプローチが求められています。

最新のエクスポージャー管理では、デジタル攻撃対象領域全体にわたってリスクと脆弱性を継続的かつ積極的に発見して修復することに重点を置いています。リスクと脆弱性は、公開された IT 資産、セキュリティ保護がなされていないエンドポイントとアプリケーション、クラウドベースのリソース、その他あらゆるベクトルから発生するのです。エクスポージャー管理とリスク選好度がこれほど密接に関係する理由は？

許容可能なリスクレベルに基づいてエクスポージャーを評価する：エクスポージャー管理には、さまざまなエクスポージャーに関連するリスクレベルを定量化することが含まれます。許容可能なリスクを定義することで、組織はさまざまなリスクが及ぼしうる影響をリスク選好度になぞらえることができます。
リスクに基づいてリソースを配備する：組織は、自社の戦略にとって最大の脅威となるエクスポージャーに優先順位を付ける必要があります。こうした評価は、リスク選好度を明確に理解してはじめて行えるようになります。優先順位を付けることによって、最も重要な問題を緩和するためにリソースを集中できるようになります。これには多くの場合、高度なリスクベースの脆弱性管理（RBVM）ツールが用いられます。
リスク選好度を調整する：ビジネス環境の変化や新たなリスクの発生で、リスク選好度を調整しなければならない場合もあります。こうした調整を行うにあたって、組織がエクスポージャー管理業務の中から得られるデータと洞察は、情報に基づいた意思決定を行うのに役立ちます。
コンプライアンスの確保：多くの業界ではリスク管理に関連する規制要件があり、それが組織のリスク選好度に影響を及ぼします。エクスポージャー管理には、コンプライアンスへの不適合を引き起こす可能性のあるリスクを特定し、対処することが含まれます。

関連：Ivanti 調査レポート：攻撃対象領域の管理

エクスポージャー管理の観点からセキュリティリスクを見る

エクスポージャー管理と他のセキュリティ慣行との顕著な違いは、エクスポージャー管理では、組織に最も大きなリスクをもたらすリスクの修復を優先するだけでなく、どのリスクが組織のリスク許容度の範囲内に収まるかを積極的に定義することが含まれるという点です。たとえば、ブラックフライデーに自社サイトを稼働させ続けるために、セキュリティリスクの増大を受け入れる電子商取引企業もあるかもしれません。その企業にとっては、価値あるトレードオフなのです。

組織は、潜在的なすべてのリスクを即時に修復すべき危機と見なすのではなく、ビジネスニーズに基づいて優先順位を付けなければなりません。この枠組みでは、大部分のリスクは悪いものではありません。重要なのは、リスクにどのように対応・制御・軽減して許容可能なレベルにまで引き下げるかということです。

セキュリティ・バイ・デフォルト: セキュア・バイ・デザインの重要な補完対策

Fri, 13 Sep 2024 12:00:00 Z

サイバーセキュリティのためのレガシーシステム (多くは 10 年以上前に設計されたものです) は、新しいタイプの攻撃者の能力や脆弱性に対応していません。また、人間が設定に依存しているという、多くのソフトウェアの弱点も考慮されていません。

この新たな現実に対する答えは、米国サイバーセキュリティ&・インフラセキュリティ庁 (CISA) が定めた「セキュア・バイ・デザイン」の原則を補完する「セキュリティ・バイ・デフォルト」と呼ばれるソフトウェア開発コンセプトです。

セキュア・バイ・デザインの原則では、ソフトウェアの設計と開発全体にわたってセキュリティを組み込むことを重視します。デフォルトでセキュリティが確保されているため、製品は追加設定せずとも、そのままで本質的に安全です。安全なログ管理や認証などのコアセキュリティ機能が事前に構成されているため、複雑な設定は必要ありません。

脅威は進化し、加速しています

最近まで、大部分のシステムの「被害の範囲」は限定的でした。ファイアウォールで包まれ、守られていたため、アクセスは組織内の少数の選ばれたユーザーに限定されていました。攻撃者が弱点を探し出すために忍び寄り入り込める開かれた領域はなかったのです。攻撃を自動化することはできませんでした。脆弱性を発見し、その脆弱性を突いたエクスプロイトを作成して武器に変え、その武器を用いた攻撃を展開するという攻撃プロセス全体には少なくとも数週間、多くの場合は数か月かかっていました。

つまり、攻撃の速度だけでなく規模も制限されていたのです。攻撃者は組織を1つずつ標的にして、特定の制御を回避する方法を見つける必要がありました。全体的な攻撃率は低く、攻撃が発生したとしても、攻撃者が費やさざるを得ない時間と労力のために、その影響は比較的抑えられていました。

「進化するサイバー脅威の状況」と言われますが、これは控えめな表現であると言わざるを得ません。自然や技術の進化がこれほど急速だったことはかつてなかったからです。わずか数年で、この領域はデジタル版「サンダードーム」闘技場へと変貌を遂げ、無防備な人々がかつてないほど危険にさらされる場所となったのです。

これは、攻撃者が以下の 3 つの重要な開発を利用できるようになったためです。

現在の攻撃者は、脆弱性をすぐに武器に変えることができ、人工知能ツールによってそれがさらに簡単になっています。情報を長く開示する時代は終わりました。ダークウェブで簡単に入手できる自動スキャンツールやエクスプロイトキットにより、技術に詳しくない攻撃者でもマルウェア攻撃に参加できるようになっています。攻撃者が脆弱性を悪用する手口が巧妙化しているため、パッチがリリースされるよりも前にゼロデイ攻撃が発生する懸念が高まっています。
クラウドが導入されたことによって、分散型クラウドインフラストラクチャがデータの保護と監視を困難なものにし、攻撃対象領域が拡大しています。クラウドプロバイダーとユーザー間のセキュリティ責任共有モデルは、構成が誤っていたり、十分に理解されていなかったりすると、脆弱性につながる可能性があります。さらに、クラウドアプリケーションでの通信は API に依存することが多く、適切に保護されていない場合は脆弱性が生じる可能性があります。
ファイアウォールやウイルス対策などの従来のセキュリティ対策では対応できません。ウイルス対策ソフトがまったく新しいゼロデイ脅威の検出に苦労しているときでも、ソーシャルエンジニアリングでファイアウォールが回避される可能性があります。境界型セキュリティアプローチはクラウド時代では時代遅れであり、IT インフラストラクチャ全体にわたってセキュア・バイ・デザインの原則を実装する必要があります。

悪意ある人物は、製品が起動した瞬間に弱点を探ったり、攻撃を開始したりする準備ができているのです。製品は、電源がオンになって組織のネットワークに接続された瞬間から、強力なゼロデイ防御を備えていなければならないのです。

セキュリティ・バイ・デフォルトの3つの柱

セキュリティ・バイ・デフォルトの適切な実行は、3 つの基本的な柱に基づいています。

「シフトレフト」セキュリティ

シフトレフトは、開発プロセスの早い段階での脆弱性検出に重点を置くことです。開発者は、OWASP Top 10 (Web アプリケーションのセキュリティ脆弱性) や CWE Top 25 (一般的なソフトウェアの弱点) などの資料で特定されている一般的な落とし穴を回避して、安全なコードを作成しなければなりません。

これは、健康習慣と予防接種によって病気から人を守る予防医学に例えることができます。開発者は最初から安全なコーディング手法に重点を置くことで、ソフトウェアに耐性と回復力を構築できるのです。

安全な構成の実現

人間が新しいソフトウェアを構成すると、ハッカーは喜びます。誤った構成エラーを排除するために、ソフトウェアプロバイダーはデフォルトで安全な構成を実現しなければなりません。これには、多要素認証 (MFA) やシングルサインオン (SSO)、およびハードコードされた資格情報 (パスワードやトークン) や、攻撃者に既に知られている脆弱性を持つデフォルト構成を避けることが含まれます。

安全な構成を実施することで、ユーザーの経験や技術的な専門知識に関係なく、開発を通じて一貫したセキュリティが確保されます。また、構成に関する決定を行う必要がないため、ユーザーエクスペリエンスも簡素化されます。

ソフトウェアのサプライチェーンのセキュリティ確保

自動車や航空宇宙部門での製造と同様に、現代のソフトウェア開発は、サードパーティのライブラリとオープンソースコードに大きく依存する組立ラインになっています。セキュリティ・バイ・デフォルトでは、開発者はこれらのコンポーネントのセキュリティに厳重な注意を払い、脆弱性が生じないようにしなければなりません。

セキュリティ・バイ・デフォルトの評価

現在、プロバイダーは計測器具とテレメトリを活用して、セキュリティ・バイ・デフォルト機能の性能を監視できます。製品がオンプレミスの場合、テレメトリを有効にするには、ユーザーのネットワークからデータが出られるようにファイアウォールに穴を開ける必要があります。クラウド内にあるデータは、テレメトリでプロバイダーに簡単に戻すことができます。

いずれの場合も、相互同意が必要です。ソフトウェアのユーザーは、プロバイダーがソフトウェアの動作を確認し、組み込まれたセキュリティ制御が実装されているかどうかを確認できるように、デフォルトのテレメトリを有効にする必要があります。幸いなことに、これは、ユーザーがセキュリティ機能を有効にする必要がないことも意味します。プロバイダーは、顧客の同意があればリモートでこれを行うことができます。

進化する脅威に先手を打つ

好意的かつ熱心なサイバーセキュリティ専門家でも、活用できるデータと見識に頼らざるを得ません。たとえば、OWASP Top 10 や CWE Top 25 などの従来の脆弱性リストは、セキュリティを認識するための鍵となりますが、以下のような限界があります。

これらのリストが更新されても、発見から緩和策が講じられるまでには一定の脆弱性が残ります。攻撃者は、まだリストに掲載されていない「外れた」脆弱性を標的にして、このギャップを悪用します。
従来のリストは既知の脆弱性に焦点を当てているため、組織は「既知の未知」、つまり悪用される可能性があるがまだ特定されていない弱点の影響を受けやすくなります。

とはいえ、AIと機械学習は、これらのギャップを埋めることで、セキュリティ・バイ・デフォルトに革命を起こす可能性を秘めています。

機械学習アルゴリズムは、膨大な量のセキュリティデータを分析してパターンを識別し、従来のリストにまだ含まれていないものも含め、潜在的な脆弱性を予測できます。
機械学習は、エクスプロイトの傾向とソフトウェアの動作を分析することで、まだ文書化されていなくとも悪用される可能性が高い「既知の未知」の脆弱性を特定できます。

ソフトウェア開発ライフサイクル (SDLC) にAIを追加する

AIと機械学習によって、セキュリティ・バイ・デフォルトの原則をソフトウェア開発サイクルに組み込む方法を変えることもできます。

自動化された脆弱性検出: AI ツールは、既知の脆弱性と未知の脆弱性のいずれについてもコードを継続的にスキャンできるため、ソフトウェア開発ライフサイクル (SDLC) の早い段階で対処できます。
プロアクティブなセキュリティモデリング: AI は攻撃パターンを分析することで脅威を予測できます。これによって、プロアクティブなセキュリティモデリングを用いて、こうした脅威に対する防御機能が組み込まれたソフトウェアを構築できます。
インテリジェントな開発者支援: AI はコードを分析し、開発チームに安全なコーディング手法についてリアルタイムで提案を行うことができます。

自己修復ソフトウェアによるセキュリティ・バイ・デフォルト

セキュリティ・バイ・デフォルトに関心を持つ開発者の目標の 1 つは、それ自身が脆弱性を積極的に識別して修正する機能を内包するソフトウェアを作成することです。このコンセプトは、製造業で使用される遺伝的アルゴリズムにヒントを得たもので、システムが時間の経過とともに自己最適化し、改善できるようにします。

これによって「セキュリティ・バイ・デフォルト」は、静的コンセプトから動的で自己監視、自己修復の機能を備える動的コンセプトへと変化し、エンタープライズソフトウェアに組み込まれます。そして自ら脆弱性を修正し、脅威を阻止し、さらには新たな攻撃を開発者に報告する能力さえも獲得することになります。

正しい方向へと踏み出す

少し前に、私は「デジタルセキュリティ問題を解決するために産業界と政府が協力する官民パートナーシップ」が必要であることについて書きました。セキュア・バイ・デザインの原則の作成と、それを推進するための CISA と産業界のリーダーによる取り組みは、サイバー脅威に対して緊急に必要とされる共同防御を構築する上で大きな前進です。

これらの対策を実行するかどうかは、個々のソフトウェアプロバイダーと開発者次第ではありますが。セキュリティ・バイ・デフォルトの実践に従うことは、より安全なソフトウェアの開発と提供、そしてサイバーセキュリティの戦いで優位に立つために重要な役割を果たします。

これまでになく重要なセキュア・バイ・デザインの原則

Thu, 18 Jul 2024 07:36:39 Z

セキュア・バイ・デザインの概念は、ソフトウェアを設計する以前にセキュリティを組み込むことを意味します。この概念はソフトウェア開発の方法を抜本的に変革しています。

従来ソフトウェアは、多くの場合、製品の開発後に「ボルトオンセキュリティ」と呼ばれる機能を追加する設計になっていますが、それはソリューションにセキュリティが組み込まれていないことを意味します。コアとなる製品と追加機能が結合している場合、その箇所が変曲点となって攻撃の対象となります。

ソフトウェアプロバイダーがセキュア・バイ・デザインの原則に取り組むのが非常に重要なのはこのためです。Ivanti は、米国サイバーセキュリティ &・インフラセキュリティ庁 (CISA) のセキュア・バイ・デザインの誓約に初めて署名した企業です。

誓約書に署名したプロバイダーは、CISA が定めた原則に従うことを約束します。これらの原則は、初期の構想から最終的な展開まで、ソリューションの中核にセキュリティ対策を組み込むことに重点を置いています。こうすることで、ソリューションは使用開始と同時に攻撃に対する本質的な耐性を備え、顧客による導入後に脆弱性を修正する必要がなくなります。被害を食い止めるには手遅れという、ありがちな状況を回避します。

安全なデザインの基本原則

デジタル技術の進歩につきまとう脅威、それはサイバー攻撃が進化してデジタル技術を巧妙に利用してきたことです。現在、サイバー攻撃はハイブリッドネットワーク全体に広がり、企業を脅かし、混乱させ、顧客の信頼を損ない、企業の収益に大きな打撃を与える脅威となっています。 CISA の立場からすると、サイバー攻撃は国家安全保障に対するきわめて現実的な脅威でもあります。

セキュア・バイ・デザインは、セキュリティはソフトウェアの最も初期の計画段階から設計されるべきであるという新しい基本的なセキュリティ設計原則を重視します。これは、利益や政治、あるいはその両方を動機とする現代の攻撃者に対するより強力な防御につながります。

誓約署名企業としての観点から、Ivanti はセキュア・バイ・デザインの原則に適合するために求められるあらゆる措置を講じることが重要であると考えます。プロバイダーは、以下の点について自問する必要があります。メモリ安全性のためにセキュアソフトウェア開発フレームワーク (SSDF) の観点から設計されたプログラミング言語を使用しているか？潜在的な脆弱性を特定するために、定期的に脅威モデリングを実行しているか？サードパーティのライブラリまたはコンポーネントを使用しているか？それらのセキュリティ体制は？

これらの問いに答えるには、ソフトウェア開発ライフサイクル (SDLC) 全体を通じてセキュリティに重点を置く必要があります。これには以下が含まれます。

コードが記述されるまで待つのではなく、プロセス全体にセキュア・バイ・デザインの原則を取り入れることで、計画と設計全体を通じてセキュリティに重点が置かれるようにします。これは、潜在的な脅威について考え、ソフトウェアに防御を設計することを意味します。
開発を通じて包括的なセキュリティテストを組み込むことで、脆弱性を早期に発見します。これにより、ソフトウェア開発ライフサイクル (SDLC) 中またはリリース後に行うコストと複雑さを回避します。

これは、早期のセキュリティテストを行う「シフトレフト」アプローチ以上の対策となります。 Secure by Design の原則を適用することで、開発者はコードセット内で静的アプリケーションセキュリティテストと動的アプリケーションセキュリティテストを実行し、テストや脅威モデリングを最後に行うのではなく、SDLC プロセス全体でユニットテストと統合テストを実施できるようになっています。開発者はこのようにして、ほぼ毎日テストツールを使用することに慣れていきます。

安全なソフトウェア以上のもの

セキュア・バイ・デザインの原則を実践することは、セキュアコードの作成とテスト以上のことを意味します。安全な組織の上に強力な防御を構築し、サイバーセキュリティに対する総合的なアプローチを取ることなのです。これには以下のような対策が含まれます。

弱点の特定: ソフトウェアコードだけでなく、組織内のどこに脆弱性が存在するかを理解することが重要です。これは、従業員のトレーニングプログラムからセキュリティソフトウェアのパッチ適用、企業全体のセキュリティ体制に至るまで、サイバーセキュリティのさまざまな側面を分析し、最適化することを意味します。
保護と監視: 組織は、リスクを積極的に、さらには予防的に管理するために、強力なサイバーセキュリティツールを導入する必要があります。これには、疑わしい活動を検出するための監視システムや、サイバー攻撃を最初から拒否するためのファイアウォールなどの安全対策が含まれます。
インシデント対応: サイバー攻撃に対処するための明確な計画が不可欠です。攻撃を検出し、その影響を評価し、セキュリティ対策を回復および改善するための手順をまとめておく必要があります。

セキュア・バイ・デザインの原則に基づいて安全なソフトウェアシステムを実装することは、さらに他の意味もあります。セキュア・バイ・デザインが話題に上るとき、多くの場合、事実上の「セキュリティ・バイ・デフォルト」アプローチを指しています。これらは補完的な概念です。セキュア・バイ・デザインが開発ライフサイクル全体にわたってセキュリティの上で考慮すべき事項が製品に組み込まれていることを意味するのに対し、「セキュリティ・バイ・デフォルト」は、ユーザーが詳細な構成を行う必要がなく、最終製品に安全のための設定が施されていることを意味します。安全なログ管理やソフトウェア認証プロファイルなどの対策がすでに設定されており、下位互換性よりも将来を見据えたセキュリティを優先しています。

関連項目: 実践デモ: 安全な UEM 対策ですべてのエンドポイントを保護する

セキュア・バイ・デザインによる顧客のメリット

ソフトウェアプロバイダーがセキュア・バイ・デザインの原則に従ったソリューションとプラットフォームを提供する場合、最も重要なメリットは顧客が体験するメリットです。

保護の強化: セキュリティ機能が最初からソフトウェアに組み込まれていると、ソフトウェアはより強力になり、脆弱性も低減します。また、ソフトウェアが稼働しているネットワークも同様です。
DEXの強化: 開発中からセキュリティとテストに重点を置くことによって、より安定感があり、中断に強く、より最適化された製品が実現し、従業員のエクスペリエンスが向上します。
最大投資収益率 (ROI) 向上: より安全な製品により、ダウンタイムとパッチ適用が最小限に抑えられ、ユーザーの生産性を保つことができます。
合理化されたコンプライアンス: セキュア・バイ・デザインソフトウェアを使用すると、厳格なデータプライバシーとセキュリティ要件を簡単に遵守できるようになり、コンプライアンス適合のために必要な時間とリソースが削減され、制裁を回避できます。
評判の向上: セキュリティを最優先に考える企業は信頼性があるとみなされ、顧客の信頼と忠誠心を高めることができます。

組織の攻撃対象領域を減らすための 8 つのベストプラクティス

Thu, 16 May 2024 19:58:14 Z

攻撃対象領域の拡大がサイバーセキュリティリスクの増大につながります。したがって、論理的には、攻撃対象領域の縮小はサイバーセキュリティリスクの低減につながります。

攻撃対象領域管理ソリューションの中には、この取り組みを支援する修正機能を備えているものもありますが、修正は反応的な行動です。セキュリティやリスク管理に関するあらゆることと同様に、能動的であることが理想的です。

良い点は、攻撃対象領域の戦いにおいて、ASM ソリューションだけがセキュリティチームの武器ではないということです。 IT 環境の露出を減らし、サイバー攻撃を未然に防ぐために、組織が講じることのできる手段は数多くあります。

組織の攻撃対象領域を減らす方法

悪意ある主体以外のすべての人にとって残念なことですが、攻撃対象領域をすべてなくすことはできません。しかし、この投稿で詳しく説明する以下のベストプラクティスのセキュリティ統制は、攻撃対象領域を大幅に縮小するのに役立つでしょう。

複雑さを低減する
論理的、物理的アクセス制御にゼロトラスト戦略を採用する
リスクに基づく脆弱性管理へと進化する
ネットワークセグメンテーションとマイクロセグメンテーションを導入する
ソフトウェアおよび資産の構成を強化する
ポリシーコンプライアンスを施行する
サイバーセキュリティのポリシーとベストプラクティスについて全従業員を教育する
デジタル従業員体験 (DEX) を改善する

攻撃対象領域用語集で述べたように、異なる攻撃ベクトルは、技術的には複数の種類の攻撃対象領域 (デジタル、物理的、人的) に該当する可能性があります。同様に、この記事のベストプラクティスの多くは、複数の種類の攻撃対象領域を減らすのに役立ちます。

そのため、各ベストプラクティスには、特定のベストプラクティスが主にどの種類の攻撃対象に対応しているかを示すチェックリストが付属しています。

#1: 複雑さを低減する

デジタル攻撃対象領域	物理攻撃対象領域	人的攻撃対象領域
X	X

複雑さを軽減することで、サイバーセキュリティの攻撃対象領域を減らします。当然だとそして、そうなのです。しかし、多くの企業はこの一見単純なステップで長い間失敗してきました。不明瞭だったからではなく、常に簡単なことではなかったからです。

Randori と ESG の調査によると、過去 1 年間に 10 社に 7 社の組織が、インターネットに接続した不明な、管理されていない、または管理が不十分な資産によって危険にさらされていたことが明らかになりました。サイバー資産攻撃対象領域管理 (CAASM) ソリューションにより、このような組織は、未承認、未管理の資産も含め、すべての資産を特定し、このような資産のセキュリティ保護、管理、さらには企業ネットワークからの削除もできるようになります。

エンドポイントデバイスからネットワークインフラストラクチャに至るまで、未使用または不要な資産もネットワークから削除し、適切に除却するべきです。

ソフトウェアアプリケーションを構成するコードもまた、複雑さが攻撃対象領域の拡大に寄与する領域です。開発チームと協力して、悪意のある主体にさらされる実行コードの量を最小限に抑える機会がどこにあるのかを特定し、それによって攻撃対象領域を減らします。

#2: 論理的、物理的アクセス制御にゼロトラスト戦略を採用する

デジタル攻撃対象領域	物理攻撃対象領域	人的攻撃対象領域
X	X

米国国立標準技術研究所 (NIST) は、ゼロトラストを以下のように定義しています。

「危険にさらされていると見なされているネットワークで、情報システムやサービスにおいて、正確で最小特権の要求ごとのアクセス決定を実施する際の不確実性を最小化するために設計された概念とアイデアの集合。」

言い換えれば、すべてのアクセス要求に対して、「決して信用せず、常に検証する」ということです。

Ivanti がどのように NIST CSF in The NIST Cybersecurity Framework (CSF): CSF Controls　に対する Ivanti のソリューションを採用するお手伝いができるのかをご覧ください。

論理アクセス制御へのゼロトラストアプローチを取ることは、継続的に態勢とコンプライアンスを検証し、最小限の特権アクセスを提供することにより、組織の攻撃対象領域を縮小し、データ侵害の可能性を低減します。

ゼロトラストは製品ではなく戦略ですが、ゼロトラスト戦略を導入するのに役立つ製品もあります。これらの製品の中で最も重要なものは、セキュアアクセスサービスエッジ (SASE) フレームワークに含まれる製品です。

ソフトウェア定義ワイドエリアネットワーク (SD-WAN)
セキュア Web ゲートウェイ (SWG)
クラウドアクセスセキュリティブローカー (CASB)
次世代ファイアウォール (NGFW)
ゼロトラストネットワークアクセス (ZTNA)

また、一般的にはこのような見方はされていませんが、ゼロトラスト戦略は論理的なアクセス制御にとどまらず、物理的なアクセス制御にまで拡大できます。施設の保護された区域に誰かを立ち入らせるときは、決して信用せず、常に検証することを忘れないでください。この目的のために、アクセスカードやバイオメトリクスのようなメカニズムを使用できます。

リスクに基づく脆弱性管理へと進化する

デジタル攻撃対象領域	物理攻撃対象領域	人的攻撃対象領域
X

まず、悪い点です。US National Vulnerability Database (US NVD) には 16 万件以上の脆弱性が含まれており、毎日数十件が追加されています。しかし、朗報があります。脆弱性の大半は悪用されたことがありません。つまり、サイバー攻撃に使われることはなく、攻撃対象領域にはならないということです。

実際、Securin、Cyber Security Works (CSW)、Ivanti、Cyware によるランサムウェアの調査レポートでは、16 万件以上の脆弱性のうち、アクティブなエクスプロイトのトレンドにあったのはわずか 180 件でした。

NVD の全脆弱性と組織を危険にさらす脆弱性の比較

米国 NVD に含まれる全脆弱性のうち、組織に直接的なリスクをもたらすアクティブなエクスプロイトのトレンドは約 0.1% に過ぎない

脆弱性管理へのレガシーなアプローチは、共通脆弱性スコアリングシステム（CVSS）の陳腐で静的なリスクスコアに依存しているため、悪用される脆弱性を正確に分類することはできません。また、Cybersecurity & Infrastructure Security Agency Known Exploited Vulnerabilities (CISA KEV) Catalog は正しい方向への一歩ではありますが、不完全であり、組織の環境における資産の重要性を考慮していません。

真のリスクベースのアプローチが必要です。リスクベースの脆弱性管理（RBVM）は、その名前が示すように、組織にもたらすリスクに基づいて、脆弱性を修正するための優先順位を決定するサイバーセキュリティ戦略です。

究極のリスクベースパッチガイドを読んで、リスクベースのアプローチへと修復戦略を進化させる方法を発見してください。

RBVM ツールは、脆弱性スキャナー、侵入テスト、脅威インテリジェンスツール、およびその他のセキュリティソースからデータを取り込み、それを使用してリスクを測定し、修正活動の優先順位を決定します。

RBVM ツールのインテリジェンスを手にした組織は、最もリスクの高い脆弱性を修正することで、攻撃対象領域を縮小ほとんどの場合、インフラストラクチャ側では悪用された脆弱性にパッチを適用し、アプリケーションスタックでは脆弱なコードを修正する。

ネットワークセグメンテーションとマイクロセグメンテーションを導入する

デジタル攻撃対象領域	物理攻撃対象領域	人的攻撃対象領域
X

もう一度、NIST の用語集から引用すると、ネットワークセグメンテーションは次のように定義されます。

たとえば、不要なトラフィックを拒否するように設定されたファイアウォールで保護された、ネットワーク上の個別のエリアを作成することによって、ネットワークをサブネットワークに分割します。ネットワークセグメンテーションは、マルウェアやその他の脅威をネットワークの限られた部分に隔離することで、その被害を最小限に抑えます。

この定義から、セグメンテーションによって攻撃者をネットワークの特定の部分からブロックすることで、攻撃対象領域をいかに減らせるのかがわかります。従来のネットワークセグメンテーションがネットワークレベルでの攻撃者の垂直移動を阻止するのに対し、マイクロセグメンテーションはワークロードレベルでの攻撃者の水平移動を阻止します。

具体的には、マイクロセグメンテーションは、ネットワークのセグメンテーションを超え、ネットワーク別ではなく、アプリケーションやデバイス別といった、より粒度の高い方法でポリシーを施行します。

たとえば、ある IoT デバイスがアプリケーションサーバーとしか通信できず、他の IoT デバイスとは通信できないように制限をかけたり、ある部署の誰かが他の部署のシステムにアクセスできないようにしたりできます。

#5: ソフトウェアおよび資産の構成を強化する

デジタル攻撃対象領域	物理攻撃対象領域	人的攻撃対象領域
X

オペレーティングシステム、アプリケーション、およびサーバーやエンドユーザー、ネットワーク、IoT デバイスなどの企業資産は、通常、未設定か、セキュリティよりも導入や利用のしやすさを優先したデフォルトの設定で提供されます。 CIS Critical Security Controls (CIS Controls) v8 によると、デフォルトの状態のままにしておくと、次のような悪用が可能です。

基本的な
開いているサービスとポート
デフォルトのアカウントまたはパスワード
構成済みのドメインネームシステム（DNS）設定
古い (脆弱性) プロトコル
不要なソフトウェアのプリインストール

このような構成は攻撃対象領域を拡大することは明らかです。この状況を改善するために、CIS Controls v8 の「Control 4: 企業資産とソフトウェアの安全な構成」では、ソフトウェアと資産のセキュリティが低下しないように、強力な初期構成を開発、適用し、その構成を継続的に管理維持することを推奨しています。

この取り組みを支援するために、チームが活用できる無料のリソースやツールを紹介します。

CIS ベンチマークリスト - 25 以上のベンダー製品ファミリーの推奨構成
NIST National Checklist Program (NCP) - ソフトウェアのセキュリティ構成を設定するためのガイダンスを提供するチェックリストの集合。
CIS-CAT Lite - さまざまな技術に対応したセキュアな設定の実装を支援する評価ツール。

#6: ポリシーコンプライアンスを施行する

デジタル攻撃対象領域	物理攻撃対象領域	人的攻撃対象領域
X	X

特に、Everywhere Work の時代には、これまで以上に多くの従業員がハイブリッドやリモートで働くようになっており、エンドポイントがほとんどの攻撃サーフェスの規模に大きく寄与していることは周知の事実です。現在、政府職員の 10 人に 7 人が、少なくとも一部の時間、バーチャル勤務をしています。

オフィスの中にいる従業員に IT とセキュリティのポリシーを守らせるのは大変なことです。その 70% が世界中に散らばっているのならなおさらです。

統合エンドポイント管理 (UEM) ツールは、ポリシーを自動的に実施することにより、普遍的なポリシーコンプライアンスを保証します。この事実は、IT やセキュリティの専門家にとって驚くべきことではなく、多くの専門家は現時点では UEM を商品と考えています。実際、Gartner は、2025 年までに顧客の 90% がクラウドベースの UEM ツールで資産の大半を管理するようになると予測しています。

とはいえ、UEM は IT およびセキュリティポリシーコンプライアンスを実施するための最良の選択肢です。だから、このリストから外すのは惜しいと思われます。

統合エンドポイント管理の究極ガイドを読んで、最新の UEM ソリューションの主なビジネス上の利点とエンドポイントセキュリティのユースケースについて学んでください。

さらに、最新の UEM ツールは、コンプライアンス以外にも、攻撃対象領域の特定、管理、削減に役立ついくつかの機能を提供しています。

ネットワーク上のすべてのデバイスを検出することで、IT 資産を完全に可視化します。これは、CAASM ソリューションを持たない組織のための ASM 機能です。
適切なソフトウェアとアクセス許可をデバイスに提供し、必要に応じてソフトウェアを自動的に更新します。ユーザーによる操作は必要ありません。
あらゆる種類のデバイスを、入社から退職までのライフサイクル全体にわたって管理し、使用されなくなったデバイスが適切に処分されるようにします。
デバイスの構成を自動的に強化します (この機能の重要性については、#5: ソフトウェアと資産の構成強化を参照してください)。
ゼロトラストアクセス、および ID、セキュリティ、およびリモートアクセスツールとの統合による、コンテキスト認証、脆弱性、ポリシー、構成、およびデータ管理をサポートします。たとえば、UEM とモバイル脅威防御（MTD）ツールを統合することで、モバイルデバイスが企業ネットワークやその資産を侵害しないように、リスクベースのポリシーを制定することができます。

#7: サイバーセキュリティのポリシーとベストプラクティスについて全従業員を教育する

デジタル攻撃対象領域	物理攻撃対象領域	人的攻撃対象領域
		X

2023 年 Verizon データ侵害調査報告書（DBIR）のために分析された侵害の 74% には人的要素が関与していました。

したがって、Ivanti の 2023 年版サイバーセキュリティステータスレポートのデータを確認し、世界中の従業員のうち、自分の行動がサイバー攻撃を回避する組織の能力に影響を及ぼすとは考えていない人の割合を見ても、驚くには値しません。

職員は自分の行動を重要視しているのでしょうか。

多くの従業員は、自分の行動がサイバー攻撃から組織を守ることに影響するとは思っていません。

アレキサンダー・ポープの不朽の名言「To err is human...」（誤りを犯すのは人間である）。サイバーセキュリティの用語で言えば、AI が正式に支配するまで、人間は攻撃対象領域の重要な一部であり続けます。そしてそれまでは、可能な限り人間の攻撃面を管理し、減らさなければなりません。

これまでのところ、そのための最善の方法は、一般的なベストプラクティスと企業固有のポリシーの両方に関するサイバーセキュリティトレーニングであることが証明されています。ソーシャルエンジニアリングモジュールを含めることを絶対に忘れないでください。

多くのサイバーセキュリティ専門家がそう考えています。経験上、サイバー攻撃やデータ漏洩を防ぐために最も成功したセキュリティ対策は何ですか」という質問が、Reddit の r/cybersecurity subreddit で投げかけられたとき、上位コメントの多くがユーザー教育の必要性に言及しました。

Reddit / u/Forbesington

Reddit / u/slybythenighttothecape

Reddit / u/_DudeWhat

Reddit / u/onneseen

再び CIS Controls v8 から引用すると、Control 14: セキュリティ意識とスキルのトレーニングは、組織に対して次のことを行うよう奨励しています。「企業に対するサイバーセキュリティリスクを低減するために、従業員がセキュリティを意識し、適切なスキルを身につけるよう、従業員の行動に影響を与えるセキュリティ意識向上プログラムを確立し、維持する。」

CIS (Center for Internet Security) は、次のリソースを活用して、セキュリティ意識プログラムの構築を支援することを推奨しています。

非技術職だけでなく、セキュリティおよび IT スタッフも、それぞれの役割に関連したサイバーセキュリティトレーニングを受けるべきです。実際、Randori と ESG が 2022 年に発行したレポート The State of Attack Surface Management で調査した IT およびセキュリティの意思決定者によると、セキュリティおよび IT 担当者に ASM のトレーニングを提供することは、ASM を改善するための 3 番目に効果的な方法です。

パートナー、ベンダー、その他のサードパーティ請負業者にもセキュリティトレーニングを受けさせることで、人的な攻撃対象領域を抑制できます。

#8: デジタル従業員体験 (DEX) を改善する

デジタル攻撃対象領域	物理攻撃対象領域	人的攻撃対象領域
X		X

従業員にいくらサイバーセキュリティ教育を施しても、セキュリティ対策が複雑になればなるほど、従業員がそれを回避する可能性は高まります。エンドユーザーの 69% は、複雑すぎるセキュリティ対策の操作に苦労していると報告しています。そのような不満を抱えたユーザーは、安全でない経路でデータを配布したり、セキュリティ更新プログラムのインストールを妨げたり、シャドー IT を導入したりしがちです。

IT リーダーは、セキュリティを犠牲にしてデジタル従業員体験（DEX）を向上させるか、体験よりもセキュリティを優先させるか、という不可能な選択を迫られているようです。実は、セキュリティと DEX は、組織の成功と回復力にとって等しく重要なのです。実際、Enterprise Management Associates（EMA）の調査によると、セキュリティ上の摩擦を減らすことで、侵害の発生件数を大幅に減らすことができます。

では、どうすればよいのでしょうか。 Ivanti の「2022 Digital Employee Experience Report」によると、IT リーダーは経営幹部の支援を受けて、セキュア・バイ・デザインデジタル従業員体験の提供に力を入れる必要があります。かつてはそれが不可能に思えたかもしれませんが、従業員のテクノロジーエクスペリエンスを測定し、継続的に改善するのに役立つ DEX ツールの新興市場のおかげで、今ではかつてないほど簡単になりました。

2022 年デジタル従業員体験レポートを読んで、DEX がサイバーセキュリティに果たす役割について詳細をご覧ください。

組織がセキュリティと従業員体験の両方を容易に改善できる分野の1つは、認証です。覚えたり、入力したり、リセットしたりするのが面倒で非効率的なパスワードは、長い間エンドユーザーの悩みの種でした。

その上、極めて安全性に欠けていました。 2023 年 Verizon DBIR で分析された、内部での悪意ある行為を伴わない 4,291 件のデータ漏えいのうち、およそ半数が資格情報によるものであり、フィッシングによるものの約 4 倍でした。つまり、組織のIT資産に参入するための最も一般的な経路となっています。

パスワードレス認証ソフトウェアはこの問題を解決します。エンドユーザーのエクスペリエンスを向上させ、攻撃対象を一挙に減らしたいのであれば、パスワードレス認証ソリューションを導入し、FIDO2 認証プロトコルを使用します。付箋に書かれたパスワードに永遠に別れを告げることができれば、あなたもユーザーも喜ぶことでしょう。

DEX とセキュリティのバランスをとる方法については、以下のリソースを参照してください。

無料リソースからの追加ガイダンス

Ivanti が提案する攻撃対象領域を減らすためのベストプラクティスは、私たちの実体験から得た学びと、権威あるリソースから得た二次知識を組み合わせたものです。

これらのベストプラクティスは、確かに攻撃対象領域のサイズを大幅に縮小させる思われます拡大し続ける現代の攻撃対象領域のサイズと複雑さに対抗するために、組織が取るべき他の手段には事欠きません。

攻撃対象領域を縮小するための追加ガイダンスについては、以下の無料リソースを確認してください。

次のステップ

上記のベストプラクティスをすべて実施し、次はどうしようかと考えているところでしょう。サイバーセキュリティのすべてに言えることですが、立ち止まっている時間はありません。攻撃面は常に監視が必要です。

いつ次の管理されていない BYOD デバイスがネットワークに接続されるか、いつ CRM ソフトウェアの次の脆弱性が悪用されるか、いつ次の従業員がチームのハッピーアワーの後のバーに iPhone を忘れるかはわかりません。

既存の攻撃ベクトルを追跡するだけでなく、新たな攻撃ベクトルについても常に情報を得る必要があります。たとえば、最近の AI モデルの爆発的な普及は、攻撃対象の大幅な拡大を推進しており、IT 環境への扉を開くテクノロジーはさらに増えていると言ってよいでしょう。

ITAM が CAASMを越える: IT 資産管理が CAASM 戦略の必要条件である理由

Mon, 21 Aug 2023 19:43:51 Z

サイバー資産攻撃対象領域管理 (CAASM) は、サイバーセキュリティ戦略の基本的な部分に対する新たなアプローチです。サイバー資産を完全に把握することで、悪質な業者が悪用する可能性のある脆弱性を特定できます。

IT 運用担当者にとって、CAASM はきっと IT 資産管理 (ITAM) のように聞こえるでしょう。それは、この 2 つの分野が密接に関連しているからです。セキュリティ部門と IT 部門が、いかに共有のツールやプロセスを活用できるか、またどのようにそれらを活用すべきかを明確に示しています。

ITAM と CAASM の比較: 違いは何か

ITAM は、ハードウェアとソフトウェアを含むすべての IT 資産を、そのライフサイクルを通じて管理するための一連のプロセスとツールです。通常、資産の検出、在庫管理、サービスマッピング、資産の追跡と監視、資産のライフサイクル管理など、幅広いワークフローが含まれています。

CAASM は、組織のシステム、ネットワーク、アプリケーションに対する潜在的な脆弱性と脅威を特定し、軽減することで、ITAM を進化させます。通常、このプロセスでは、IT 環境内のすべての資産を特定し、これらの資産間の相互依存関係をマッピングし、侵害の潜在的な影響を評価します。

その目的は、潜在的な攻撃対象領域を明確に理解し、最も重大なリスクに基づいて修正作業の優先順位をつけることです。確かにそれは求められていることです。サイバーセキュリティチームの 44% が、資産情報が攻撃対象の特定と保護に不可欠であると考えています。

ITAM のセキュリティ上の利点

セキュリティにおける ITAM の重要性は、IT リーダーにとっては新しいことではありません。 EMA が 2022 年に IT リーダーを対象に行った調査によると、半数近くが ITAM プログラムの成功をセキュリティリスクの最小化によって測っていることが明らかになりました。セキュリティの視点から ITAM を見ると、CAASM に直接結びつく多くの利点があります。

資産の特定

完全に実装された ITAM ソリューションによって、組織はすべての IT 資産を識別し、追跡できます。環境にどのような資産があるかを知ることは、潜在的な脆弱性と脅威を特定するための第一歩です。

脆弱性の管理

IT 資産の包括的なインベントリがなければ、組織は定期的な脆弱性評価を実施し、潜在的な脆弱性を特定し、能動的に対処しようとする際にギャップに遭遇することになります。

セキュリティ対策の優先順位

すべての資産の内容と、存在している場所を把握することは、有効な出発点ですが、リスク管理を支援するためにリソースを効果的に配分することは、どの資産が最も重要かを知ることを意味します。明確に定義された ITAM プロセスと有能 ITAM システムは、セキュリティ対策の優先順位付けに必要な情報を組織に提供します。

資産を種類別に分類することで、サイバーセキュリティチームはクラウドや SaaS のようなリスクの高い資産により重点を置きながら、エッジデバイスのような比較的リスクの低い資産を適切に管理できます。

また、CAASM との直接的な関係は薄いものの、ITAM は他の分野のセキュリティ強化でも役割を果たしています。

Compliance

CCPA、GDPR、POPI、Castle など、さまざまな規制があり、企業は IT 資産の正確なインベントリを維持し、さまざまなセキュリティ基準に準拠していることを証明することが求められています。

コスト削減

IT 資産に関しては、コストの管理は使用状況の管理と密接な関係があります。たとえば、調査対象となった IT リーダーの約 3 分の 1 が、未使用または十分に使用されていないクラウドリソースに予算を浪費していると考えています。誤った支出管理は、それ自体が IT 組織にとってのリスクであり、セキュリティ問題に対処するための利用可能なリソースを制限することで、サイバーセキュリティを悪化させます。

資産のセキュリティを確保する CAASM ソリューションの構築

ITAM とサイバー資産リスク管理を融合させた CAASM ソリューションは、個々の資産だけでなく、サイバー資産全体をさまざまな脅威や脆弱性から保護できます。それでは、効果的な CAASM ソリューションスタックを構成するコンポーネントを詳しく見ていきましょう。

資産の検出と管理

ITAM が CAASM ソリューションの重要な構成要素であることはすでに見てきたとおりです。 ITAM の導入を成功させるには、ネットワークをスキャンして、隠れていたり未知のデバイスも含めて、接続されているすべてのデバイスを特定する検出ツールが必要です。

ITAM ソリューションの資産データベースは、多くの場合 CMDB（下記参照）に関連付けられ、資産属性、構成、関係と依存関係のマッピングを含むすべての資産情報を管理するための中央リポジトリを提供できます。

脆弱性管理

脆弱性管理には、組織が IT 資産内の脆弱性を特定し、優先順位をつけることを可能にするツールと技術が含まれます。脆弱性スキャンツールは、ハードウェア、ソフトウェア、および構成に潜在する脆弱性を特定するために、環境を定期的にスキャンします。これらのツールは、重要度に基づいて脆弱性に優先順位を付け、予防的に対処するための修正案を提示します。

脅威インテリジェンス

脅威インテリジェンスには、新たな脅威や傾向に関する情報をリアルタイムで提供するツールや技術が含まれます。これらのツールは、公開・非公開のフィード、ソーシャルメディア、ダークWebフォーラムなど幅広い情報源を監視し、潜在的な脅威や攻撃ベクトルを特定します。この情報は、セキュリティ対策に優先順位をつけ、潜在的な脅威に能動的に対処するために利用することができます。

構成管理データベース (CMDB)

CMDB　は、IT　資産内のすべてのサービス、資産、その他の構成項目の中央リポジトリです。これらの項目のインベントリだけでなく、それらの関係や依存関係も含まれています。 CMDB　は、すべての資産変更を追跡・管理し、変更が管理された文書化された方法で行われることを保証します。

CMDB を脆弱性管理ツールや脅威インテリジェンスツールと統合することで、資産とその関係の重要性に基づいてセキュリティ対策の優先順位を決めることができます。

CAASM　ソリューションスタックは、企業が　IT　資産の潜在的な脆弱性を能動的に特定し、軽減することを可能にするツールと技術の包括的なセットです。資産の検出とインベントリ管理、脆弱性管理、脅威インテリジェンス、CMDB を組み合わせることで、潜在的なサイバー脅威に先手を打ち、重要な　IT　資産を安全に保つことができます。

IT 資産検出がリスクベースの脆弱性管理プログラムの基盤となる理由

Tue, 04 Jul 2023 11:43:36 Z

現在、236,000 件以上の脆弱性が確認されています。NVD には毎日平均 61件の新しい脆弱性が追加されているため、出現するすべての CVE や脅威ベクトルを改善することは不可能です。では、特に Everywhere Workplace のハイブリッド化とリモート化が進む中、日常的な組織はエンドユーザー、顧客、データに対する増大し続ける脅威にどのように対処すればよいのでしょうか。

第一に、ネットワークに常時接続されている資産を把握することで、リスク面をマッピングすることが重要です。 TAG Cyber のシニアセキュリティアナリストである John J. Masserini 氏と、Ivanti のセキュリティ製品管理担当部長である Chris Goettl の 2 人の専門家に、脆弱性の優先順位付けのために組織独自のサイバーリスク要因を把握する方法を聞きました。

以下のインタビューの一部をご覧ください。また、実際の RBVM プログラムでのベストプラクティスの詳細を紹介したディスカッションの全文を視聴するには、ウェビナーの録画をご覧ください。

ネットワークのすべての (確認済みの) エンドポイントを検出

Chris Goettl: サイバーセキュリティのロードマップを理解し、策定するために、誰もがセキュリティフレームワークを頼りにしていると思います。 NIST、CIS、地域別、サイバーエッセンシャル、ASD トップ 20 など、主要なサイバーセキュリティフレームワークをすべて見てみると、そのすべてに、検出と資産管理に関する要素が含まれていることがわかります。その理由は、環境に何があるのかがわからなければ、セキュリティを確保できないからです。アクティブ、パッシブ、複数のデータソースに接続し、環境に関する多くの情報を集約する能力など、検出はあらゆるセキュリティプログラムの基礎となる部分です。

Ivanti は検出に関する多数の機能を備えています。お客様との関わりやセキュリティに関する調査を通じてわかったことは、ほとんどの組織では、実際に環境で管理されているすべてのデバイスに関する理解に 20～30% のギャップがあるということです。

エンドポイント管理ソリューション、資産管理ソリューション、エンドポイント保護 (EDR や何らかの種類の脅威保護プラットフォーム) といった環境全体で 6、7 個のデータポイントを取ると、それぞれに管理対象コンピューターのセットがあります。それを調達チームと照らし合わせると、異なるデータソース間で、あるコンピューターで管理され、別のコンピューター管理されていないコンピューター割合が 2 桁になることを保証します。そのため、1 つのデータソースからでは、環境の30% 以上が見えなくなってしまいます。

サイバーセキュリティフレームワークの基礎となる最も重要な理由の 1 つは、環境における死角の 30% 以上を把握する必要があるからです。把握しなければ、脅威の脅威にさらされることになるからです。

不明な IoT デバイスが IT 環境にとって脅威となりうる理由

Chris Goettl: 懸案事項となりうる点がいくつかあります。 1 つは、そのデバイスに脆弱性がある場合です。私は、広範な DDoS 攻撃で電球が使用されているのを見たことがあります。これは、誰も脅威になるとは思っていないシンプルな IoT デバイスが、はるかに大規模な攻撃の一部になる可能性があることの一例に過ぎません。

そのデバイスに欠陥があった場合、誰かが遠隔操作で強制的に、そのデバイスを発熱体がオンになる状態にして、火災を発生させる可能性があります。デバイスがそのような方法で使用されるさまざまな可能性があります。

最近、医療関連の種類の IoT デバイスがありました。このロボットは病院内にあり、動き回り、患者の治療に必要なものを運んできたり、研究室に何かを届けたり、さまざまなことをするスタッフをサポートすることができます。これらのデバイスで、そのデバイスが近接している会話を誰かが傍受できるという脆弱性群が発見されました。デバイスは強制的に停止させることができました。デバイスは出入り口を塞いでしまうほどの大きさでした。医療施設では、重要な出入り口をふさぐと、そのデバイスが基本的にロックされ、障壁となるため、時に不利になることがあります。

これらのデバイスは、無害であるように思われても、環境に対して潜在的なリスクをもたらします。この場合、検出によって、本来あるべきデバイスを特定しましたが、管理できないものであるため、セグメント化される可能性があります。では、パッチを適用できるのでしょうか。実際にはそうではありません。ファームウェア更新はあるかもしれませんが、そこまでして管理するものでもないでしょう。それらをセグメント化しますが、環境に何があるのか、何が不利になるのか、きちんと理解しておく必要があります。

資産情報がどのようにパッチの優先順位付けに役立つのか

John Masserini 氏: 所有している資産を把握することは、脆弱性管理プログラムを構築するための基礎のようなものです。しかし、次のステップでは、組織の収益源にとってのこれらのデバイスの重要性を理解する必要があると思います。

パッチの内容や適用方法については、すべて、プログラムに関係なく、どの程度の停止を許容できるか、そのデバイスやデバイスの流れから生み出される収益はどの程度か、停止をどのように管理するか、脆弱性を解消しない場合のリスクを誰が引き受けるかという点が重要になります。そのため、業務にとってデバイスがどれだけ重要であるかを理解することは、あらゆる種類のリスク測定において大きな原動力となると考えています。リスクに基づく脆弱性管理について話すときには、個々のデバイスや個々のワークストリームでどのようにリスクを活用できるかを理解することが重要です。

私は、そのために、いつも BCP プログラムを活用しています。事業継続プログラムにとって重要なビジネスインパクト分析の実施も、アプリケーションや環境などのリスクを理解するうえで、脆弱性管理プログラムにとっても同様に重要です。ビジネスインパクト分析を行うと、ビジネスにとって非常に優れた知見が得られるのと同時に、IT 側にとっても貴重なものとなります。

ビジネスに足を踏み入れるたびに、「すぐに対応してほしい。停止は絶対に避けたい。顧客満足度を保証したい」などと言われます。そして、「それなら、これがかかるコストです」と言うと、「そんな予算はない」と返されます。すぐにこのような議論に突入してしまいますが、その際の最低限、許容できる基準は何でしょうか。隔週金曜日の午前 2 時から 4 時までの 2 時間の停止枠を確保できるのかなどと言うことができるのでしょうか。そして、これが会社の収益の 80% を支えていることを理解し、それに対して非常に敏感でなければならないのです。四半期ごとにパッチを適用することもありますが、そのような環境では、ミームなどを共有するための社内サイトとは異なるレベルのテストが行われるのは確かです。

インフラストラクチャにあるさまざまなデバイスの重要性は根本的に異なり、リスク分析を正しく行うために評価、測定する必要があります。

信じられないかもしれませんが、そのようなものの多くは、レガシーなものばかりです。古いメインフレームを運用していても、AS/400を運用していても、最先端のデバイスを運用していても、しかし、脆弱性は、ライブラリにパッチを展開するのではなく、新しいファームウェアフラッシュでなければなりません。これらはまったく異なるモデルであり、まったく異なるリスク分析の断片です。アプリケーションにパッチを適用する。WindowsのノートパソコンでChromeにパッチを適用する必要がある場合は、「この重要なルーターまで行って、夜間にファームウェアをフラッシュする」と言うのとはまったく異なるリスクプロファイルがあります。まるで異なるリスクなのです。

そこで、これらすべてがどのように連携しているかを理解することで、 BIA から得られる資産の検出とリスク分析の間に、この 2 つが、リスクに基づく脆弱性管理を中心としたあらゆる種類の長期戦略を構築するための驚異的な基礎となるのだと考えています。

ネットワークに何があるのかを知ることは、セキュリティ対策にどのような優先順位をつけるべきかを理解するための第一歩です。リスクベースのアプローチで脆弱性管理を行うことで、最も弱い部分に集中できます。資産検出では、隠れた部分まで含めてすべてを特定することができます。

実際の RBVM プログラムのベストプラクティスの詳細については、このディスカッションの続きをご覧ください。

リスクベースのパッチ管理を導入することで、アクティブなエクスプロイトに優先順位付けする方法

Tue, 20 Jun 2023 15:01:46 Z

特に実行中であり効率的で有効と考えている処理についての変更には、常に抵抗があります。セキュリティの違反もしくは事故が発生し、何が間違っていたかについて疑問に思うまでは、多くの組織がそのソフトウェア管理手順についてこう思います。

現実には、ほとんどのパッチ管理プログラムが、活発にエクスポロイとされている脆弱性についての事実ではなく、推定と推奨に基づいていると言う事です。リスクベースのパッチ管理がこの問題に対する答えです。

この記事でご覧下さい、

典型的な優先順位に従う事にどんな問題があるのか
リスクベースのパッチ管理とは
リスクベースのパッチ管理を採用する最適な時である理由

典型的な優先順位付けに従う事にどんな問題があるのか

ソフトウェア産業が始まって以来、ソフトウェア特性の更新、セキュリティー修正、バグ修正、パフォーマンスの向上、および多くのその他のタイプのソフトウェアリリースがありました。ベンダーはしばしば、それぞれに強度評価やその他のスコアを付けて、顧客に何が重要と考えられているかを伝えます。

残念ながら、これ等の評価には紐づけられた業界の水準が無く、我々は推奨に基づいてシステムでの展開についてリリースされたものを比較し優先順位を付けなければならないのです。この上に、その様な評価は脆弱性が変化してもアクティブな脅威の環境に対応するために更新される事が先ず無いのです。

悪用される脆弱性の見落とし

全く何も無いよりはましであっても、ベンダーの強度評価は余り良いものでもありません。 Follina脆弱性(CVE-2022-30190) 2022年5月公表について考えて下さい。このMicrosoft Windows Support Diagnostic Tool (MSDT)の脆弱性は、リモートコード実行を許容します。

マイクロソフトが最終的に幾つかの更新により対応するまでに、Follinaは数か月間攻撃を受けました。驚いた事に、マイクロソフトはこの脆弱性には通常の脆弱性スコアシステム（CVSS）v3にて7.8の評価と重大性を付けました。最大深刻度に基づいてパッチをするのみの場合は、あなたはこれを落とす事により重大な隙間を残してしまいます。

さらに悪い事に、FollinaのCVSSスコアは脆弱性が7.8のままとなり、活発にエクスポロイとされBisamwareランサムウェアの配布用に積極的に悪用され、これを見落とした組織をこれ以上のリスクに露呈するのです.。

Ivanti Neurons for VULN KBに表示された、CVE-2022-30190関連のランサムウェアの脅威に関連する情報があります

CVSSの短所

深刻度評価は、FIRSTのCVSSスコアで「補強」されます。各CVEにはCVSS番号が割り当てられており、上の例ではCVE-2022-30190に7.8が与えられています。

実際のCVSS番号を算出する主な目的の1つは、すべてのCVEが一貫してスコア付けされ、正確に比較できるように標準化を確実にすることです。脆弱性と関連するパッチのCVSSスコアが高ければ高いほど、ほとんどの環境において、そのパッチはよりクリティカルであることを意味します。

複数のCVEに対応するソフトウェアアップデートの場合、通常は最も高いCVSS値が優先順位付けのために考慮されます。しかしながら、この値は正確でしょうか？

最近の記事でCVSSスコアの分析の結果が発表され、CVSSスコアの20%近く(25,000)に不一致があった事が示されました。この分析はNIST National Vulnerability Database（NVD）に報告されたスコアとベンダーが直接報告したスコアの比較に基づいています。

ベンダーの脅威度についての不一致

留意すべき重要な点の1つは、ベンダーが従来より脅威度について独自の用語を割り当てている事です（例えば、クリティカル、重要）。ベンダーの重大度スコアリングを優先順位のメカニズムとして使用することは、あるベンダーのすべてのパッチを比較する場合にはうまくいくかもしれませんが、ベンダー間のパッチを必ずしも正確に比較できるわけではありません。実際、多くのベンダーはまったく異なる用語を使用しています。

同様に、ベンダーの脅威度は必ずしも肯定的な指標とはならないのです。ゼロデイ脆弱性の多くは、マイクロソフトによって「重要（Important）」としか評価されていませんが、これには高いCVSSの数値が付いています。重要度やCVSSを優先順位付けに使用したパッチ適用が、いかに仮定や推奨を使用しており、脆弱な環境をもたらす可能性があることが分かります。

何故その他の優先順位方法を取らずに、アクティブなエクスプロイトを優先するのでしょうか？

米国のCybersecurity and Infrastructure Security Agency (CISA)によると、積極的に悪用される脆弱性は、「システム所有者の許可なく、システム上でアクターによって悪意のあるコードの実行が行われたという信頼できる証拠があるもの」を指します。平たく言えば、積極的に悪用されている脆弱性とは、脅威アクターがサイバー攻撃を仕掛けるために利用した脆弱性です。

したがって、組織への攻撃のリスクを最小限化する為に、その他の全てよりアクティブにエクスポロイトされている脆弱性を優先すべきなのです。ほとんどの脆弱性はアクティブにエクスプロイトされておらず、組織へのリスクも小さいので良い知らせです。リスクベースのパッチ管理を通じてエクスプロイトされたものは識別可能です。

リスクベースのパッチ管理とは

によると、リスクベースのパッチ管理におけるガイドブック:

「リスクベースのパッチ管理は、ベンダーの脅威度と組織に対する最も重要なリスクとなる特定の脆弱性を識別し判別する為の基本のCVSSスコアに勝ります。

このリスクベースの脆弱性管理の拡張により、組織のセキュリティ態勢にとって最も重要である悪用された既知の脆弱性の更新を取り入れることで、現実のリスク状況をパッチマネジメントプロセスに反映させることができます。

組織はどの様にリスクベースのパッチ管理を取り入れる事が出来るのでしょうか？

パッチ管理についてリスクベースのアプローチを採用可能な組織については、CISA から始めると良いでしょう、既知のエクスポロイトされた脆弱性 (KEV) カタログ。 CISAは脆弱性と優先順位付けについて手助けをする為に大きな一歩を踏み出しました、拘束力のある運用指令22–01 、と共にKEV カタログであり、先ず発行された時に、カタログには約200のアクティブにエクスプロイトされた脆弱性があります。以降これは約900に増えました。

CISAは、含まれた脆弱性がアクティブな脅威にエクスプロイトされている知識を持ち、リストを作成しています。しかし、リストには短所も有り現在はランサムウェアに関連した131の脆弱性が除外されています。

CISA　KEVカタログのみがリスクベースのパッチ管理用のリソースでしょうか？

より熟成したリスクベースのパッチ管理方法を持つ組織は、この代わりにあるいは、CVSSに追加した高度なリスク評価方法でレバレッジしています。これ等の方法は組織環境で識別された全ての脆弱性についてスコアを与え、これ等の組織のCISA KEVを超えるリスクベースへの拡張を許容します。

リスクベースの脆弱性管理領域の多くのベンダーは、脆弱性がもたらす本当のリスクを表す独自の採点方法を開発しました。ベンダーは、積極的にエクスプロイトされたリスクに重みを付ける事により、動的なリスク評価を出します。

例えば、Ivantiの脆弱性リスク評価 (VRR) 、はFollinaに7.8のCVSSスコアよりも脆弱性のリスクを表す10のスコアを付けています。

VRRとCVSSｖ３スコア間とIvanti Neurons for VULN KBに示されたCVE-2022-30190の脅威度レベルの差です

リスクベースのパッチ管理を採用する最適な時である理由

システム更新が遅れたり、御社の新しいシステムやアプリケーションに圧倒されたと感じたら、リスクベースのパッチ管理. を採用する丁度良いタイミングです。

脅威度のレーティングやCVSSスコアに基づいた実質的なプログラムを持ち、変化への抵抗を捨ててて事業がエクスプロイトされた脆弱性. からのデータ侵害により途方に暮れる前に、新しいプロセスを開始して下さい。

CISA KEVを使用して更新と、割り当て、予算、リスクと脆弱性のパッチ管理ソリューションを優先して下さい。適切なツールの使用で、迅速で最も高度なリスクシステムを識別し、パッチを行い、システムをセキュアな状態するためにリストに従って下さい。

最初の一歩を踏み出そうとしていますか？リスクベースのパッチ管理におけるガイドブックをご覧ください。

エンドポイントセキュリティがパッチだけではない3つの理由

Wed, 14 Jun 2023 20:56:25 Z

リモートワークが一般的になった現在、優れたサイバー衛生プログラムを導入することは、今日の脅威の状況で生き残りを賭ける組織にとってきわめて重要です。これには、個人のサイバーセキュリティに対する意識を高める文化の推進と、適切なセキュリティツールの導入が含まれ、これらのいずれもプログラムの成功に不可欠です。

これらのツールには、エンドポイントパッチ、EDR (Endpoint Detection and Response: エンドポイント検出および対応) ソリューション、ウイルス対策ソフトウェアが含まれます。しかし、最近のサイバーセキュリティに関する報告書を見ると、組織の外部攻撃面を減らすには、これらのツールだけではもはや十分ではありません。

ここでは、この脅威に真剣に取り組まなかった組織に起こった、3つの理由と実際の状況を説明します。

AI が生成したポリモーフィック型エクスプロイトは、主要なセキュリティツールを回避できる
パッチの失敗とパッチの疲労がセキュリティチームを息苦しくしている
エンドポイントパッチは、既知のデバイスとアプリに対してのみ機能する
組織はどのようにして外部攻撃面を減らすことができるのか

1. AI が生成したポリモーフィック型エクスプロイトは、主要なセキュリティツールを回避できる

最近では、EDR やウイルス対策を回避するために、AI で生成されるポリモーフィック型マルウェアが開発され、セキュリティチームに脅威や脆弱性の死角を残しています。

事例: ChatGPT ポリモーフィック型マルウェアが「主要な」EDR およびウイルス対策ソリューションを回避

ある報告では、ChatGPT プロンプトを悪用して、ウイルス対策ソフトウェアによる検出を回避するポリモーフィック型マルウェアが開発されました。同様の報告において、研究者は、業界をリードする自動 EDR ソリューションを回避するポリモーフィック型キーロギングマルウェアを作成しました。

これらのエクスプロイトは、反復するたびにコードを少しずつ変化させ、コマンド&コントロール (C2) 通信チャネルを使わずに悪意のあるコードを暗号化することでこれを実現しました。

この変異は、従来のシグネチャベースや低レベルのヒューリスティック検出エンジンでは検出できません。つまり、パッチの開発およびリリース、パッチの有効性のテスト、セキュリティチームによる脆弱性の優先順位付け、IT (情報技術) チームによる影響を受けるシステムへのパッチの展開の理由で、セキュリティ上の時間差が生じるのです。

このため、パッチ適用が完了するまで、重要な資産を保護するために他のセキュリティツールに頼らざるを得ない状況が数週間から数か月間続く可能性があります。

2. パッチの失敗とパッチの疲労がセキュリティチームを息苦しくしている

残念ながら、パッチが厳密にテストされていないために、更新が原因でシステムが壊れてしまうということが頻繁に起こっています。また、一部の更新では、すべての脆弱性が完全に修正されないため、システムはより多くの攻撃に対して脆弱な状態のままで、完全に修正するためには追加のパッチが必要になります。

事例: サフォーク郡のランサムウェア攻撃

ニューヨーク州サフォーク郡は、最近、データ漏洩とランサムウェア攻撃 (Log4j 脆弱性が脅威主体の入口となり、システムが侵害されたインシデント) に関するフォレンジック調査の結果を発表しました。この攻撃は、2021 年 12 月に始まり、Apache がこれらの脆弱性に対するセキュリティパッチをリリースしたのと同じ時期でした。

更新が利用可能であったにもかかわらず、パッチが適用されたことは一度もありませんでした。その結果、数千件の社会保障番号を含む 400 ギガバイトのデータが盗まれ、最初の身代金要求額は 250 万ドルでした。

身代金は支払われませんでしたが、個人データの損失、職員の生産性の低下、その後の調査のコストは、サイバー衛生アプライアンスとツールの更新コストと最終的な身代金の要求額である 50 万ドルを上回っていました。同郡では、すでに 550 万ドルを費やして、今日もまだすべてのシステムの復旧および復元に取り組んでいます。

事例: Windows サーバーの更新エラーのため業務が 24 時間連続で停止

個人的な経験ですが、ある Patch Tuesday で、Microsoft Windows サーバーの更新プログラムが自動的にダウンロードされ、インストールされた結果、IoT (モノのインターネット) クライアントとAAA (認証、認可、アカウンティング) サーバー間の認証サービスが破損し、生産が大幅に停止してしまい、24 時間連続で対応に当たらなければならなかったことがありました。

当社の最大規模のお客様が導入した社内顧客リファレンスネットワークでは、Active Directory Certificate Services (ADCS) と、無線で管理された IoT ネットワーク機器の 802.1x EAP-TLS 認証に用いる Network Policy Servers (NPS) に Microsoft サーバーを導入していました。

これは 10 年前に起こったことですが、この 2017年7月の更新 (無線クライアントの NPS 認証が壊れる問題が昨年5月に繰り返されたなど) その後数年間も同様の問題が再発しています。

当時は、エラーのあるパッチをすぐに修正することができなかったため、私はその後 22 時間かけて、企業の公開鍵基盤 (PKI) と AAA サービスの Microsoft サーバーを再構築し、通常の運用を復旧させました。救いは、元のルート認証局をオフラインにしたことで、サーバーが問題のある更新の影響を受けなかったことです。

しかし、結局、ルーター、スイッチ、ファイアウォール、アクセスポイントなど数千台の機器に対して下位認証局が発行した　ID　証明書をすべて失効させ、新しい　ID　証明書で　AAA　サービスに再登録する必要がありました。

この経験を教訓に、すべての Windows サーバーの自動更新を無効にし、重要なサービスやデータのバックアップをより頻繁に取るようにしました。

3. エンドポイントパッチは、既知のデバイスとアプリに対してのみ機能する

パンデミックに伴い、従業員が自宅や会社のネットワークに個人所有のデバイスを接続して仕事をする、Everywhere Work というスタイルに移行しました。このため、セキュリティチームはシャドー IT となる盲点を抱えていました。シャドー IT では、資産は管理されず、最新の状態ではない可能性があり、個人のデバイスが危険にさらされたり、アプリケーションからの情報漏洩の原因となっています。

BYOD (Bring Your Own Device: 個人デバイスの業務使用) ポリシーの復活と、会社公認の安全なリモートアクセスの欠如は、組織の外部攻撃面を急速に拡大し、脅威主体が悪用する他の攻撃ベクトルを露出させました。

事例: LastPass の最近の侵害

LastPass は、パスワードをオンライン格納域に保管する、非常に人気のあるパスワードマネージャーです。 2,500 万人以上のユーザーと 10 万社以上の企業が利用しています。昨年、LastPass は 2 件のセキュリティインシデントを含む大規模なデータ侵害を経験しました。

2 件目のインシデントでは、最初の侵害で盗まれたデータが利用され、4 人の DevOps エンジニア (特にホームコンピューター) が標的にされました。ある上級ソフトウェア開発者は、個人の Windows デスクトップを使用して、企業の開発用サンドボックスにアクセスしていました。また、このデスクトップには、パッチが適用されていないバージョンのPlex Media Server (CVE-2020-5741) がインストールされていました。

Plex は 3 年前にこの脆弱性に対するパッチを提供していました。脅威主体はこの脆弱性を利用してマルウェアを配信し、特権昇格 (PE)、リモートコード実行 (RCE) を行い、LastPass のクラウドベースストレージにアクセスして DevOps のシークレットや多要素 (MFA) およびフェデレーションデータベースを盗み出しました。

Plex は次のように述べています。「残念ながら、LastPass の従業員は、パッチを有効にするためにソフトウェアをアップグレードすることは決してありませんでした。参考までに、このエクスプロイトに対応したバージョンは、およそ 75 バージョン前です。」

パッチでは十分でない場合、組織はどのようにして外部攻撃面を減らすことができるのか

サイバーハイジーン

従業員は、組織のサイバーハイジーンプログラムにとって最も弱いリンクです。また、必然的に、個人所有のデバイスの更新を忘れたり、異なるインターネットサイトで同じ弱いパスワードを使い回したり、情報漏洩の原因となるアプリケーションをインストールしたり、電子メールや添付ファイル、テキストメッセージに含まれるフィッシングリンクをクリックしたりタップしたりすることがあります。

このような事態に対処するため、以下のようなサイバーセキュリティに対する認識と警戒を促す企業文化を推進します。

- 個人および会社のデバイスに最新のソフトウェア更新がインストールされていることを確認する。

-フィッシング攻撃など、ソーシャルエンジニアリングの攻撃手法を認識する。

-可能な限り多要素認証を使用する。

- デスクトップ向けのウイルス対策ソフトやモバイルデバイス向けのモバイル脅威対策に関するデータベースのインストールと自動更新を行う。

特にフィッシング対策については、継続的な教育が組織内のサイバー衛生を向上させる鍵となります。

推奨されるサイバー衛生ツール

サイバーセキュリティでは、「見えないものは守れない」と言われています。シャドー IT資産を含む、ネットワークに接続されたすべてのハードウェア、ソフトウェア、データについて、完全かつ正確なインベントリを確立し、把握することは、組織の脆弱性リスクプロファイルを評価するための重要な第一歩となるものです。資産データは、企業のエンドポイントパッチ管理システムに入力する必要があります。

また、リスクベースの脆弱性管理アプローチを導入し、圧倒的な数の脆弱性の中から、組織にとって最大のリスクをもたらすものだけに優先順位をつけることも検討してください。リスクベースの脆弱性管理ソリューションには、脅威インテリジェンスをパッチ管理システムに取り込むことがよくあります。

脅威情報とは、組織に対する既知の脅威や潜在的な脅威に関する情報です。これらの脅威は、セキュリティ研究者、政府機関、インフラの脆弱性やアプリケーションのセキュリティスキャナー、社内外の侵入テストの結果、さらには脅威主体自身など、さまざまな情報源からもたらされます。

さまざまなクラウドから取得されたフィードから報告される具体的なパッチの失敗や信頼性を含むこの情報は、組織が内部のパッチテストの要件を取り除き、重要な資産へのパッチ展開の時間差を短縮するのに役立ちます。

シャドー IT や BYOD などのモバイルデバイスをリモートで管理し、エンドポイントセキュリティを提供するためには、統合エンドポイント管理 (UEM) プラットフォームが必要です。

このソリューションは、最新のモバイルオペレーティングシステム (OS) やアプリケーションへのパッチ適用、電子メールのプロビジョニング、生体認証、スマートカード、セキュリティキー、証明書やトークンに基づく認証などの ID 資格情報や多要素認証 (MFA) 方式を含む安全なリモートアクセスプロファイルの提供を行うことができます。

UEM ソリューションは、モバイルデバイス向けの AI 機械学習ベースのモバイル脅威防御 (MTD) ソリューションも統合する必要があります。デスクトップには、リアルタイムのフィッシング対策でデバイス、ネットワーク、アプリの脅威を検出して修復する堅牢なヒューリスティックを備えた次世代ウイルス対策 (NGAV) が求められます。

そして最後に、AI が生成するマルウェアと闘うために、サイバー衛生ツールは、AI ガイダンスを活用して迅速に進化し、より巧妙なポリモーフィック攻撃に対応する必要があります。

上記のようなソリューションを追加することで、脅威主体の前に障害物を置き、脅威主体を食い止め、被害を受けやすい標的を探し出すことで、サイバー攻撃を抑止することができます。

MTD（モバイル脅威対策）におけるデモ動画

Mon, 22 Aug 2022 00:54:20 Z

Zimperium社のご協力のもと、実際のハッカー画面とハッキングされてしまう画面を映したデモ動画を作成しました。

今回はセキュリティーが高いといわれているiPhoneを使ってこの動画を作成しました。手法は若干違いますが、Androidでも同じようにハッキング可能です。フィッシングについてもローカル対応、クラウド連携対応が可能です。この機能のデモも可能ですので、お問い合わせください。

本動画は、2020年にIvantiが買収したモバイルアイアンの製品をベースとしています。

1. デバイス攻撃（未対策）

PCとiPhoneは同じ無線LANに接続されています。喫茶店等の無線LANにiPhoneを接続すると、知らない危険な人のＰＣが接続されているかもしれません。有料LＡＮサービスもだれでも会員になれますので、安心できません。接続するためにセキュリティーが施されていますが、接続してしまえば、ターゲットは同じ無線ＬＡＮに無防備で接続されています。詐称SSIDを使うこともそんなに難しいことではありません。

2. デバイス攻撃（対策済）

ハッカーがPC上でハッキングツールを起動しました。これらのハッキングツールはネットワーク上でいくらでも入手できます。また、最新のiOSやAndroidが発表されると、あっという間に脆弱性が発見されます。

3. Local Action（対策済）

iPhoneにインストールされているMDMのエージェント（MobileIronGo）を起動します。脅威防御の画面で、現在端末には脅威がないことを確認します。

4. 中間者攻撃（対策済）

詐称SSIDを使うこともそんなに難しいことではありません。同じ無線LANに接続するとMan In The Middle（MTM：中間者攻撃）もユーザに気が付かれずに行うことが可能となります。

より詳細なデモや製品説明をご希望の場合は、こちらからお問い合わせください。

他弊社製品資料はこちらから

あなたの会社を守るために、今すぐできる6つのサイバー防衛策

Wed, 30 Mar 2022 13:26:30 Z

ランサムウェアの被害がますます深刻化する中、Ivantiの最高セキュリティ責任者であるDaniel Spicerは、この課題に対応するための防御ソリューションを選択するチェックリストを提供しています。

ランサムウェアの攻撃は再び増加。

ランサムウェアの攻撃は前四半期より増加。

ランサムウェアの攻撃は前年を上回る。

Ivantiの最新レポートでは明確に警告を発していて、ランサムウェアの攻撃による被害はさらに悪化しています。Ransomware Spotlight Year-End Reportでは、2021年に32の新しいランサムウェアファミリーが確認され、ランサムウェアの種類が合計157（前年比26%増加）となりました。これらのランサムウェアファミリーでは、合計288（前年比29%増加）の脆弱性が悪用されています。本レポートは、Ivanti、Cyber Security Works社、Cyware社の協力のもと、独自データ、一般公開されている脅威データベース、脅威研究者やペネトレーションテストチームの見解に基づいて作成されました。

レポートによると、これらのランサムウェアグループは、致命的な攻撃を仕掛けるために、パッチ未適用の脆弱性を標的にし、ゼロデイ脆弱性を記録的な速さで攻撃を続けていることが判明しました。同時に、脅威攻撃者は、その攻撃範囲を拡大し、組織ネットワークを侵害し、インパクトの強い攻撃を仕掛ける新しい方法を見出しています。

また、Coveware社によると、ランサムウェアの攻撃を受けた企業は平均220,298ドルを支払い、23日間のダウンタイムを経験しました。これは、デジタル環境への移行が急務となり、ITに詳しい人材がこれまでになく不足している現状において、企業・組織は、ランサムウェアによる攻撃を乗り越えられない可能性があります。

サイバーセキュリティに対抗するためのステップ

ランサムウェアの脅威はますます巧妙になる一方で、その対策もまた同様に高度化しています。攻撃対象領域を大幅に縮小し、人的資源をこれ以上消耗することなく、脅威に対するプロアクティブな防御と修復を実現するためにできることがあります。

企業・組織は、Everywhere Workplace 向けに包括的かつスケーラブルで、フレームワークに沿ったサイバーセキュリティ戦略を構築するために、「MAP」、つまり「Manage（管理）」、「Automation（自動化）」、「Prioritize（優先順位付け）」といった3 段階の手順を行う必要があります。最初段階である「管理」は、サイバーセキュリティ基盤の確立を指します。「自動化」とは、IT 部門の負担軽減です。「優先順位付け」は、IT 部門が最もリスクの高い領域を特定・対処するための情報と能力を備えた状態に到達することです。

包括的なMAP戦略には6つのステップがあり、今すぐに始めることができます。

ステップ1: 企業資産の完全な可視化

検出できないものを管理・保護することはできません。接続されたすべてのデバイスとソフトウェアの可視性を高め、それらの資産の使用についてのコンテキストを提供する自動化プラットフォームに投資することで、ITおよびセキュリティ部門は適切な判断を下すことができます。検出についての包括的な取り組みは、企業所有のデバイスとBYODデバイスの両方を含むネットワーク上のすべての資産を対象に、誰がどのデバイスを使用しているか、そのデバイスをいつどのように使用しているか、何にアクセスできるかに関するコンテキストを提供します。これにより、セキュリティ部門は資産の保護を強化し、全体的なセキュリティ体制を向上させることができます。

ステップ2：デバイス管理の最新化

最新のデバイス管理は、リモートワークやハイブリッドの作業環境において、セキュリティを高めるために不可欠な要素です。統合エンドポイント管理（UEM）アプローチは、BYOD（Bring-your-Own-Device）イニシアチブを完全にサポートすると同時に、ユーザーのプライバシーを最大限に保護し、企業データを安全に管理することができます。

通常、UEMアーキテクチャはデバイスとアプリケーションの設定を簡単かつ大規模に導入・構成する機能を備え、リスクベースのパッチ管理とモバイル脅威保護によるデバイスの衛生状態を確立します。また、UEMアーキテクチャは、デバイスの状態を監視し、コンプライアンスを確保し、さらに問題をリモートで迅速に特定・修復し、ソフトウェアの更新を自動化します。幅広いOSに対応する管理機能を備え、オンプレミスとSaaSの両方で利用できるUEMソリューションを選択しましょう。

ステップ3：デバイスの衛生管理を確立

デバイスハイジーン（端末の衛生管理）というと、パッチ管理を連想される方が多いと思いますが、それだけではありません。優れたデバイスの衛生管理とは、ビジネスリソースへのアクセスを定義されたセキュリティ要件を満たすデバイスのみに許可する、プロアクティブで多層的なアプローチを採用することで、デジタル攻撃の攻撃対象領域を縮小することを意味します。企業は、デバイスの脆弱性（ジェイルブレイクしたデバイス、脆弱なOSバージョンなど）、ネットワークの脆弱性（中間者攻撃、悪意のあるホットスポット、セキュリティで保護されていないWi-Fiなど）、アプリケーションの脆弱性（高いセキュリティリスク評価、高いプライバシーリスク評価、疑わしいアプリ動作など）への対策を考える必要があります。また、デバイスの衛生管理を適切に行うには、明確に定義された再現性のあるプロセスを構築し、最終的に自動化できるようにすることも重要となります。

ステップ4：ユーザーの保護

パスワードを武器にする脅威攻撃者だけがパスワードを好みます。パスワードのような機密データは、侵害において最も標的となるデータのひとつであり、侵害の61%に関与しています。さらに、シングルサインオン（SSO）ソリューションは、ハッカーに悪用される可能性のある単一障害点を生み出し、ほとんど、またはすべての企業アプリケーションにアクセスできるようにします。

理想的なソリューションはゼロサインオンによるパスワードレス認証です。このアプローチでは、パスワードの代わりに、所有（モバイルデバイスのように所有しているもの）、内在（指紋やFace IDなどの生体認証）、コンテキスト（場所、時間帯など）といった代替認証方法による多要素認証が使用されます。

ステップ5：安全なアクセス環境を提供する

オフィス内にいるときだけ機能していたネットワークの境界は、Everywhere Workplaceを十分にサポートすることはできません。今日のネットワークは、ソフトウェアディファインドパラメータ（SDP）の原則に基づいて構築する必要があります。SDPは、実績のある標準ベースのコンポーネントを活用するように設計されており、既存のセキュリティシステムとの統合を可能にします。SDPのメリットを最大限に生かすには、ゼロトラストネットワークアクセス（ZTNA）のようなセキュリティレイヤーが不可欠となります。

ステップ6：継続的な監視と改善

セキュリティ体制の評価はほとんど攻撃後に行われ、攻撃ベクトルに特化したものです。このような事後対応型のアプローチは、IT人材が少ないことと相まって、大きな問題となっています。コンプライアンスを維持し、脅威を軽減するためには、ガバナンス、リスクおよびコンプライアンス（GRC）管理を行うことが不可欠です。規制文書をすばやく簡単にインポートし、引用をセキュリティとコンプライアンスの制御にマッピングし、手動タスクを自動化された反復的なガバナンス活動に置き換えるソリューションを探しましょう。

サイバーセキュリティのジャーニーを推進するためには、パートナーを採用し、ソリューションを活用することが不可欠です。適切なソリューションは、ITスタッフの負担を軽減するために包括的かつ統合されたものであり、従業員がいつ、どこで、どのように働いていても、生産的で直感的なユーザーエクスペリエンスを維持します。

WSUSとは？その役割やメリット・デメリットについて解説

Tue, 28 Dec 2021 01:31:01 Z

Microsoft Updateの適用を制御し、一元管理するためのソフトウェアが「WSUS」です。企業内などで多くのWindows PCを使用している場合に起こり得る、Windowsのアップデートなどに伴う問題を解決するためにマイクロソフト社から提供されています。では、はたしてWSUSの導入は必須なのでしょうか？ WSUSの導入を考えている企業向けに、その役割やメリット・デメリットについて解説します。

WSUSとは

WSUSとは、Windows PCやWindowsサーバーのMicrosoft Updateの適用を制御するためにマイクロソフト社が提供しているソフトウェアです。「Windows Server Update Services」の略であり、主に企業向けに提供されています。

対象となるマイクロソフト製品は、Windows OSやOfficeソフト、Exchange Server、SQL ServerなどのWindowsサーバー、各種ドライバやツールなどです。WSUSはそれらの更新プログラムの適用を集中管理するためのソフトウェアとなっています。

WSUSの役割

WSUSの役割は、社内のWindows環境を一元管理することにあります。もしくは、多数のWindows PCなどを使っている企業が通常の方法でMicrosoft Updateを実行しているときに陥りやすい問題を解決するためのサービスだということもできます。

通常の方法でMicrosoft Updateを行っている場合、社内の複数のPCのうちどのマシンがアップデートをしているのかしていないのかの把握や管理が難しいという問題が発生します。

また、アップデートはMicrosoft Updateサーバーにアクセスして更新プログラムをダウンロードしてインストールするという流れになります。そのため、企業内の大量のPCがこの作業を一斉に行うと大きなトラフィックが生じることになります。一斉アップデートのために外部との通信が圧迫されれば、業務に支障が出ることも考えられます。

さらに、更新プログラムの適用は、まれにWindowsが立ち上がらない、一部の機能が使えないなどの不具合を生じさせることがあります。OSやソフトウェアのアップデート自体はセキュリティ上の脆弱性対処などに必要なことですが、設定が自動更新になっていて不具合が起きると、最悪の場合、PCを使用できないという自体に陥ることになってしまいます。

このような問題を解決・回避するための開発されたのがWSUSです。

WSUSのメリット

改めて、WSUSを利用するメリットを整理して見てみましょう。

更新プログラムの集中管理ができる

WSUSを導入するには、WSUSサーバーを社内に立てて運用することになります。更新プログラムはそのWSUSサーバーがダウンロードして保存し、クライアントPCに適用するときはWSUSサーバーから更新プログラムを各PCに配布する形になります。

そのため各PCに適用するタイミングをコントロールすることが可能になります。またグループごとに適用する更新プログラムを指定する、あるいは特定の更新プログラムを配信しないといった選択もできます。適用状況の確認は表やグラフ表示で閲覧できるほか、レポートをPDFやExcel形式でダウンロードすることも可能です。

インターネット回線の負荷を軽減できる

WSUSサーバーによって更新プログラムをローカルに保存できるため、複数のクライアントPCが一斉にMicrosoft Updateサーバーにアクセスしてダウンロードする必要がなくなります。そのためインターネット回線への圧迫を回避でき、業務に支障をきたすといったことは起こりません。

無料で利用できる

WSUSは無料で利用することができます。ただし、利用にあたってはWSUSを動作させるWindows Serverのライセンスと、それに対応する「クライアント・アクセス・ライセンス（CAL）」が必要です。

WSUSのデメリット

一方、WSUSを導入するデメリットや注意点についても知っておきましょう。

まずWSUS自体は無料ですが、利用するにはWSUSサーバーを導入して運用する必要があります。そのための金銭的・人的コストは当然かかります。

またWSUSの運用にあたっては、Active DirectoryというWindows Serverに搭載されている機能を使ってクライアントPCを管理することになります。そのことも含めて、WSUS運用のための知識や経験が求められることになり、使いこなせるようになるには一定以上の学習期間が必要です。付け加えるなら、WSUSの使い勝手やユーザーインターフェース、各機能はあまり使い勝手が良いとはいえず、そのことを知った上で上手く運用していくことが求められます。

Windowsの更新をはじめとするMicrosoft Updateは、セキュリティ強化のために必須の作業です。WSUSはそのMicrosoft Updateを管理するために有用なソフトウェアですが、利用するにあたってはメリットがある反面、デメリットも存在することにも留意して導入するか否かを決める必要があるでしょう。

なお、OSやアプリケーションのアップデートをコントロールしてセキュリティを維持するには、次のような製品を使う方法もあります。

Ivanti Endpoint Security for Endpoint Manager

メディアの保護、エンドポイントの遠隔制御、セキュリティ診断、柔軟なダッシュボード/レポートなどの機能を搭載するエンドポイントセキュリティマネジメントツールです。

Patch Manager

Windowsに限らず、Mac OS、Linux、さらには数々のサードパーティ製アプリ（Acrobat Flash/Reader、Java、Webブラウザーなど）に潜む脆弱性をすばやく検出し、必要に応じてテスト済みのパッチを適用するパッチ管理ツールです。

Security Control

WindowsとLinuxマシン、仮想サーバーへのパッチ適用のほか、ホワイトリスティング、権限管理機能などを備えたセキュリティ対策ツールです。

BYODとは？企業が導入するメリット・デメリット

Tue, 28 Dec 2021 00:48:23 Z

BYODを導入すると、従業員が個人の端末を業務にも使えるようになります。セキュリティ上の問題が大きいと思われがちですが、対策次第ではリスクを抑えつつBYODのメリットを得ることができるでしょう。ここでは、BYODの特徴からメリット・デメリット、リスクを抑えるための対策方法まで詳しくご紹介します。

BYODとは

BYOD（Bring Your Own Deviceの略）とは、従業員の個人用スマートフォンやタブレット、ノートパソコンなどを業務に使用する仕組みのことです。近年では、会社支給の端末に個人用アプリをダウンロードできるようにするなど、BYODに近い運用管理（領域分離など）を検討する企業が増加傾向にあります。

BYODのメリット

BYODには、どのようなメリットがあるのでしょうか。詳しく見ていきましょう。

複数の端末を所有する必要がなくなる

普段から使用している端末を業務に利用できるため、複数の端末を所持する必要がなくなります。また、使い慣れている端末を使用することで、業務効率化にも繋がります。

会社のコスト削減に繋がる

従業員用端末の購入代金やレンタル費用などのコストを削減できます。従業員が多い企業がBYODを実施すれば、多額のコストカットに繋がるでしょう。

リモートワークや時短勤務の導入に役立つ

BYODを導入することで、時短勤務やリモートワークなどが実施しやすくなり、ワークライフバランスの優れた働き方を実現しやすくなります。育児や介護、自身の病気など、さまざまな事情を抱えて働いている従業員にとっては、大きなメリットと言えるでしょう。そのため、退職率が低下することも期待できます。

また、リモートワークを導入することで、感染症拡大や自然災害などによって出社が困難になった際にも、自宅など場所を選ばずに業務を再開させられるというメリットがあります。

シャドーITの防止に繋がる

シャドーITとは、会社の許可を得ていないにもかかわらず、私物のスマートフォンやタブレットなどで会社の資料を閲覧するなど、情報漏洩に繋がる行為のことです。実態をつかむことが困難なため、シャドーITが気づかないうちにまん延しているケースは少なくありません。BYODを適切に導入すれば、シャドーITによる情報漏えいの防止に繋がります。

BYODのデメリット

BYODには、次のようなデメリットもあります。確認しておきましょう。

セキュリティリスクの払しょくが難しい

従業員個人の端末を業務に使用すると、ウイルスをはじめとしたマルウェアによるデータ流出や改ざん、破損などの懸念が強まります。また、プライベートと仕事で兼用する場合、端末を外出先に持ち出すことが多くなり、それだけ紛失や盗難のリスクも高まります。

従業員の費用負担が発生する

通話や通信の費用負担について明確なルールを定めておくことが大切です。ルールを特に定めない場合、従業員の費用負担が大きくなってしまう可能性があります。また、プライベートと仕事の両方で使うと、使用頻度が高いことが原因で故障のリスクも高まります。修理費がかさむと、従業員が不満を感じてしまうでしょう。

従業員のプライバシーを守りにくくなる

BYODを導入する場合、情報漏えい防止対策の一環として企業が端末を管理するケースがあります。確かにセキュリティ性は向上しますが、企業が端末の利用状況の把握や利用範囲の制限を実施することで、従業員のプライバシーを守れなくなる可能性も否定できません。

BYODにはリスクが多く対策が必須

BYODはメリットが大きい一方で、十分な対策ができていなければ情報漏えいのリスクが高まってしまうといえます。BYODのメリットを活かし、リスクを抑えるための対策方法について詳しく見ていきましょう。

ガイドラインの作成

まずは、BYODの導入にあたり、端末運用のガイドラインを作成する必要があります。そもそもBYODとは何か、どのようなメリットとデメリット、懸念されるリスクがあるのかを従業員が十分に理解しなければなりません。また、メールやアプリ、クラウドなど、業務で何を使うのか、どの情報の漏えいを防ぐべきなのかなどを明確にすることも重要です。

試験的に導入する

最初から全従業員にBYODを適用するのではなく、まずは1つの部署で試験運用し、リスクを洗い出したり効果を測定したりしましょう。BYODを適用する従業員が多くなればなるほど、効果とリスクの両方が高まります。効果が大きく、リスクが低い形で運用するために、試験運用は欠かせないといえるでしょう。

BYODのメリットを得るには、情報漏えいのリスクを徹底的に抑えることが大切です。正しく運用できれば、業務効率化やモチベーションアップ、コストダウンによって、企業に大きな利益をもたらすでしょう。BYODを導入する場合はメリット・デメリットを理解し適切な対策を施しましょう。

BYODのセキュリティ対策として、デバイスをサイバー攻撃から保護するエンドポイントセキュリティを導入してみてはいかがでしょうか。

IvantiのUnified Endpoint Managerは、デバイスを管理するためのさまざまなサービスが揃ったエンドポイント管理ソフトウェアです。詳しくはUnified Endpoint Managerのご案内をご覧ください。

ランサムウェアとは？特徴や被害を防ぐための対策を徹底解説

Mon, 27 Dec 2021 07:36:58 Z

近年、企業にとって大きな脅威となっているのがランサムウェアによる攻撃です。ランサムウェアとはどのようなマルウェアでどんな特徴を持ち、どのような被害をもたらすものなのでしょうか。有効な対策とともに詳しく解説します。

ランサムウェアとは

ランサムウェアとは、PCやサーバに感染してコンピュータをロックする、あるいは内部のファイルを暗号化して使用不能にし、メッセージを表示してもとに戻すことと引き換えに「身代金（ランサム）」を支払うよう要求するマルウェアの一種です。企業に対するランサムウェアを使った攻撃は2015年頃から世界的に増大し、現在も多くの企業がランサムウェアによる多大な被害を受けています。

ランサムウェアの特徴

ランサムウェアはスパムメールや標的型攻撃メールの添付ファイル、改ざんされたWebサイト、USBデバイスなどから感染します。多くの場合、無害なプログラムであるかのように偽装して侵入し、頃合いを見て攻撃を開始するトロイの木馬として感染・活動します。

コンピュータがランサムウェアに感染してメッセージが表示されると、ロックや暗号化を解いて復旧するのは困難です。とくにファイルが暗号化されると内容を見たり編集したりすることが不可能になります。暗号化されたファイルをもとに戻すには「鍵」が必要で、その鍵を持たないままでファイルを復号するのはほぼ不可能だとされています。

さらに、よく知られているランサムウェア「WannaCry」などはワーム機能を有しています。そのため1台が感染するとネットワークでつながっている他の端末も感染して次々に攻撃される可能性が高く、被害が広がりやすいのも厄介です。

近年ではファイルではなくデータベースやメールサーバを暗号化するランサムウェア、ランサムウェアとしてだけではなく情報窃取やセキュリティ対策ソフトのアンインストールなどもあわせて行うようなマルウェアも増えています。

ランサムウェアに感染した場合の被害

上述したように、ランサムウェアに感染するとまず企業内のコンピュータやコンピュータ内のファイルが使えなくなります。複数台のコンピュータが同じ状態に陥れば、業務に支障が出ることは避けられません。

次にロック解除やファイルの復号のために身代金が要求されます。支払いには暗号資産（仮想通貨）を用いるよう指示されるケースも見られます。身代金の金額は非常に高額で、たとえいわれるままに支払ったとしてもコンピュータを復旧できる可能性は低いでしょう。

さらに、最近では「二重恐喝型」のランサムウェアが増えています。二重恐喝は身代金だけではなく、支払いに応じない場合、感染したコンピュータ内の重要情報を公開すると脅迫して金銭を要求するものです。

このタイプのランサムウェアは、ファイルを暗号化する前にそのファイルをインターネット経由で外部に送信しています。また、二重恐喝型ランサムウェアに狙われやすいのは情報の漏えいや流出で大きなダメージを受けるようなタイプの企業です。

その場合はランダムな攻撃を受けてたまたまランサムウェアに感染するのではなく、最初から標的を定めた計画的な攻撃を受けている可能性が高いといえます。そのため要求される金額も、その企業が情報漏えいを起こした場合の被害額を考慮して支払うと想定されるような金額が提示される傾向があります。

なお、身代金や恐喝による支払いを拒否したとしても、ランサムウェアに感染したコンピュータの調査・復旧には費用がかかります。

警察庁が発表した「令和3年（2021年）上半期におけるサイバー空間をめぐる脅威の情勢等について」という広報資料によると、企業・団体がランサムウェアの被害を受けたとして警察庁に報告された件数は61件で、前年下半期の21件から大幅に増加しています。金銭の要求が確認されたのはそのうちの35件で、さらに二重恐喝がなされたのは27件でした。また、「調査・復旧費用の総額」が1,000万円以上だった事例が全体の約4割にものぼっています。

ランサムウェアによる被害を防ぐための対策

では、ランサムウェアによる被害を防ぐにはどのような対策が考えられるのでしょうか。

まず基本的な対策としては、メールの添付ファイルを不用意に開かない、URLリンクをクリックしない、OSやアプリケーション、ファームウェアは常に最新の状態にアップデートしておく、などが挙げられます。

PCやサーバのシステムバックアップや、重要なファイル（データ）のバックアップを定期的に行っておくことも重要です。データのバックアップはデータ窃取による二重恐喝に対してはあまり意味がありませんが、データの暗号化などに対しては有用です。

また、コンピュータの管理者権限を見直し、ユーザから管理者権限を削除して運用することで被害を低減させられる可能性があります。

コンピュータの感染が疑われたときには、すぐにネットワークから切り離して感染を広げないようにしましょう。メッセージが表示されるなどして感染が確定した場合、たとえ身代金を支払ったとしてもロック解除やファイルの復号化、流出データ公開を防ぐことができる保証はまったくありません。そればかりか、サイバー犯罪者の活動を助長する結果にもつながってしまいます。一刻も早くセキュリティ会社や警察などに相談するようにしましょう。

ランサムウェアによる攻撃は、昨今ではVPN機器やリモートデスクトップツールなどのセキュリティ製品の脆弱性を突いたものも増えつつあります。セキュリティ製品を選ぶときは導入前にその信頼性についても十分に精査すること、また複合的・多層的な対策を講じることも重要です。

また、以下のセキュリティ対策ソリューションもご活用ください。

Application Controlは、動的なホワイトリスティングと権限管理を組み合わせて不正なコード実行を防止し、ランサムウェアからの即時保護を可能にします。

Patch Managerは、エンドポイントに対する修正パッチ適用を包括的に管理し自動化します。

Security Controlは、パッチ管理、権限管理、ホワイトリスティング機能を単一のソリューションに集約した総合的なセキュリティ対策を提供します。

SAMI認証とは？仕組みとメリット・デメリット

Fri, 24 Dec 2021 02:44:46 Z

セキュリティ性が向上する他、業務効率化にも繋がるなどメリットが多いとされるSAMI認証。その一方でデメリットもあるため、しっかりと確認しておく必要があります。ここでは、SAML認証の特徴やシングルサインオンとの関係、導入のメリットとデメリットについて詳しくご紹介します。

SAML認証とは

SAML（Security Assertion Markup Languageの略）認証とは、ユーザーの認証情報を異なるドメイン間で共有するルール・プロトコルです。

ユーザー認証を1度行うだけで、他のシステムの利用時に認証が不要になる仕組みである「シングルサインオン（SSO）」を実現する方式の1つです。

SAML認証によるシングルサインオン

SAML認証と深い関係があるシングルサインオンについて確認しておきましょう。シングルサインオンとは、1つのIDとパスワードで複数のWebサイトやクラウドサービスなどにアクセスできる仕組みのことです。そして、SAML認証はこのシングルサインオンを実現するための仕組みです。

SAML認証の仕組み

SAML認証では、クラウドサービスへのログインを試みているユーザーが以前にそのクラウドサービスを利用したことがあるかどうか、認証情報を保存・管理するサービスであるIdP（Identify Providerの略）が確認します。そして、その結果をクラウドサービスに送信し、ログインを許可してもよいかどうかを判断するのです。

SAML認証は、IdPとクラウドサービスが情報をやり取りする際に、情報形式を変換せずに済む方式です。ユーザーがサーバーへ一度でもログインすれば、それ以降はSAML認証に対応して他のサービスを利用できるようになります。

それでは、SAML認証の流れを見ていきましょう。

ユーザーがクラウドサービスへのログインを試みると、クラウドサービスがSAML認証要求とアクセス情報をIdPへ送る
IdPが適切なユーザーであるかどうかを確認し、SAML認証応答を作成する
SAMLアサーション（認証情報やユーザー属性情報など）をクラウドサービスに送る
クラウドサービスがユーザーのログインを許可するかどうかを判断する

SAML認証のメリット

SAML認証には、次のようなメリットがあります。

ユーザーのストレス軽減

過去にログインしたクラウドサービスにワンクリックでログインできるため、パスワード入力の手間を削減できます。また、複数のパスワードを管理する必要もなくなるため、そのクラウドサービスを利用しやすくなります。

業務上においても、生産性の向上につながるでしょう。働き方改革が推進されている昨今では、限られた業務時間の中でいかに効率よく業務を遂行するかに注目が集まっています。SAML認証を働き方改革の施策の1つとして取り入れることも検討してみてはいかがでしょうか。

セキュリティ向上

SAML認証の利用で利便性が向上する一方で、セキュリティに問題が起きるのではないかと不安を覚える方もいます。SAML認証を実装すれば、IDとパスワードによる不正アクセスができなくなるため、セキュリティ性は向上するといえます。さらに、多要素認証を利用すれば、IDとパスワードのみでIDプロバイダーに不正ログインすることを防げます。

IDとパスワードを使い回すと、信頼できないサイトにアクセスした際に情報漏えいし、重要な情報が格納されているクラウドサービスに不正ログインされる恐れがあります。そのため、IDとパスワードを入力せずにログインできるのは、業務効率化だけではなくセキュリティ性の向上にも繋がります。

導入期間が短く低コスト

シングルサインオンを導入する代表的な方法は、システム全体のIDの統合と管理です。しかし、ID統合の仕組みをシステム化する必要があるうえに、既存システムも改修が必要です。そのため、導入までの期間が長く、多額のコストがかかります。

SAML認証を用いたシングルサインオンは、月額数百円から利用できるものもあり、比較的短期間かつ低コストで導入できます。

SAML認証のデメリット

SAML認証のデメリットとしては、全てのWebサービスに対応しているわけではない点があげられます。対応していないサービスには、残念ながら導入することができません。しかし、SAML認証ではない別方式でも対応していないWebサービスは存在しますので、大きなデメリットとはいえないかもしれません。

SAML認証を活用すれば、IDとパスワードを入力せずにログインできるようになります。また、IDとパスワードの漏えいによる不正アクセスのリスクが低いためセキュリティ性も高まりますし、ユーザビリティが向上することもあり、導入する企業が増えています。

ただし、SAML認証を導入できないWebサービスもあるため、事前に確認が必要です。SAML認証のメリット・デメリットを理解した上で、導入を検討してみてはいかがでしょうか。

なお、シングルサインオン（SSO）の仕組みや導入方法については、こちらの記事「シングルサインオン（SSO）とは？メリット・デメリットと導入方法など」で詳しく解説しています。ぜひ合わせてご覧ください。

シングルサインオン（SSO）とは？メリット・デメリットと導入方法など

Fri, 24 Dec 2021 02:40:47 Z

昨今、提供されるクラウドサービスの種類が増え、複数のサービスを使い分ける企業が増えるに伴い、シングルサインオンへの需要が増しています。それでは、シングルサインオンとはどういったシステムのことを指すのでしょうか。しくみごとに異なる方式の種類、メリット・デメリット、導入に際して押さえておきたいポイントなども交えて解説します。

シングルサインオン（SSO）とは

シングルサインオン（SSO）とは、ある認証を一度行うだけで、クラウドサービスをはじめとした複数のサービスにログインできるようにする仕組みを指します。シングル（Single）とサインオン（Sign-On）を組み合わせて作られた用語です。

企業でのインターネット利用拡大はもちろん、クラウドサービスの浸透もあり、現在では1人でいくつものサービスを利用するのがごく当たり前のことになっています。

しかし、サービスの数が増えていくに従い、管理するID、パスワードも増え続けてしまうという問題がありました。すべてをユーザーが管理し、都度認証を行うのはかなりの労力を要しますし、セキュリティ上の懸念もあります。

そこで利用するサービスがシングルサインオンに対応していれば、一度の認証だけで容易にそれらにアクセスできるようになり、利便性が増し、セキュリティも強固になる可能性があります。シングルサインオンはそのようなニーズから生まれた仕組みです。

シングルサインオンを実装する仕組み

シングルサインオンには、主に次の4つの方式があります。

エージェント方式

Webシステムのサーバーにエージェントソフト（代行するソフト）を導入してシングルサインオンを実現する方式です。エージェントは外部のSSOサーバーとデータをやりとりして認証やアクセス権限のチェックをします。アクセス集中のボトルネックが発生しにくい反面、個々のWebシステムにエージェントをインストールする必要があります。

リバースプロキシ方式

Web上にリバースプロキシと呼ばれる中継サーバーを設置してシングルサインオンを実現する方法です。すべてのWebシステムへのアクセスをリバースプロキシ経由にすることで、各Webシステムにエージェントソフトを導入しなくても利用できます。

代行認証方式

クライアントPCにエージェントソフトを導入してシングルサインオンを実現する方法です。エージェントはシングルサインオンの対象となるサービスのログイン画面を監視し、ログイン画面が表示されるとユーザーに代わって認証情報を送信します。

SAML認証方式

ID管理と認証を担うプロバイダーであるIdP（Identity Provider）が、ユーザーとサービスの橋渡し役となってシングルサインオンを実現する方法です。ユーザーがサービスプロバイダ（SP。クラウドサービスなど）にアクセスすると、WebサービスがIdPに認証要求を送信します。するとユーザーのPCやスマートフォンに専用のログイン画面が表示され、認証が成功するとIdPが認証応答を送信して自動ログインが実行されます。以降はSAML認証方式に対応しているサービスに自動ログインできるようになります。

シングルサインオンのメリット・デメリット

シングルサインオンのメリットは、まずセキュリティリスクが低くなることです。ユーザーが覚えるID・パスワードが1つですむため、パスワードの使い回しやメモ書きといった危険な行為を防ぐことができます。加えて、Webサービス事業者にパスワード情報を直接送信することなくサービスを利用できるので、サービス事業者が管理するID・パスワードの情報漏えいが発生したとしても影響を受けません。

また、パスワード入力や暗記することに労力を費やす必要がなくなり、ユーザーの利便性が向上します。セキュリティ担当者などもID、パスワードの管理が楽になり、管理コストを削減できるでしょう。社員の入退社や異動に伴う手続きも簡単になることが期待できます。

一方、デメリットもあります。万一、シングルサインオンで使用しているID・パスワードそのものが情報漏えいしてしまうと、シングルサインオンに対応させていたすべてのサービスが不正利用されるリスクにさらされます。また、もしもシングルサインオンの管理システムが停止してしまった場合には、関連するサービスがすべて利用できなくなる心配もあります。

シングルサインオンサービスの導入のポイント

シングルサインオンの導入を検討する際はまず、現在利用中もしくは利用予定のサービスに対応しているかどうかを確認する必要があります。また、導入しようとしているシングルサインオンのセキュリティ面に懸念がないかどうかも十分に確認することが求められます。

逆に、例えば利用しようと考えているサービスが2段階認証に対応していない場合でも、そのサービスに対応していてなおかつ2段階認証も採用しているシングルサインオンを利用すれば、ログイン時に2段階認証が利用できるようになります。

いずれにしろシングルサインオンサービスを導入するときは、自社にマッチしたサービスかどうかを十分比較検討して業者を選定する必要があります。

数多くのクラウドサービスを利用するのが当たり前になっている現在、シングルサインオンの導入も必須ともいえる状況にあります。シングルサインオンを実現するサービスにはどのような種類があるか、自社がどんなメリットが得られるのかを見て導入を検討しましょう。

また、SAML認証についてさらに詳しい内容を知りたい方は、こちらの記事を参照してください。さらにパスワードを完全に廃止する新技術「ゼロ・サインオン　パスワードレス認証」については、こちらをご覧ください。

「SDP」で実現するゼロトラストセキュリティ

Thu, 23 Dec 2021 08:03:35 Z

SDPは、近年普及しているゼロトラストの考え方を実現するシステムの1つです。SDPを実装すると、クラウドサービスのようなネットワークの外側にある対象物をサイバー攻撃から守ることができます。ここでは、SDPとゼロトラストの関係、SDPのメリットなどについて詳しくご紹介します。

SDPとは

SDP（Software-Defined Perimeterの略）とは、制御側と管理側でコントローラーが分かれており、データ通信が終了した時点で接続チャネルが消滅し、新たな接続要求があるまでは再開しないシステムです。ユーザー認証やデバイス認証などで、身元が確認できるまでは一切アクセスできません。

たとえ、同じ物理ネットワーク上の機器であっても、身元が確認できるまではアクセスができないという優れたセキュリティ性を持ちます。

SDPとゼロトラストセキュリティ

SDPへの理解を深めるために、ゼロトラストセキュリティについて知る必要があります。従来のセキュリティ対策では、信頼できる「内側」を作り、信頼できない「外側」との間に境界線を設けることで、外部からの不正アクセスをシャットアウトしてきました。

このようなセキュリティ対策は、保護すべきデータが「内側」にある場合にのみ有効です。近年、広く普及しているクラウドサービスを利用している際は、「外側」に守るべき対象が存在しているケースがあります。その結果、境界が曖昧になり、従来のセキュリティ対策ではサイバー攻撃を完全に遮断することが難しくなってきています。

そこで近年注目されているのがゼロトラストです。ゼロトラストとは、全てのアクセスを信頼しないことを前提とするセキュリティ対策の考え方です。通信経路の暗号化、多要素認証、ネットワークやセキュリティ機能に接続されるデバイスのログ監視などを行うことで、ネットワークの内側と外側に関係なくサイバー攻撃を遮断します。このゼロトラストを実現する方法の1つが「SDP」です。

SDPのメリット

SDPには次のようなメリットあります。詳しく見ていきましょう。

接続をリアルタイムで可視化

SDPのコントローラーへの接続には、本人認証およびデバイスの認証が必要です。接続を許可された場合は、アクセス要求の日時やデバイス機器の名称、使用者などの情報が記録されます。さらに、接続状況はリアルタイムで反映されるので、不審なアクセスを手動で遮断することもできます。

短期間での実装できる

SDPの実装に特別なツールは不要です。コントロールやゲートウェイはホスティングサーバーに構築可能であり、クラウドサービスや各種デバイスなどに実装できます。他社による導入支援や複雑な事前準備も不用なため、比較的短期間で実装できます。

クラウドとの親和性が高い

SDPは、プライベートクラウドとパブリッククラウドのどちらでも利用できます。複数のネットワークリソースの全ポリシーの一元管理も可能なため、管理コストも削減できるでしょう。さらに、ユーザー追加時の設定もVPNよりも手間を抑えられる傾向にあります。

セキュリティコストを削減できる

SDPの構築に必要なゲートウェイを最小限に抑えられるため、セキュリティコストを削減できます。VPNは、多店舗展開の企業においては地域ごとにVPNゲートウェイの購入が必要です。一方で、SDPは1つのゲートウェイを購入するだけで、全データおよびアプリケーションをクラウド上で利用できるようになります。

VPNが抱える問題点を解消できる可能性がある

VPNは、データを外側から見ることができないように、送信者と受信者の間に仮想のトンネルを構築し通信しています。この仕組みでは、脆弱性と通信の不安定さが問題となります。

VPNは、ゲートウェイが広く公開されているため、サイバー攻撃を仕掛ける人物にとっては進入口がわかりやすい状態です。このようなリスクを抑えるために、暗号化やプロトコルなどでカバーしているのですが、低品質なVPN製品の場合は十分な安全性を確保できていません。そのため、より安全性が高いとされるSDPへの切り替えを検討する企業が増えています。

さらに、VPNを使用するとWebサーバーとVPNサーバーの両方を通す必要があり、ユーザー数が多い、ユーザーのアクセス地点やVPNゲートウェイ、社内ネットワークの位置が遠い場合は、通信速度の低下や通信が途切れるなど通信障害が起きるリスクが高まります。SDPは1つのゲートウェイを通すだけのため、VPNが抱える通信障害の問題を解消できる可能性があります。

SDPを導入すれば、クラウドサービスのようなネットワークの外側にある対象物もサイバー攻撃から守ることができます。全てのアクセスを信頼せず、身元を確認できた場合にのみアクセスを許可するゼロトラストの考え方に基づき、高度なセキュリティ対策を実現できるといえるでしょう。

日々多様化するサイバー攻撃の対策として、ゼロトラストセキュリティの導入を検討してみてはいかがでしょうか。

Ivanti Neurons for Zero Trust Accessは、ウェブサイトを使用してデバイスからアプリケーションへの安全な接続を作成し、ユーザーやデバイス、アプリケーションを検証するシステムです。詳しくはIvanti Neurons for Zero Trust Accessをご覧ください。

Ivanti Neurons for Zero Trust Accessのデータシート

多要素認証とは？メリットや二要素認証との違いについて解説

Wed, 22 Dec 2021 07:45:50 Z

情報保護の必要性が高いデータを扱うソフトウェアやサービスの利用時には、情報漏えいを防ぐために本人認証が欠かせません。

本人認証のしくみとして、より高いセキュリティの実現が期待できるものに多要素認証があります。この記事では、多要素認証についての具体的な説明や、どんなメリットがあるのかを解説します。

多要素認証とは

多要素認証とは、ソフトウェアやサービスなどへログインする際に、知識情報・所持情報・生体情報の中から、2つ以上の要素を使って行う認証のことを指します。

多要素から認証することにより、セキュリティの安全性を高めてくれる認証方法です。

例えば現在は、スマートフォンなどのデバイスが手元に一台あれば、所持情報・生体情報を使った認証が可能であるなど、多要素認証を比較的手軽に取り入れられる状態になってきています。

知識情報とは

多要素認証に含まれる情報の内、知識情報とは、ユーザーしか知らないことを前提とした情報です。会員ID、パスワード、PIN番号、パターン認証、秘密の質問などを、システム利用時に入力することで認証します。

システム構築が比較的簡単なため普及率は高いものの、知識情報は情報漏えいやハッキングなどにより流出してしまう恐れがあるデメリットが存在します。

所持情報

所持情報とは、本人しか持っていない所持品を通じた情報です。運転免許証や保険証などの身分証明書や、ICカードを使って認証します。また、スマートフォンやタブレットも所持情報を使った認証に使われています。

ネットバンキングなどで利用されているワンタイムパスワードや、ボイスコールも所持情報に分類される認証方法です。

生体情報

生体情報とは、ユーザーそれぞれの身体的な特徴の情報です。指紋、静脈、虹彩・網膜、顔などを認証に使用します。認証に際してユーザーの手間が少なく、安全性の高い認証方法です。

以前は、生体情報を読み取るための機器が高額で普及が進みにくいデメリットが存在していました。しかし、現在ではスマートフォンやPCなどの端末に生体情報認証の機器が標準搭載されるまでになっています。

利用者の生活に密接した技術になったことで、生体情報を使った認証の普及は格段に進んだのです。

多要素認証と二要素認証との違い

二要素認証は、情報要素の2種類を組み合わせて行う本人認証のことであり、多要素認証のひとつです。一般的に使用されやすいのは、パスワードなどの知識情報に、所持情報か生体要素を組み合わせる仕組みです。

ちなみに二段階認証は、二要素認証とは違います。二段階認証は認証の段階が2つあれば、使用される情報の要素がたとえ1つだけであっても、二段階認証と呼ばれます。

例えば、パスワードでログインを行ったあと「秘密の質問」などの答えを入力する認証方法。これは両方とも「知識情報」を用いており、ひとつの要素の認証段階を2回繰り返すため、二段階認証なのです。

多要素認証のメリット

多要素認証を取り入れた場合どのようなメリットがあるか、代表的なメリットを2つご紹介します。

セキュリティの向上

セキュリティの向上は、多要素認証で挙げられる大きなメリットです。

パスワードなど、本人が管理している知識情報のみでログインできる状態だと安全性が低く、IDやパスワードが外部流出してしまう可能性があります。

所持情報や生体情報などの加えた多要素認証を活用することで、たとえパスワードが外部に漏れても、不正ログインから守ってくれるようになるのです。

利便性の向上

知識情報のみで二段階認証を行う際は、パスワードや秘密の質問などを覚えておかなければならない上、その都度入力しなければなりません。しかし、多要素認証を活用すると、指紋やカードをタッチすることで認証ができるようになります。

認証の安全性を守りつつ、簡単に認証するということが、多要素認証によって可能になるのです。

多要素認証の具体例

多要素認証は様々な場面で使用されており、身近な場面でも活躍しています。実際に活用されている具体例を2つ紹介します。

銀行のATM

銀行のATMは多要素認証の代表例です。所持情報であるキャッシュカードと、知識情報である暗証番号を用いて認証を行っています。多要素認証として、広く浸透している仕組みのひとつです。

ワンタイムパスワード

ワンタイムパスワードとは言葉の通り、1度しか使えないパスワードです。知識情報であるログインパスワードに加え、所持情報であるワンタイムパスワードを用いて認証を行います。

ワンタイムパスワードは、正当なパスワードとして適用されるために、有効時間内に入力操作しなければなりません。そのため、外部からのログイン者に不正を働く時間を与えず、安全性を高めてくれるのです。

クラウドサービスの発達・普及が進み、多くのことがインターネット上で行えるようになりました。重要な情報を守りながら安全に、便利なソフトウェア、サービスを使用し続けるために、多要素認証が必要とされます。これまで簡単な認証方法のみで済ませていたような場合でも、今後は多要素認証の導入も検討してみてください。

Ivantiではパスワードレス認証でセキュアな環境を実現するZSOもご用意しています。