ソフトウェアをアップデートするときに困惑したことはありますか? どこから始めるか、最初に何をすべきか分からない、または、過去に使用したマルウェア保護やその他のツールやプロセスが、まだ適切なセキュリティを提供しているかどうかが分からない、といった経験はありませんか? もしそうなら、会社を外側から観察して、ハッカーの気持ちになって考えてみましょう!

部外者にとって最も価値のあるものとは?

システムの安全確保とは、つまり、常識を用い、シンプルなリスク管理の原則を適用することです。まずは、価値と標的についてお話しましょう。

ご自身に問いかけてみてください。システムの中で、部外者の欲しがる、ビジネスで最も価値のある情報とは、何でしょうか? システム上に、攻撃者の欲しがる貴重な情報は、他にないでしょうか? ビジネスに重要なシステムの特定は簡単です。なぜなら、日々の業務に不可欠だからです。不可欠だからこそ、あなたもしっかりと監視しているはずです。私たちはハッカーを組織犯罪、競合他社、公共団体などと勝手に結びつけてしまい、重要な運用システムを優先的に保護しています。

しかし、見過ごしがちな他のシステムはどうでしょうか? たとえば、人事(HR)システムには全従業員の大切な個人データがあります。行き当たりばったりのハッカーなら、イントラネットにアクセスを試みても重要なシステムに侵入できないかもしれませんが、社会保障情報や生年月日などといった情報を、あまり保護されていない人事システムからは、盗み出せるかもしれません。組織のデータ資産を識別して優先順位を付けるときは、この点に注意してください。

ハッカーはどのようにアクセスを試みるのか?

貴重なデータを含む潜在的な標的に、優先順位を付ける場合、ハッカーがどのようにアクセスを試みるのか調べる必要があります。ベライゾンの2018年度データ漏洩/侵害調査報告書(DBIR)によると、セキュリティリンクの中で最も脆弱なのは、いまだに従業員でした。「フィッシングとプリテキスティングは社会的事件の98%を、違反行為の93%を占めます。データの送信手段としては、電子メールが最も一般的です(96%)。」

幸い、DBIRによると、添付ファイルを開いたり、疑わしいウェブサイトのリンクをクリックしたりすることの危険性に、多くの人が気づいており、この攻撃の犠牲者は今後、増加しないとのことです。ところが、やっかいなことは、クリックしたりドアを開けたりするのは、従業員1人で十分だということです。

そこでハッカーの気持ちになって考えてみましょう。もしあなたがハッカーなら、本物らしいウェブサイトや、従業員が開きたくなるEメールの添付ファイルを作ろうと思うのではないでしょうか。これに対処するには、従業員のセキュリティ意識向上トレーニングの継続に加えて、これらの攻撃の手段が制限されているか確認しておく必要があります。ウェブブラウザやFlashなど、インターネットに直面しているコンポーネントを最新バージョンに更新し、既知の脆弱性に対して必ず対策をしましょう。そして、Eメールの脅威に対処するには、スパムブロックとマルウェア検出を適切にできるように備えてください。

ただ、ハッカーは、あなたのイントラネット上にマルウェアを仕込む可能性もあります。好奇心の強い従業員を介しての侵入や、ファイヤーウォールで見つかったセキュリティホールに直接ネットワーク攻撃をして侵入することがあります。

では、どう対処すればよいのでしょうか?

ここで再度ベライゾンの2018年度DBIRを参照してください。「第1段階」のマルウェア、すなわち、最初にシステムへの不正アクセスに使用されるマルウェアに共通するファイルタイプは、JavaScript(.js)が37.2%、Visual Basic Script(.vbs)が20.8%、MS Officeが14.8%、PDFが3.3%でした。通常、第2段階のマルウェアは、一種の実行可能ファイルですが、第1段階のマルウェアの機能に基づくものであれば何でも構いません。この時点では何をすべきか分かりにくいかもしれません。

ハッカーの気持ちになって考えてみましょう。私のマルウェアは、パスワードファイルの不正取得、ファイヤーウォールの突破、ファイル内のキーワード検索、身代金のためのファイル暗号化、ログファイルの削除などを試みます。管理者がこれらの攻撃と戦うように指示を受けていた場合、多方向からアプローチを取る必要もあるでしょう。

まず始めに、ブラウザで行ったのと同じように、アプリケーションやJavaなどのソフトウェアアドオンが最新のものか確認してください。マルウェアは既知の脆弱性を悪用しているので、一部に対しては有効です。次に、組織内での権限を最小限にしてください。ほとんどのマルウェア侵入は、中に招き入れてしまうユーザーの権限が原因とされています。マルウェアは管理者権限で実行されていないとできることが限られます。最後に、不明なアプリケーションや、無許可のアプリケーションの実行を検知したり、防いだりできるセキュリティソフトウェアの導入を検討してください。これは多くの企業にとって大きなステップアップになることがあります。しかし、マルウェアから攻撃される前にアプリケーションコントロールを追加することで、マルウェアの攻撃を防ぐことができます。

ハッカーの視点を活用しよう

ハッカーの気持ちになって考えると、実装および実行されている現状のセキュリティについて、異なる視点を得られます。私がここに示した基本的なアイデアよりも、もっと多くのことに気づくことができるでしょう。あなたはセキュリティプログラムの検証をするかもしれませんし、別のことを推進するかもしれません。新しい視点で現状に挑戦し、「今までずっとやってきたこと」に対して抗うことを忘れないでください。ちなみに、この議論の中でご説明できたと思いますが、多層防御にもそれなりのメリットがあることを覚えておいてください。

Ivanti Endpoint Securityソリューションが、あなたの組織に提供できることについて、是非ご一考ください。