サイバーセキュリティの専門家は、一般的に、エンドユーザーが組織の安全確保におけるリスクの最重要領域であると非難する。多くの点で、これは理解できる。しかし、エンド・ユーザは予測不可能です。エンド・ユーザは、地理的に分散した各ユーザ、個人のデバイス、そしてセキュリティに影響を与えるようなエラーを犯す可能性など、脅威の対象領域を拡大します。
明らかに、脅威行為者は私たちのユーザーを標的にし、現実に悪い結果をもたらしている。しかし、明らかなのは、この問題から逃れる方法を訓練することはできないということだ。フォーチュン100社に名を連ねる企業は、毎年のユーザー・セキュリティ意識向上トレーニングに多額の投資を行っていますが、それでも侵入の被害に遭っています。つまり、エンドユーザーのセキュリティ確保に主眼を置くことは、効果的な戦略ではないのだ。
事実:ユーザーは主要なリスク要因である。 ベライゾンの2022年データ漏洩および調査報告書によるとランサムウェア感染の35%はフィッシングメールから始まっている。事実: セキュリティ意識向上トレーニングへの投資は長年にわたって積極的に増加しているにもかかわらず、この状況は続いています。 は1,854.9米ドルから2022年の18億5,490万米ドルから2027年には121億4,000万米ドルに成長し、2022年から2027年までの年平均成長率は45.6%と予測されている。事実:このような投資にもかかわらず、ランサムウェア(攻撃タイプの一例に過ぎない。) も積極的な成長が見込まれています。エンドユーザーのトレーニングを含む多くの組織的努力にもかかわらず。悲しいかな、避けられない事実:私たちのユーザーは、やはり間違いを犯すのです-結局のところ、私たちは皆人間なのですから。 ある調査調査対象者の5人中4人がセキュリティ意識向上トレーニングを受けたことがあるにもかかわらず、26~44%(年齢層による)が不明な送信者からのリンクや添付ファイルをクリックし続けている。これらの事実から、組織のセキュリティはエンド・ユーザーの安全確保に大きく依存してはならず、むしろエンド・ユーザーが侵入されることを想定し、それを念頭に置いてシステムの安全確保に着手すべきであると結論づけるべきである。「訓練して祈る」だけではうまくいかない。そして、結局のところ、エンド・ユーザーが侵入されたとしても、適切なセキュリティ対策が採用され、正しく組織化されていれば、その侵入によってもたらされるシステム的な損害の大きさはありえないはずである。
エンドユーザーにトレーニングを施すべきか?絶対に、断固として、そうだ。強固なセキュリティには、階層的なアプローチが必要であり、それは、組織システムへのあらゆる出入り口の安全を確保することによって、セキュリティを強化することを意味する。このトレーニングがなければ、さらに大規模な侵害が発生する可能性が高い。しかし、私たちは、エンド・ユーザーが力仕事をすることに依存することなく、エンド・ユーザーのリスクを方程式から取り除くことができるような方法で、セキュリティを検討し始めなければならない。多くの組織にとって、これにはいくつかの難しい選択と、その選択を支持するリーダーシップが必要である。
どうすればユーザーのリスクを軽減できるか?
組織は、アクセスをブロックし、セキュリティ・コントロールを組織化するよう努めなければならない。システムをデフォルトでオープンにしすぎている。デフォルトでクローズドにし、それぞれのリスクを評価した上で、十分な意図をもって許可しなければならない。ユーザは、アクセス権のないものをクリックしたり、開いたりすることはできません。私たちが評価や侵害後の修復を行っている組織では、従業員やシステムが業務上必要な範囲をはるかに超えてアクセスし、リスクにさらされているのを目の当たりにしています。企業は、人、プロセス、テクノロジーを横断して、より強力なセキュリティ・オーケストレーションを重ねるべきです。そうすることで、万が一、脅威者が不適切なクリック(またはその他のベクトル)を通じてアクセスした場合でも、脅威者の横の動きや認証情報の採取/拡大を阻止するように設計されたコントロールが可能になります。エンドユーザのリスクを取り除くために組織ができる具体的なことをいくつか紹介しよう:
個人の電子メールアカウントへのアクセスをブロックする:業務用デバイスから個人的な電子メールやソーシャルメディアサイトへのアクセスを許可すべきではない。個人の電子メールは、企業の電子メールフィルターによって保護されていないにもかかわらず、脅威要因に大きく狙われています。ソーシャルメディアもまた、デフォルトで閉じるべき不必要なリスク要因です。
HTTPSトラフィックをディープ・パケット・インスペクションでフィルタリングする:もし組織が HTTPS のアウトバウンド・トラフィックをディープ・パケット・インスペクションしていないのであれば(そして、ほとんどの組織はそうしていない)、インターネットの大部分と脅威行為者の活動の大部分を見逃していることになり、したがって、ファイアウォールとウェブ・フィルタは基本的に何もしていないことになる!
ユーザーのサブネット/VLANでは、デフォルトでHTTP(80)とHTTPS(443)以外のすべてのアウトバウンドポートをブロックする:ユーザーは、ブラウジングに必要なポート以外のポートでインターネットにアクセスできるべきではありません。もちろん、80番ポートや443番ポート以外のポートをインターネットに接続する必要がある組織的なアプリケーションもありますが、これらのポートは例外的に、ソース、ポート、宛先のスコープを設定し、可能であれば、境界制御によって集中的に検査された場合にのみ開放されるべきです。
ユーザー以外のサブネット/VLANへのインターネットアクセスをデフォルトでブロックする:例として、サーバーや管理・運営ネットワーク、プリンター・ネットワークは、どのポートやプロトコルでもインターネットにアクセスできるべきではありません。これらのネットワークは、その上で動作するアプリケーションに必要な特定のポートのみでインターネットにアクセスできるようにする。すべてのポートやプロトコルはデフォルトでブロックし、アプリケーション機能に必要なものだけを選択的に許可する。
エンドポイントの場所を問わず、すべてのユーザートラフィックを常時検査し、フィルタリングすること:ユーザーが自宅(または喫茶店)で作業している場合、ユーザーのトラフィックは同じレベルで検査されないことがよくあります。したがって、組織は、すべてのユーザートラフィックを、それがどこを移動しているかに関係なく、同じフィルタと検査を強制的に通過させる制御を実装する必要があります。
アプリケーションは、ネットワークに関係なく、MFA なしで、既知の正しい認証情報によって、承認されていないデバイスからアクセスできるべきではありません:ユーザは、正しい認証情報と MFA を持つ組織が承認したデバイスでなければ、組織が提供するアプリケー ションにアクセスできないようにすべきである。すなわち、セッショントークンの有効期限は毎日(できれば毎日)以上でなければならない。
IT部門が承認したファイル共有システムとパスワード保管庫以外は使用禁止にする: ハッカーにとって、クラウドベースのパスワード保管庫は宝の山です。IT部門は、セキュリティ審査に合格し、承認されたシステムを選択し、それ以外は使用しないようにすべきである。 これは組織の運営パラダイムになるはずだ:"ツールを選び、他はすべてブロックする"。
セキュリティ機能の有効化を開始する(デフォルト設定で安全が保たれると思わないこと):ファイアウォールやEDR(Endpoint Detection and Response)のようなセキュリティツールやプラットフォームには、デフォルトの設定ではオンになっていない(あるいは開きすぎている)セキュリティ機能が数多く搭載されています。一例として、最新のファイアウォールの多くは、脅威行為者が使用する手法の多くを防ぐことができます。しかし、ファイアウォールの機能がすべてオンになっていることはほとんどありません。多くの場合、ファイアウォールはデフォルトですべてのTCP/UDPポートの送信を許可していますが、ほとんどのユーザーはTCP 80(HTTP)とTCP 443(HTTPS)のポートしか必要としません。これは、各システムを評価し、必要性に基づいて選択的、意図的にブロックまたは許可しなければならないもう1つの例です。
EDR ツールも強力な保護機能を提供しますが、企業は投資から最大限の効果を得るために、これらのアプ リケーションのすべての機能をオンにしていないことがよくあります。さらに、各社の文書でそのようにアドバイスされているにもかかわらず、これらのソリューションを他のスタック制御で補完しないこともよくあります。
このアプローチの障壁
ブロッキングやオーケストレーションが現在必要とされているレベルで行われておらず、代わりにユーザーが侵害の責任を負っているのにはいくつかの理由がある。第一に、ユーザー(およびリーダーシップ)から不評を買う可能性がある。個人サイトへのアクセスをブロックしたり、好みのプラットフォームへのアクセスを制限したり、フィルタリング/検査によって発生するシステムへのアクセス速度を遅くしたりすることは、ユーザーの不満を招く可能性がある。さらに、リーダーシップはこのようなユーザーの不満を予測し、恐れている。必要なツールの中には高価なものもある。しかし、これは教育訓練であり、組織の幹部レベルの賛同を必要とする。
IT部門は、リーダーが聞き、理解できる言葉で、問題と解決策の両方を表現する必要がある。IT 部門は、非常に現実的なリスクと失敗した場合の結果を C レベルや取締役会に提示し、適切な管理策と関連コストを割り当てられるようにしなければならない。こうして、セキュリティ意識教育は、「クリックするな、その理由はこうだ」から「デフォルトでほとんどのものをブロックしている、その理由はこうだ」へと次の進化を遂げることができる。あるいは、教育を受けてもなお、リーダーがツールやプロセスへの積極的な投資を選択しない場合、リーダーは、組織のために受け入れることを選択したレベルのリスクを個人的に引き受け、ゲームに参加することになる。
多くの場合、ITチームは人手不足で過労状態にあり、ビジネスの日常業務に集中している。目に見えないリスクを軽減したり、知らない脅威を教育したり、トレーニングを受けていないツールを有効にしたりすることはできない。ビジネスを完全に保護するために必要なデータ、サイバーに特化したスキル、ブロック、指揮、賛同を得るための影響力を常に持っているわけでもない。また、私たちインシデント・レスポンダーのように、日々侵害の真っ只中にいて大惨事を目の当たりにしているわけでもない。このような可視性をもたないチームは、コントロール、コンフィギュレーション、オーケストレーションの綿密な評価を、資格のある専門企業(たとえば Athena7).場合によっては、以下のような外部の有資格のマネージド・セキュリティ企業の活用も検討すべきである。 Grypho5バックアップ、ファイアウォール、エンドポイントなど、特定の管理策の実装、オーケストレーショ ン、管理、監視、報告を行う。
ひとつだけ確かなことは、いくらトレーニングをしても、ユーザーは必ずミスを犯すということです。たった1回のクリックが、組織をこれほどまでに危険にさらし続けることはできないし、させてはならない。ユーザーが最初にクリックする選択肢を最小限にすること、そしてクリックした場合には、攻撃の連鎖の進行を阻止するために多くの階層的な制御を確実に行うことが不可欠だ。