Rodman Ramezanian - Global Cloud Threat Lead、Skyhigh Security
2024年10月22日 3 分で読む
Skyhigh Security 、サイバーセキュリティの専門家として、またわが国の重要な資産を守ることに専心する技術者として、私は長年、脅威行為者がインターネットに面したエッジ・デバイス(企業ネットワークと広くデジタル世界をつなぐ重要なゲートウェイ)を調査し、悪用するのを見てきました。だからこそ、このような重要なインフラ・コンポーネントの安全確保に関するオーストラリア・サイバー・セキュリティ・センター(ACSC)の最新のエッジ・セキュリティ・ガイダンスを心から歓迎する。
これ以上ないタイミングだ。次世代ファイアウォールからロードバランサー、VPNコンセントレーターに至るまで、エッジ・デバイスを標的とした高度な攻撃がかつてないほど急増している。これらはもはや単なるネットワーク・コンポーネントではなく、ますます敵対的なサイバー環境における防御の第一線なのだ。エッジ・デバイスが侵害されると、攻撃者はネットワークにおける特権的な足がかりを得ることができ、機密データや重要なシステムが危険にさらされる可能性があります。
例えば、VPN技術の根本的な問題は、VPNがパブリック・アクセス・ポイントを作り出すという事実にある。VPNを使って認証(または悪用)に成功すれば、ユーザーも攻撃者もネットワークに侵入できる。VPNは、潜在的な報酬が大きいため、依然として格好の標的である。過去、現在、そして未来の攻撃がこのことを証明しています。有益なデータがVPNをサイバー犯罪者の容赦ない標的にしているのです。
そして、古いことわざにあるように、"到達可能であれば、侵入可能である"。最近の脅威から何を学んだか?
- インサイダーの脅威とソーシャル・エンジニアリング Lapsus$は、信頼できるインサイダーとソーシャル・エンジニアリングを悪用することで、エッジベースのリモート・アクセス技術を活用することの大きな影響を私たちに示しました。
- ランサムウェア:Qilin *、*Akira *、*Fog*のようなキャンペーンは、エッジベースの技術にVPNや静的な認証情報を依存している世界中の組織をターゲットにし続けている。
- 脆弱性 Fortinet、Check Point、Ivanti などのエッジデバイスに重大な欠陥やゼロデイ脆弱性が存在し、企業が危険にさらされている。
- 標的型キャンペーン攻撃者は、Cisco やCheck Point などのエッジベースの VPN テクノロジーを継続的に標的とし、窃取した認証情報を使用してネットワークに侵入します。
ACSCの最新ガイダンスが特に価値あるものとなっているのは、エッジ・デバイス・セキュリティに対する全体論的なアプローチである。技術的な設定だけに焦点を当てるのではなく、包括的なセキュリティ・アーキテクチャ、適切なアクセス制御、継続的なモニタリングの重要性を強調している。エッジ・デバイスの保護を成功させるには、強固な技術的管理と健全な運用慣行を組み合わせた重層的な戦略が必要です。
彼らのガイダンスは、重要な緩和策の1つとして多要素認証(MFA)に触れているが、私は、最近ではMFAを補完するために多くのことが必要であると付け加えたい。前述したサイバー攻撃や脅威キャンペーンの多くにおいて、攻撃者はMFAファティーグ(MFA Fatigue)やボミング(Bombing)と呼ばれる手法で、MFAをいとも簡単に回避してきた。
では、他に何を考えるべきか?
ここですぐに思い浮かぶのは「ゼロの信頼」だろう。残念ながら、『ゼロ・トラスト』は理性的とは言えないほど大げさに宣伝されている。すべての話題は、根本的な点から逸れているように思える:ゼロ・トラストは製品ではない。製品やサービスは確かにゼロ・トラスト・セキュリティ戦略の一部になり得るが、単一の製品でゼロ・トラストの要件をすべて満たし、組織を変革することはできない。ゼロ・トラスト・アーキテクチャでは、IDおよび認証サービスからデータ分類エンジンに至るまで、複数のシステムを調整する必要がある。
一度ネットワークに接続したユーザーを信用しがちな従来のVPNシステムとは異なり、ゼロ・トラスト・アーキテクチャは、リソースにアクセスしようとするすべてのユーザーとデバイスを、その場所や以前のアクセスに関係なく継続的に検証します。この絶え間ない検証は、オフィスのネットワークから自宅のWi-Fi、喫茶店まで、あらゆる場所で仕事が行われる今日の世界では極めて重要であり、企業ネットワークの境界内にいる全員を信頼するだけではセキュリティを維持することが難しくなっている。
ACSCのガイダンスをさらに発展させるなら、従来のエッジ・セキュリティからリスク・ベースで移行する必要があるということだ。クラウド提供型のセキュリティ・サービスには魅力的な利点がありますが、ハイブリッド型のアプローチの方が戦略的に理にかなっていることも少なくありません。クリティカルなシステムや機密データの中には、規制や主権に関する要件、データの機密性や分類、レイテンシーに関する懸念、事業継続性に関する考慮などから、オンプレミスに留まる必要があるものもあります。
重要なのは、エッジ・セキュリティを近代化する一方で、インフラストラクチャのさまざまな部分で異なるアプローチが必要になる可能性があることを認識することです。つまり、特定のユースケースではゼロ・トラストの原則をサポートするオンプレミスのコンポーネントやインフラを維持し、その他のユースケースではクラウド提供のセキュリティ・サービスを採用するということです。
これらのガイドラインは、エッジ・セキュリティがパッチやファイアウォール・ルールにとどまらないことを思い出させてくれる。それは、セキュリティとビジネスニーズのバランスを考慮した弾力性のあるシステムを構築することである。ハイブリッド・ワークや複雑なデジタル・サプライチェーンが主流となる中、ACSCの新しいエッジ・セキュリティ・ガイダンスは、重要なネットワーク・エントリー・ポイントを保護するための強固な基盤を提供します。
ACSCによる新たなエッジ・セキュリティ・ガイダンスは、いわば「すべての基盤をカバー」するのに十分な網羅性や規定性を備えていないと主張する人もいるかもしれないが、多くの脅威が進化しているにもかかわらず、政府機関や重要インフラ部門で依然として普及している従来のエッジ・ベースや境界ベースのテクノロジーへの依存度を再評価するための重要な注意喚起と行動喚起となっている。
ブログへ戻る