あなたのビジネスに害を及ぼす７つの（あるいはそれ以上の）サイバーセキュリティ神話

２年前、私は、ビジネス リスクを引き起こし、悪意のないセキュリティ チームが間違ったことに目を向ける原因となるサイバーセキュリティにまつわる７つの神話について書きました。

当時は世界的なパンデミックが始まり、私たちの現実世界とデジタル生活の両方が急速に、ある意味では恒常的に変化していました。それ以来、世界は経済的、政治的、技術的に衝撃を受け続けています。テクノロジーの進歩は、それまでの目まぐるしい速さから過熱状態に移行しました。サイバー戦争に関与する国家は、一般市民の財布を直撃しています。２年後には、これらの神話は全く違うものになっているでしょうか。

それは間違いです。「plus ça change（時代は変わっても本質は変わらない）」ということわざが思い出させるように、物事は変われば変わるほど、本質は同じであり続けるのです。この７つの神話はすべて依然として非常に重要ですが、私は、人間の状態の不変性から生じるサイバーセキュリティにまつわる7つの神話を追加で提示します。

１．フェイクのソーシャル メディア アカウントはごく少数である。

多くの企業はボットがあることを把握していますが、ソーシャル メディア企業は、実際にどれだけのボットがあるかを把握していないことが多く、把握したくもないというのが現実です。

数年前、あるソーシャル ネットワーキング サイトで概念実証を行ったところ、ログインの98％が自動化されたボットであることがわかりました。この会社は急成長を誇り、将来に期待していましたが、加入者は自分たちが思っていた数の10分の1しかいなかったことがわかったのです。

なぜこのような知識が重要となるのか、その意義は、Twitterの買収という周知の形で展開されています。同社の価値はユーザー数によるところが大きいです。Elon Musk氏が同社に対して行った、スパム ボットや偽アカウントが5％以下であることを証明するという挑戦は、あらゆる投資家、広告主、ビジネス パートナー候補、そしてそのユーザーにとって、当然の期待と言えるでしょう。

私はTwitterのボット数は、50％以上に近いと予測しています。ユーザーが人間であることを検証し、ボット トラフィックを効果的に管理・軽減することを企業に義務付けるべきです。

簡単に言えば、悪意のあるボットが成功を収めるということは、セキュリティが失敗していることを意味します。ボット対策では、これらのサイトでやり取りされる情報の整合性を確保するだけでなく、重要なビジネス上の意思決定を行う企業や、その企業と取引を行う企業にとって正確なデータであることが非常に重要です。

２．ボット対策は社内のDIYプロジェクトである。

多額の予算と優秀な技術スタッフを擁する優良企業がボットと戦っているのを何年も前から目にしてきました。しかし、このような企業のボット トラフィックを分析する際、防御を克服しようと進化した高度なボットが検出されると思われますが、実際はそうではありません。

企業は、IP、地域、自律型システムをブロックすることでボット対策を行ってきましたが、ここにきて、数十万、数百万のIPアドレスから攻撃が行われるようになり、悪質なボット トラフィックの進化を目の当たりにしています。このようなネットワーク層の防御では限界があるのです。

クライアント側のシグナルが重要であると私は考えています。行動バイオメトリクスが必要です。ブラウザとデバイスを調査する必要があります。これらのシグナルを総合的に判断することで、ボットだけでなく悪意のある人間も特定することができるのです。

企業もまた、この状況から抜け出すために人材を雇用できると考えていますが、これほど広大な問題を解決するために十分なIT人材を雇用することはできません。自動化と本当に戦うには、自動化しかないのです。

３．差し迫っている未知の新たな脅威に常に焦点を当てるべきである。

私たちセキュリティ関係者、技術系記者、企業広報は、常に革新的で私たちの先を行く攻撃者に対して共通の恐怖心を抱いています。しかし多くの点で、攻撃は、途中で少し手を加えているだけで、依然として同じものなのです。

現在、私たちが目にするほとんどのボットは、５年前と同じレベルの巧妙さです。ただ、出現する場所が違うだけです。二段階認証やCAPTCHAがあっても、クレデンシャル スタッフィングは依然として有効となっています。攻撃者は、元のベクトルが成功している限り、新しい攻撃ベクトルを作り出そうとはしません。必要なのは、新しい防御策をかわす方法を考え出すことだけです。

企業が新たな脅威を熟考し、それに備える努力をする必要があるだけでなく、業界も昨年の脅威を引き続き軽減する必要があります。

４．複数のクラウドを管理することは、得難い人材を必要とする難しい課題である。

マルチクラウドの世界では、ほとんどとは言わないまでも、多くの企業が今日この世界で生きているのが現実です。買収、パートナーとの統合、あるいは単に最善の機能を獲得するためのいずれであっても、マルチクラウドの世界は今後も続くでしょう。

しかし、マルチクラウドを利用しているかどうかを企業に尋ねると、繰り返し耳にする答えの１つは、「残念ながらそうです」というものです。マルチクラウドを利用している企業は、時に不本意ながら利用しており、あらゆる世界の長所を活かす機会を受け入れていないのです。

今日、複数のクラウドにまたがってIT資産を管理し、セキュリティを確保することが困難であるわけではありません。クラウド ベンダーは、自社の戦略に相互運用性を組み込んでいます。また、統合の負担を軽減し、クラウド間で機能を抽象化して、シンプルで統一されたインターフェイスで提供するよう設計されたソリューションを持つプロバイダも数多く存在します。

５．企業のアーキテクチャとデバイスのセキュリティを確保すれば十分である。

セキュリティ チームは、企業のインフラストラクチャ、サーバー、コンピュータ、デスクトップなど、企業内のあらゆるものに着目しています。しかし、組織のあらゆる従業員のホーム ネットワークにはほとんど目を向けていません。

攻撃者は、CEOをターゲットにして、合併買収やその他の戦略的な情報にアクセスしたいと考えるかもしれませんが、それを収益化することは、買掛事務員やIT管理者をターゲットにするほど簡単なことではありません。在宅勤務がかつてないほど一般的になっている現在、ホーム ネットワークは攻撃者にとって新たな抜け道となっています。

６．従業員を信頼できる。

インサイダー脅威が非常に有利なのは、周囲の人間を最善だと思い込むのが人間の本質にあるからです。しかし、50人や100人もの従業員を雇う場合は、悪意のある攻撃者が1人か2人侵入してしまうという現実的なリスクがあるのです。

不満を持った従業員は、Glassdoorに悪評を残すだけではありません。機密ファイルをサム ドライブに保存して、そのまま退席してしまうこともあります。さらに、悪意のあるソフトウェアをシステムに残していくかもしれないという懸念も高まっています。

私は以前から、多くのランサムウェア攻撃の背後には、おそらく内部関係者がいるという仮説を立てています。IT管理者は、ダークウェブ上で簡単にペルソナを作成し、そのペルソナにシステムへのアクセス権を与えてマルウェアをインストールさせ、身代金の要求を出し、会社に身代金を支払うよう推奨することができるのです。私はまだこのような証拠を目にしたことがありませんが、このような見返りがあることは確かです。

７．私たちの最大のサイバー脅威は、インフラストラクチャを標的とする国家的攻撃者からもたらされる。

１年前、Colonial Pipelineが攻撃され、ガソリン スタンドに長蛇の列ができて東海岸の消費者が不便を強いられ、国際的に大きなニュースとなりました。

しかし、毎年何百万人ものアメリカ人がネット上で詐欺に遭っており、その多くが高齢者で、退職金で生活していることについては、ほとんど話題に上りません。これは社会のセーフティ ネットに対する大きな脅威であり、人々とその家族に壊滅的な影響を及ぼしかねないものです。列に並んだり、ガソリン代が高くなったりすることよりもずっと深刻な問題です。

私は法執行機関で何年もサイバー犯罪の捜査に携わりましたが、悔しい結果に終わることも多く、この問題には情熱を傾けています。インフラストラクチャへの攻撃は重要であり、非常に現実的なものです。しかし、このような犠牲者の話を聞くと、広範なサイバー詐欺が今よりもっと注目されるべきなのは明らかです。

ボットの管理と防御、脅威の特定と軽減、組織内でのゼロ トラストの実装について詳しく知りたい方は、以下の補足資料を参照してください。

• ボット管理：アプリケーション セキュリティ&保護ソリューション
• Distributed Cloud Bot Defense
• 自動化された脅威の特定と軽減に関するeBook
• F5 Distributed Cloud Services
• ゼロ トラストにより、リモートに移行しても会社の情報を保護する
• ゼロ トラスト セキュリティ モデルの実装方法

_____

F5、インテリジェンス部門グローバル責任者、Dan Woods著