重要資産の防御：ACSCによる新しいエッジセキュリティガイダンス

Rodman Ramezanian 著 - Skyhigh Security グローバルクラウド脅威リード

2024年10月22日 3 分で読めます

Skyhigh Securityのサイバーセキュリティ専門家として、また国家の重要資産を守ることに専念する技術者として、私は長年にわたり、脅威アクターがインターネットに面したエッジデバイス、つまり企業ネットワークをより広範なデジタル世界に接続する重要なゲートウェイを探索し、悪用する様子を見てきました。だからこそ、私はこれらの重要なインフラコンポーネントを保護するためのオーストラリアサイバーセキュリティセンター（ACSC）の最新のエッジセキュリティガイダンスを心から歓迎します。

タイミングはこれ以上ないほど適切です。次世代ファイアウォールからロードバランサー、VPNコンセントレーターに至るまで、エッジデバイスを標的とした高度な攻撃が前例のないほど急増しています。これらはもはや単なるネットワークコンポーネントではなく、ますます敵対的になるサイバー環境における第一線の防御です。侵害された場合、攻撃者にネットワークへの特権的な足がかりを与え、機密データや重要システムを危険にさらす可能性があります。

例えば、VPN技術の根本的な問題は、公開アクセスポイントを作成することにあります。これは、弱点を探索する攻撃者にとって常に標的となります。VPNを使用した認証（または悪用）が成功すると、ユーザーと攻撃者の両方がネットワークに侵入できます。高い潜在的報酬があるため、VPNは主要な標的であり続けています。過去、現在、そして未来の攻撃がこれを証明しています。つまり、利益をもたらすデータが、サイバー犯罪者にとって絶え間ない標的となっているのです。

そして、古い格言にあるように、「到達可能であれば、侵害可能である」のです。最近の脅威から何を学んだでしょうか？

• 内部脅威とソーシャルエンジニアリング：Lapsus$は、信頼された内部関係者とソーシャルエンジニアリングを悪用することで、エッジベースのリモートアクセス技術を悪用することの甚大な影響を示しました。
• ランサムウェア：*Qilin*、*Akira*、*Fog*のようなキャンペーンは、VPNと静的認証情報に依存するエッジベース技術を使用している組織を世界中で標的とし続けています。
• 脆弱性：Fortinet、Check Point、Ivantiなどのエッジデバイスにおける重大な欠陥とゼロデイ脆弱性は、組織を危険にさらし続けています。
• 標的型キャンペーン：攻撃者は、Cisco、Check PointなどのエッジベースのVPN技術を継続的に標的とし、盗まれた認証情報を使用してネットワークに侵入しています。

ACSCの最新ガイダンスが特に価値があるのは、エッジデバイスセキュリティに対する包括的なアプローチです。技術的な設定のみに焦点を当てるのではなく、包括的なセキュリティアーキテクチャ、適切なアクセス制御、継続的な監視の重要性を強調しています。これは、私たちが現場で観察してきたことと完全に一致しています。つまり、エッジデバイスの保護を成功させるには、堅牢な技術的制御と健全な運用慣行を組み合わせた多層的な戦略が必要なのです。

彼らのガイダンスでは、多要素認証（MFA）を重要な緩和戦略の一つとして取り上げていますが、今日ではMFAを補完するためにはるかに多くのものが必要であると付け加えたいと思います。前述の多くのサイバー攻撃や脅威キャンペーンにおいて、攻撃者は、MFA Fatigueまたはボンビング技術として知られる手法で、MFAを非常に簡単に回避してきました。

そこで、あなたはこう尋ねるかもしれません。他に何を考えるべきでしょうか？

ここで真っ先に「ゼロトラスト」が思い浮かぶかもしれません。残念ながら、ゼロトラストはあらゆる合理的な比率を超えて誇張されてきました。すべての話題が根本的な点を避けているように思えます。ゼロトラストは製品ではなく、ACSCがそう示唆していないことを私は称賛します。確かに製品やサービスはゼロトラストセキュリティ戦略の一部となり得ますが、単一の製品でゼロトラストのすべての要件を満たし、組織を変革することはできません。ゼロトラストアーキテクチャは、IDおよび認証サービスからデータ分類エンジンまで、複数のシステムを連携させる必要があります。

ネットワークに接続したユーザーを一度信頼する傾向がある従来のVPNシステムとは異なり、ゼロトラストアーキテクチャは、場所や以前のアクセス履歴に関係なく、リソースへのアクセスを試みるすべてのユーザーとデバイスを継続的に検証します。この継続的な検証は、オフィスネットワークから自宅のWi-Fi、コーヒーショップまで、あらゆる場所で仕事が行われる今日の世の中で極めて重要になります。これにより、企業ネットワークの境界内にいるすべての人を単に信頼するだけでは、セキュリティを維持することがより困難になります。

ACSCのガイダンスをさらに深掘りするとすれば、従来の境界セキュリティからリスクベースの移行が必要であるという点です。クラウド提供型セキュリティサービスは魅力的な利点を提供しますが、ハイブリッドアプローチの方が戦略的に理にかなっている場合が多いです。一部の重要システムや機密データは、規制上および/または主権上の要件、データの機密性および分類、レイテンシに関する懸念、または事業継続性の考慮事項により、オンプレミスに留まる必要がある場合があります。

重要なのは、インフラストラクチャの異なる部分が異なるアプローチを必要とする可能性があることを認識しつつ、エッジセキュリティを最新化することです。これは、特定のユースケースではゼロトラスト原則を依然としてサポートする一部のオンプレミスコンポーネントとインフラストラクチャを維持しつつ、他のユースケースではクラウド提供型セキュリティサービスを採用することを意味するかもしれません。その際、各選択が普遍的なクラウドファーストの指令に従うのではなく、リスク評価によって推進されることを確実にします。

これらのガイドラインは、エッジセキュリティがパッチ適用やファイアウォールルールを超えたものであることを私たちに思い出させます。それは、セキュリティとビジネスニーズのバランスを取る回復力のあるシステムを構築することです。ハイブリッドワークと複雑なデジタルサプライチェーンが常態化するにつれて、ACSCによる新しいエッジセキュリティガイダンスは、重要なネットワークエントリーポイントを保護するための強固な基盤を提供します。

ACSCによる新しいエッジセキュリティガイダンスは、いわゆる「あらゆる側面を網羅する」ほど網羅的でも規範的でもないと主張する人もいるかもしれませんが、それは、多くの進化する脅威にもかかわらず、政府および重要インフラ部門で依然として広く普及している従来の境界型およびペリメーターベースの技術への過度な依存を再評価するための重要な注意喚起と行動要請として機能します。

ブログへ戻る