“The Cyberattacker’s Path of Least Resistance is Shifting: Here’s How You Must Adapt” May 11, 2021 by Morey J. Haberより
在宅ワーク(WFH)時代における動く標的に対応するデータ保護
企業のデータや資産への攻撃として最も楽な道(POLR, path of least resistance)は変わりつつあり、それに伴って、私たちのITリスク管理の計算方法や保護についての優先順位も変わらねばなりません。ここでいう保護とは、物理的なセキュリティと同様にサイバーセキュリティ技術も含みます。
このブログでは、攻撃の対象領域がどう変化しているか、そのことによって、なぜ攻撃者にとって悪用する弱点(最も楽な方法)が変化しつつあるのか、物理的なセキュリティとサイバーセキュリティに伴う見直しはどうなるのか、そして個人ID情報やデータ、企業の資産を保護するためのベストプラクティスはどのように進化しているか、といったことについて探ります。
物理的&サイバーセキュリティと攻撃経路を理解する
企業環境における物理的なセキュリティは堅牢になる傾向です。キーカードや生体認証によるドアのロック、守衛を置いた門、防犯カメラのシステムなどがその例です。多くの攻撃者にとって、こうした環境は侵入-とりわけ見つからずに侵入すること―に非常に大きな労力を必要とします。なるほど、とても行き来の多い環境で、攻撃者が入りこめる-親切で疑うことを知らない従業員がドアを抑えておいてくれたり、あるいはキーカードや生体認証でドアが開かれたときにすばやく従業員の後について滑りこんだり、といった方法で-アクセスできる環境もあるでしょう。しかし、企業の事務所内に入った後も、侵入者がシステムやデータにアクセスするためにはいくつもの物理上・サイバー上の制限があるのがふつうで、その間に、人間の目に触れたり監視に引っかかったりします。サイバー犯罪を行おうと狙う悪意の侵入者でも、多くの人の目-人間でも監視デバイスなどの機械でも-が注がれている企業の事務所にいるときは、用心深くなり、不正な行為を行うのをためらいます。また、物理的なセキュリティ侵入テストは、問題箇所の可能性を明らかにするのに効果があり、是正のためのはっきりした道筋を提示し、将来的に物理的セキュリティを強化するのに役立っています。
ただ、リモートアクセスの場合は、あらゆる物理的な制御を回避して、脅威の実行者に対してデータへの直接のアクセスを与える可能性があります。過去10年以上、ほとんどのITセキュリティ違反は、リモートで行われています。リモートアクセスは、脅威の実行者が求めている身元証明やアクセス、データなどへの最も楽な道なのです。オンプレミスで行われたわずかなデータ漏洩には、通常は何らかの形の内部脅威と、重要なシステムやデータへの直接アクセスが関与していました。ただここでも、この後者のオンプレミスの漏洩事件は統計上、数少ないものです。そういうわけで、モバイルデバイスの脅威が増加しており、増え続けるデータ漏洩の多くを占めるようになり、特に医療業界ではこれが顕著です。
一般的に、企業環境では物理的なセキュリティが働いており、近年では最も楽な道はサイバーセキュリティ制御になっています。漏洩データを細かく分割すれば、最も明白なセキュリティの不備は、パスワード管理、特権身元証明やアクセスやリモートアクセスの保護にまつわるものであることがわかるでしょう。
なぜ、新たな「最も楽な道」はサイバー攻撃者の計画、攻撃戦略方法を変えているか
では、「新しい日常」が生まれた今、特に変わったのは何か、そしてその結果、リスク管理者とセキュリティ担当者はどう考えを改めなければならないのでしょうか。その答えはあらゆるCISOやITセキュリティの専門家にとって興味深いもので、次のような3つの部分から成ると考えられます。
1.より多くの従業員やベンダーが在宅で働くようになり、デジタル革命が加速し、クラウドの存在が大きくなっている今、上で挙げたようなサイバーセキュリティ上の不備(安全でないリモートアクセス、管理されていない特権や資格情報が野放しになっていることなど)はますます拡大するばかりです。特に、特権管理とリモートアクセスの経路の欠陥は広がり続けています。昨今の攻撃(マルウェアやハッカーなど)は、実行にも、そもそも環境に侵入するにも、ある組織のシステム内で水平方向に移動するにも、ほぼ全てに特権が必要です。人間と機械の特権-組織にとって長くセキュリティの弱点である-は、クラウドや仮想環境、IoTのおかげで多くの必要場面で特権が作られている状況では、これを見つけたり制御したりするのは大変なことです。リモートで作業をする人も、やはり複雑に絡み合った多くのリスクを生みます。そうした人はふつう、安全ではないWi-Fiネットワークを使ったり、ときには適切な強化が行われていない個人用のデバイス(BYOD)を使って作業することもあります。ときには、こうしたデバイスを家庭内で共有することすらあるのです。最近、組織はVPNやRDPといったツールを、安全で適正な利用状況を超えた範囲まで日常的に拡張して使っています。たとえば、VPNは従業員用であってもベンダー用であっても、個人用デバイスではけっして使ってはならず、特権セッションに必要なきめ細かいアクセス制御を行うことはできません。そして、RDPの誤った使い方は、いまやランサムウェアの攻撃ベクトルのトップになっています。McAfeeの報告によれば、2020年第1四半期、インターネット上にあるRDPポートは50%も増加し、別の調査では、2020年に起こった全てのランサム攻撃の52%が、一般にアクセス可能なRDPサーバを利用して最初のアクセスを得ていたことがわかっているのです!ランサムウェア攻撃自体、2020年を通じて150%の増加となっています。VPNもRDPもそれぞれの役割がありますが、正しいリモートアクセスの使用法のための正しい技術を適用せず、無造作に流用されていることがあまりにも多く、攻撃者はこうした欠陥を見逃さず悪用しようとします。すべてのリモートアクセスのセッションは何らかの形で特権をもったリモートアクセスであり、適正な制御と可視性と監査を必要とするものです。
2.今、物理的なセキュリティの脅威も高まっています。ただし、これはオフィスの環境やサーバルームなどに関するものではなく、重要なデータにアクセスしてこれを保存し、日常的に特権行為を実行することが多いリモートのエンドポイントに関するものです。こうしたデバイス-ラップトップやスマートフォンやタブレットなどなど-は、同居人と共有している家庭内にある可能性もあります。こうしたエンドポイントは盗難の多い地域にある可能性もあります。そして、こうしたデバイスの多くが、仕事のために使われる個人用デバイス(BYOD)である可能性もあります。つまり、企業のオフィスやサーバルームで行われているような物理的なセキュリティや監視などが行われていないことが多い場所にあるのに加え、デバイスそのものにも、適切な強化や他の基本的なセキュリティ保護が施されていないことが多いのです。もちろん、モバイル(スマートフォン、ラップトップなど)の盗難やBYODのリスクは10年以上前から存在していましたが、最近ではその規模が何倍にも膨れ上がっているのです。攻撃者は今、ある従業員の企業用デバイスがその自宅にあるだろうと推測することができます。単に価値あるものを求める月並みな窃盗でデバイスを盗まれるということも多い反面、国家規模の、または組織的な脅威集団が、サイバースパイ活動の一環として特権ユーザの家を狙うという可能性も現実としてあるのです。簡単に言えば、価値の高い標的があり、企業の物理的セキュリティが高く、サイバーセキュリティの制御が中程度から高度であれば、リモートの従業員の住居にある物理セキュリティの不備を悪用するのが、少なくとも脅威の実行者の考えによれば最も楽な道でしょう。ほぼ間違いなく言えるのは、あるデバイスに物理的にアクセスできる方法があるなら、ほとんどのセキュリティ制御が回避されてしまうのは、時間やツールや忍耐力の問題です。悪意をもった内部者がラップトップにアクセスできたり、デバイスが誰かの住居から盗まれたりすれば、そのデバイスを逆アセンブルしてハードドライブのような重要なコンポーネントを外し、ときには悪意のハードウェアを追加したりすることを止めることはできません。社員がオフィスで自分のラップトップを逆アセンブルするのを目にすることはまずないでしょう。でも、もしその社員が家にいれば、その仕事部屋を通りかかる人はいないし、この種のデバイス改ざんを防ぐため、物理的なオフィスのセキュリティ制御を強化する手段もないのです。
このブログでは上記の1番と2番に注目してほしいと思っていますが、次の3番目の領域にも、少なくとも簡潔に触れておくべきでしょう。
3.長く続いている傾向として、企業環境の物理的なセキュリティは、これまでと比べてやや重要性を欠いています。こう思われるのは、多くの作業や計算インスタンス、データなどがサードパーティのクラウドプロバイダがサイト外でホストされるようになり、重要なデータがオンプレミスにあることが減っているからです。安全性が高い施設にクラウドサーバがあれば、ほとんどの組織はこれまでよりずっと、サーバを物理的に安全に保てるようになります。この全体的な短期予測を覆しかねない興味深い要素が1つあるとすれば、もちろんそれは、最近のオフィスで広がっているマスクです。コロナウイルスの恐怖が我々を脅かし続けているため、マスクの着用は長引いています。多くの社員がマスクを着けている状況では、環境の中に脅威の実行者が紛れ込み、違法な行為を遂行しながら、監視カメラや顔認証ソリューションといった視覚監視システムを回避することができるようになるかもしれません。さらに、ソーシャルディスタンスという考え方が社員の脳や心理に新たに浸透したため、COVID-19の流行前よりも他人と距離を保ち、疑わしい行動を質そうとすることも少なくなっています。