CISO Insider: 第 3 号
CISO Insider シリーズの第 3 号へようこそ。Microsoft Defender および Sentinel のエンジニアリング チームを統率する Rob Lefferts です。同じ仕事に携わる人々とのディスカッションから得た知見、そしてサイバーセキュリティの最前線で取り組む当社の研究と経験から得た知見を共有するために、1 年ほど前からこのシリーズを開始しました。
第 1 号と第 2 号では、ランサムウェアなどの増大する脅威と、セキュリティ部門のリーダーが自動化とスキルアップの機会を利用して、人材が不足するなか、こうした脅威にどのように効果的に対応しているかについて取り上げました。経済の先行きが不透明な今、CISO は効率的に運営するというさらなるプレッシャーに直面し、多くの CISO はクラウドベースのソリューションと統合マネージド セキュリティ サービスを使用して最適化することを模索しています。今号では、組織がますますクラウド中心のモデルに移行し、オンプレミス システムから IoT デバイスに至るまで、そのデジタル資産のあらゆるものを移行するなかで、これからのセキュリティの優先事項について取り上げます。
パブリック クラウドは、強力な基礎セキュリティ、コスト効率、スケーラブルなコンピューティングという 3 つのメリットをもたらし、予算が逼迫する今、重要なリソースとなっています。しかし、このトリプル プレーでは、パブリック クラウド、プライベート クラウド、オンプレミスのシステムの間のつながりにおいて、"ギャップに注意する" 必要が出てきています。ネットワークに接続されたデバイス、エンドポイント、アプリ、クラウドと、マネージド サービスの間の境界スペースで、セキュリティを管理するためにセキュリティ部門のリーダーがどのような取り組みを行っているかを見ていきます。最後に、このセキュリティの課題において最も上位に挙げられる 2 つのテクノロジとして、IoT と OT について説明します。一方は新しく、もう一方は従来から使用されているこの 2 つの対極にあるテクノロジは、どちらも適切なセキュリティが組み込まれていないままネットワークに導入されています。この 2 つの融合により、攻撃に脆弱な穴だらけのエッジが生じています。
第 3 号では、以下の 3 つのクラウド中心のセキュリティの優先事項について見ていきます。
クラウドは安全だが、クラウド環境を安全に管理できているか。
包括的な態勢管理は、可視性に始まり、優先度を設定したリスク管理に終わる。
加速するクラウドの導入を受けて、サービス、エンドポイント、アプリ、デバイスが急増しています。CISO は、重要なクラウド接続ポイントを管理するための戦略に加えて、拡大しつつあるデジタルの専有領域の可視性を向上させて調整する必要性、つまり、包括的な態勢管理の必要性を認識しつつあります。セキュリティ部門のリーダーが攻撃の防止 (うまくいっている限り、これが今でも最善の防御です) から、資産のインベントリ化やビジネス リスクのモデル化、そして言うまでもなく、ID およびアクセス管理に役立つ包括的な態勢管理ツールによるリスク管理へとアプローチをどのように拡張しているかを取り上げます。
ゼロ トラストと衛生対策を活用して、無秩序に多様化し、ハイパーネットワーク化した IoT と OT の環境を管理する。
接続された IoT および OT デバイスの急増により、特にクラウドネイティブ、サードバーティ ツール、ネットワーク用に改良された従来の機器の融合であるテクノロジを調整する難しさから、セキュリティの課題が常に発生しています。2025 年までに保護対象となる世界中の IoT デバイスの数は 416 億に達すると予測され、これらのデバイスをサイバー攻撃のエントリ ポイントとして悪用する攻撃者にとって攻撃面が拡大します。こうしたデバイスは、ネットワークで脆弱性のポイントとしてターゲットにされる傾向があります。これらのデバイスは、セキュリティ チームからの明確な指示を受けずにアドホックに導入されて IT ネットワークに接続されている場合や、基礎セキュリティを備えずにサードパーティによって開発されている場合、独自のプロトコルや可用性の要件などの問題により、セキュリティ チームによって適切に管理されていない場合があります (OT)。このギャップだらけのエッジに対応するために、どれだけの IT リーダーが IoT/OT セキュリティ戦略を進化させているかをご覧ください。
クラウドは安全だが、クラウド環境を安全に管理できているか。
人材が不足し、予算が逼迫している今、クラウドは、コスト効率、無限にスケーラブルなリソース、最先端のツール、そしてほとんどのセキュリティ部門のリーダーがオンプレミスで実現できるよりも信頼できると見なすデータ保護など、多くのメリットをもたらします。CISO はかつて、クラウド リソースをリスク露出の増大とコスト効率の向上の間のトレードオフと見なしていましたが、現在やり取りしている多くのセキュリティ部門のリーダーは、クラウドをニュー ノーマルとして採用しています。彼らは、クラウド テクノロジの強力な基礎セキュリティを信頼しており、ある CISO は次のように語っています。「クラウド サービス プロバイダーは、その ID およびアクセス管理、システム セキュリティ、および物理的なセキュリティに関して、しっかりと対応していると思います」。
しかし、ほとんどのセキュリティ部門のリーダーが認識しているように、クラウドの基礎セキュリティは、データの安全を保証していません。クラウド上のデータの保護は、クラウド サービスがオンプレミス システムや自社開発テクノロジと共にどのように実装されているかに大きく依存します。リスクは、クラウドと、クラウドのセキュリティ保護に使用される従来の組織境界やポリシー、テクノロジとの間のギャップにおいて生じます。構成の誤りが生じると、多くの場合、組織はリスクにさらされ、ギャップを特定して埋めるためにセキュリティ チームに依存することになります。
「非常に多くの侵害の原因は、構成の誤りによるものです。だれかが何かをうっかり誤って構成したり、何らかの構成を変更したりしてデータ漏えいを招いてしまいます」。
2023 年までに、クラウド セキュリティ侵害の 75 パーセントは ID、アクセス、権限の不適切な管理によって引き起こされるようになり、2020 年の 50 パーセントから増加すると予測されています (構成ミスと脆弱性はクラウドセキュリティにおける最大のリスク: レポート | CSO オンライン)。この課題は、クラウド自体のセキュリティではなく、アクセスのセキュリティ保護のために使用されるポリシーやコントロールにあります。ある金融サービス企業の CISO は次のように述べています。「クラウド セキュリティは、適切にデプロイされていれば非常に効果的です。クラウド自体とそのコンポーネントは安全です。しかし、構成を始めると、コードの記述は適切か、会社全体にコネクタを正しく設定しているか、といった疑問が生じます」。また、別のセキュリティ リーダーはこの課題について次のように指摘します。「これらのクラウド サービスの構成の誤りにより、サービスを脅威アクターにさらすことになります」。より多くのセキュリティ部門のリーダーがクラウド構成の誤りのリスクについて認識するにつれ、クラウド セキュリティに関する会話は、「クラウドは安全か」というものから、「クラウドを安全に使用しているか」というものに変わりました。
クラウドを安全に使用するとは、どういう意味でしょうか。私がやり取りしている多くのリーダーは、クラウド セキュリティ戦略に一から取り組み、ID 侵害や構成の誤りなどのリスクに組織をさらす人的エラーに対処しています。これは、私たちが推奨する内容とも一致します。それは、すべてのクラウド セキュリティ戦略において、ID をセキュリティ保護し、そのアクセスを適応的に管理することが絶対に不可欠であるということです。
まだ迷っている人には、こちらのレポートが役に立つかもしれません。McAfee は、露出したレコードの 70 パーセント (54 億件) がサービスやポータルの構成の誤りが原因でセキュリティ侵害を受けたと報告しています。ID 制御によってアクセスを管理し、強力なセキュリティ衛生対策を実装すると、このギャップを埋めるのに非常に役立ちます。同様に、McAfee の報告によると、露出したレコードの 70 パーセント (54 億件) がサービスやポータルの構成の誤りが原因でセキュリティ侵害を受けています。ID 制御によってアクセスを管理し、強力なセキュリティ衛生対策を実装すると、このギャップを埋めるのに非常に役立ちます。
堅牢なクラウド セキュリティ戦略には、次のベスト プラクティスが含まれます。
1. エンド ツー エンドのクラウドネイティブ アプリケーション保護プラットフォーム (CNAPP) 戦略を実装する。ばらばらのツールでセキュリティを管理すると、保護に死角が生まれ、コストが高くなるおそれがあります。クラウドにコードからセキュリティを埋め込むことができる、オールインワンのプラットフォームを使用することは、全体的なクラウド攻撃面を縮小し、脅威保護を自動化するうえで非常に重要です。CNAPP 戦略には、次のベスト プラクティスが含まれます。
Microsoft Defender for Cloud で提供されているようなクラウドネイティブ アプリケーション保護プラットフォームは、マルチクラウド リソース全体の可視性を提供するだけでなく、脅威を監視して SIEM と統合されているインシデントにアラートを関連付けながら、環境のすべての層を保護します。これにより、調査が効率化され、SOC チームはクロスプラットフォーム アラートに先回りして対応できるようになります。
ID と構成の誤りのギャップを埋めるための少しの防御と、攻撃に対応するための堅牢なツールを組み合わせて使用すると、企業ネットワークからクラウド サービスに至るまで、クラウド環境全体をセキュリティ保護するうえで非常に効果があります。
包括的な態勢管理は、可視性に始まり、優先度を設定したリスク管理に終わる。
クラウド中心の IT への移行により、組織は実装のギャップにさらされるだけでなく、ネットワークに接続されたデバイス、アプリ、エンドポイントなどの一連の資産の急増、そして露出したクラウドのワークロードの問題も抱えることになります。セキュリティ部門のリーダーは、可視性と優先度が設定された応答を提供するテクノロジを使用して、この境界のない環境で自社の態勢を管理しています。これらのツールは、組織のネットワークの内外にあるマネージド デバイスとアンマネージド デバイスにわたって、組織が攻撃面全体をカバーする資産のインベントリをマップできるようにします。CISO は、これらのリソースを使用して、各資産のセキュリティ態勢とビジネスにおけるその役割を評価し、優先度付きリスク モデルを開発します。
セキュリティ部門のリーダーとのやり取りでは、境界に基づくセキュリティから、境界のないエコシステムを採用するセキュリティ態勢ベースのアプローチへの進化が見られます。
ある CISO は次のように述べています。「私にとって、態勢は ID にまで適用されるものです。境界がある従来の古い態勢として見るのではなく、態勢をエンドポイントまで移動して適用させています」。(水道事業、従業員数 1,390 人)。あるフィンテック企業の CISO は「ID は新たな境界になっています」と述べ、こう問いかけます。「外部と内部の境界がないこの新しいモデルで ID は何を意味するのでしょうか」。(フィンテック、従業員数 15,000 人)。
この穴だらけの環境を考慮して、CISO は包括的な態勢管理の配置が急務であることを認識していますが、多くの CISO は、このビジョンを実践するためのリソースとデジタル成熟が自社に備わっているかを懸念しています。幸い、業界での実績のあるフレームワーク (今日のニーズに合わせて更新済み) とセキュリティ イノベーションを組み合わせることで、包括的な態勢管理はほとんどの組織にとって実現可能になっています。
資産のインベントリを実行できるツールをサイバー インフラストラクチャに導入します。次に、どれがクリティカルで、どれが組織にとって最大のリスクがあるかを検討し、これらのデバイスの潜在的な脆弱性を把握して、これが許容できるかどうか、パッチを適用したり隔離したりする必要があるかどうかを判断します。
セキュリティ部門のリーダーがオープンエンドなクラウド中心の環境で態勢を管理するために使用しているベスト プラクティスとツールをいくつか紹介します。
可視性は、総合的な態勢管理の最初のステップです。CISO は、「最初のステップとして、資産をすべて把握しているだろうか」 「管理を開始する前に、そもそも可視性があるだろうか」と自問します。リスク資産のインベントリには、ネットワークやアプリケーション、データベース、サーバー、クラウド資産、IoT 資産、およびこのデジタル インフラストラクチャに格納されているデータや知的財産が含まれます。Microsoft 365 や Azure などのほとんどのプラットフォームには、管理を開始するのに役立つ資産インベントリ ツールが組み込まれています。
包括的な資産インベントリを組織で用意したら、内部の脆弱性と外部の脅威の両方に関して、リスクを分析できるようになります。このステップは、コンテキストに大きく依存し、組織ごとに固有です。信頼できるリスク評価の実施は、セキュリティ チーム、IT チーム、データ チームの強力な連携にかかっています。この部門の枠を越えたチームでは、自動化されたリスク スコアリングと優先度付けツールを分析で利用します。たとえば、Microsoft Entra ID、Microsoft Defender XDR、Microsoft 365 にはリスクの優先度付けツールが統合されています。自動化されたリスク スコアリングと優先度付けテクノロジには、ギャップを埋めるためのエキスパートのガイダンスおよび効果的な脅威対応のためのコンテキスト情報が組み込まれている場合もあります。
リスクの状況を明確に理解することで、技術チームはビジネス リーダーと協力して、ビジネス ニーズに対してセキュリティの介入を優先します。各資産の役割、ビジネスへの価値、侵害された場合のビジネスへのリスクを考慮し、「この情報の機密度は? 漏えいした場合のビジネスへの影響は?」や 「これらのシステムはミッション クリティカルか? ダウンタイムによるビジネスへの影響は?」といった項目に回答していきます。Microsoft では、Microsoft セキュア スコア、Microsoft コンプライアンス スコア、Azure セキュア スコア、Microsoft Defender 外部攻撃面管理、Microsoft Defender 脆弱性の管理など、ビジネス リスク モデリングに従って脆弱性の包括的な特定および優先度付けをサポートするツールを提供しています。
資産インベントリ、リスク分析、ビジネス リスク モデルにより、包括的な態勢管理の基礎が形成されます。この可視性と分析情報により、セキュリティ チームはリソースの最適な割り当て方法、適用する必要がある強化策、リスクとネットワークの各セグメントの使いやすさとの間のトレードオフを最適化する方法を判断できます。
態勢管理ソリューションでは、可視性と脆弱性分析が提供され、組織が態勢を改善するために重点的に取り組むべき領域を把握するのに役立ちます。この分析情報により、組織は攻撃面における重要な領域を特定して優先することができます。
ゼロ トラストと衛生対策を活用して、無秩序に多様化し、ハイパーネットワーク化された IoT と OT の環境を管理する
これまで説明してきたクラウド実装のギャップとクラウドに接続されたデバイスの急増という 2 つの課題により、IoT および OT のデバイス環境には非常に大きなリスクが生じています。IoT および OT デバイスによって拡大した攻撃面に内在するリスクに加えて、セキュリティ部門のリーダーからは、新しい IoT 戦略と従来の OT 戦略を合理的に融合しようとしているとの声が聞かれます。IoT はクラウドネイティブでも、これらのデバイスでは基礎セキュリティよりもビジネス上の便宜が優先されることが多々あります。一方、OT は最新のセキュリティを備えずに開発された、ベンダーが管理する従来の機器であることが多く、組織の IT ネットワークにアドホックに導入されました。
IoT および OT デバイスは、組織がワークスペースを最新化し、よりデータ主導になり、リモート管理や自動化などへの戦略的な移行によりスタッフへの負荷を緩和します。International Data Corporation (IDC) は、接続された IoT デバイスの数は 2025 年までに416 億に達っすると予測しており、その成長率は従来の IT デバイスの成長率を上回るものです。
しかし、こうした状況は重大なリスクをもたらします。2022 年 12 月に発行された Cyber Signals レポートの「 IT と オペレーショナル テクノロジの融合」では、これらのテクノロジによって重要なインフラストラクチャにもたらされるリスクについて取り上げています。
重要な知見:
1. 顧客の OT ネットワーク内にある最も一般的な産業用コントローラーの 75% にはパッチが未適用で、重大度の高い脆弱性がある。
2. 2020 年から 2022 年の間に、一般的なベンダーによって製造された産業用制御機器において重大度の高い脆弱性の漏えいが 78% 増加した。
3. インターネット上で公開されている多くのデバイスはサポートされていないソフトウェアで実行されている。たとえば、古いソフトウェアである Boa は依然として IoT デバイスやソフトウェア開発キット (SDK) で広く使用されています。
IoT デバイスは、デジタル資産における最も弱いリンクになりがちです。従来のデバイスと異なり、管理されず、更新もパッチの適用もされていないため、IT ネットワークに侵入しようとする攻撃者にとってうってつけのゲートウェイになってしまいます。IoT デバイスは、いったんアクセスされると、リモート コード実行に対して脆弱になります。攻撃者によって制御されると、脆弱性を悪用して IoT デバイスにボットネットやマルウェアを埋め込まれるおそれがあります。その時点で、デバイスはネットワーク全体に対する開かれたドアとして機能します。
オペレーショナル テクノロジ デバイスの多くは、組織の運営にとって重要であるため、さらに重大なリスクをもたらします。これまではオフラインであり、企業の IT ネットワークから物理的に孤立していた OT ネットワークは、IT システムと IoT システムとますます統合されています。2021 年 11 月に Ponemon Institute が実施した調査「 企業の IoT/OT サイバーセキュリティの状態」により、現在、半数を超える OT ネットワークが企業 IT (ビジネス) ネットワークに接続されていることが明らかになっています。この割合とほぼ同等の 56 パーセントの企業では、リモート アクセスなどのシナリオに備えて、OT ネットワーク上にインターネットに接続されたデバイスがあります。
OT の接続は、攻撃されると、深刻な中断とダウンタイムのリスクを組織にもたらします。OT はビジネスの中核であることが多く、攻撃者にとっては悪用して甚大な被害を引き起こすことができる魅力的なターゲットになります。利用されなくなった機器やセキュリティを念頭において設計されていないレガシの機器が含まれているため、デバイス自体が簡単にターゲットとなります。こうした機器は、最新のセキュリティ慣行が適用される前から存在し、標準的な IT 監視ツールによって可視化されない独自のプロトコルを持つ場合があります。攻撃者は、インターネットに公開されたシステムを見つけて、従業員のログイン資格情報を介してアクセスしたり、サードパーティのサプライヤーや請負業者に付与されたアクセス権を使って、こうしたテクノロジを悪用する傾向があります。監視されていない ICS プロトコルは、OT 固有の攻撃でよく使われるエントリ ポイントの 1 つです (Microsoft デジタル防衛レポート 2022).。
IT ネットワークに異なる方法で接続されたさまざまなデバイスが混在する環境全体で IoT と OT のセキュリティ管理に固有の課題に対応するために、セキュリティ部門のリーダーは、以下のベスト プラクティスに従っています。
ネットワーク内のすべての資産、それらすべてがどのように相互接続されているか、各接続ポイントで生じるビジネス リスクと露出について理解することが、効果的な IoT/OT 管理における重要な基礎となります。また、IoT および OT 対応のネットワーク検出と応答 (NDR) ソリューションと Microsoft Sentinel などの SIEM を利用すると、ネットワーク上の IoT/OT デバイスを詳しく可視化し、見慣れないホストとの通信などの通常とは異なる動作がないか監視するのにも役立ちます。(OT での露出した ICS プロトコルの管理の詳細については、 Microsoft Security の「IOT デバイス固有のセキュリティ リスク」をご覧ください)。
可能な限りネットワークをセグメント化し、攻撃時の横移動を阻止します。IoT デバイスと OT ネットワークをエアギャップするか、ファイアウォールによって会社の IT ネットワークから隔離する必要があります。とはいえ、OT と IT が融合していると見なし、攻撃面全体にゼロ トラスト プロトコルを構築することも重要です。ネットワークのセグメント化は現実的ではなくなりつつあります。たとえば、医療、公益事業、製造業などの規制対象組織では、OT と IT の接続はビジネス機能の中核です。電子医療記録 (EHR) システムに接続されているマンモグラフィ装置やスマート MRI、リモート監視を必要とするスマート製造ラインや浄水装置などが例として挙げられます。これらのケースでは、ゼロ トラストは不可欠です。
セキュリティ チームは、以下のような基本的な衛生対策を使用して、ギャップを埋めることができます。
- 不要なインターネット接続やオープン ポートの排除、リモート アクセスの制限または拒否、VPN サービスの使用
- パッチの適用によるデバイスのセキュリティ管理、既定のパスワードとポートの変更
- ICS プロトコルがインターネットに直接公開されていないことを確認
このレベルの分析情報と管理を実現する方法に関する実践的なガイダンスについては、 Microsoft Security Insider の「IoT/OT デバイス固有のリスク」を参照してください。
アクションにつながる分析情報
1. IoT/OT 対応のネットワーク検出と応答 (NDR) ソリューション、およびセキュリティ情報イベント管理 (SIEM)/セキュリティ オーケストレーションと応答 (SOAR) ソリューションを使用して、ネットワーク上の IoT/OT デバイスを詳しく可視化し、通常とは異なる、または未承認の動作 (見慣れないホストとの通信など) がないかデバイスを監視する
2. エンドポイントでの検出と対応 (EDR) ソリューションを使用して監視することで、エンジニアリング ステーションを保護する
3. 不要なインターネット接続やオープン ポートの排除、ポートのブロックによるリモート アクセスの制限、リモート アクセスの拒否、VPN サービスの使用により、攻撃面を縮小する
4. ICS プロトコルが直接インターネットに公開されていないことを確認する
5. ネットワークをセグメント化し、攻撃者が最初の侵入後に自由に横方向に移動して資産に不正アクセスできないようにする。IoT デバイスと OT ネットワークは、ファイアウォールによって会社の IT ネットワークから隔離する必要がある
6. パッチの適用、既定のパスワードとポートの変更により、デバイスの堅牢性を確保する
7. OT と IT が融合されているとみなし、攻撃面にゼロ トラスト プロトコルを構築する
8. 可視性を高めてチームの統合を促進し、OT と IT 間の組織の認識をそろえる
9. 基本的な脅威インテリジェンスに基づいた IoT/OT セキュリティのベスト プラクティスに常に従う
増大する脅威と、より少ないリソースでより多くのことを実現するというプレッシャーにさらされるなか、セキュリティ部門のリーダーたちがデジタル資産を合理化する機会をつかむにつれ、クラウドは、現代のセキュリティ戦略の基盤として台頭しつつあります。これまで見てきたように、クラウド中心のアプローチの利点はそのリスクを大幅に上回ります。これは特に、堅牢なクラウド セキュリティ戦略、包括的な態勢管理、IoT/OT エッジでのギャップの埋める特定の手法を採用する組織で顕著です。
このレベルの分析情報と管理を実現する方法に関する実践的なガイダンスについては、 Microsoft Security Insider の「IoT/OT デバイス固有のリスク」を参照してください。
引用されているすべての Microsoft による調査では、独立した調査会社を起用し、定量的調査と定性的調査の両方についてセキュリティ専門家が関与し、プライバシー保護と分析の厳密性を確保しています。このドキュメントに含まれる引用および調査結果は、特に明記されていない限り、Microsoft による調査研究の結果です。
Microsoft Security をフォロー