サイバーセキュリティ啓発月間： オンラインで安全を守る4つの方法

ほとんどのメールやテキストプラットフォームは現在、フィッシング攻撃を検知し、アプリケーション内から直接報告できる機能を備えています。 しかし、従業員にもフィッシングの疑いがあれば企業のサイバーセキュリティチームへ速やかに連絡し、潜在的な脅威を積極的に監視できる体制を整えるよう促してください。

フィッシング問題に加え、多くのサイバー犯罪者がAIを活用してこうした攻撃を作り出し、実行しています。 高度化が急速に進む中で、残念ながらすべてのフィッシング対策が完璧ではなく、一部の攻撃が既存のセキュリティ網をすり抜けています。 フィッシングメールがユーザーの受信トレイに届くと、暗号化されたウェブページやファイルへのリンクが添付されていることが多いです。 そしてユーザーがそのリンクをクリックしてウェブページやファイルにアクセスすると、あなたの組織にとって本当の“トリック”の始まりです。

現在、多くのWebリンクは暗号化されており、その中に隠れた脅威は背筋が凍るほど危険です。 防御するには、まずトラフィックの内容を把握する必要があります。 トラフィックが環境に入る際に大規模に復号化し、既存のセキュリティ管理をカスタマイズして連携させることで、ネットワークとユーザーに被害をもたらす暗号化された脅威を事前に発見できます

テクノロジーとセキュリティチームが強力な防衛ですが、万が一両方が機能しなくなったとき、最後に頼るのはあなたの従業員です。 そのために、彼らには次の3つのシンプルなルールを伝えてください。

• 罠に気づいてください。 不吉な結果を招き、ビジネス、個人、財務情報の入力を要求する感情的な訴えなど、緊急の要求には疑いを持つように従業員を教育します。 あるいは、社員にメールを送ったことのない会社の CEO から、会社の銀行口座や銀行支店番号、クレジットカード番号を教えるように、あるいは会社の資金を見知らぬ口座に振り込むようにと、直前にしつこくメールが届くこともあります。 スペルミスや文法の間違いは、フィッシング詐欺の可能性を示す決定的な証拠でした。 しかし、生成 AI ライティング ツールは、サイバー犯罪者も含め、誰でも利用可能であり、フィッシング攻撃で目立った間違いがあれば、それを修正してごまかすために使用していることは間違いありません。
• 誘いに乗らないでください。 疑わしいフィッシングのリンクや添付ファイルをクリックしないよう、ユーザーを教育しましょう。 組織や従業員がビジネス用のテキストやメールで「開封確認」を使っているなら、プレビュー画面から詐欺の可能性があるメッセージを開かないよう促してください。 簡単な既読通知でも、侵害につながらなくても、どのような手口が開封を誘ったかサイバー犯罪者にヒントを与えてしまいます。 それでもユーザーが、おそらく暗号化されたリンクや添付ファイルをクリックしてしまった場合は、F5 Application Delivery and Security Platform (ADSP)が対応します。 F5 BIG-IP SSL Orchestratorは、受信した暗号化トラフィックを大規模に復号し、カスタマイズしたコンテキスト対応ポリシーに基づいて復号後のトラフィックを管理し、動的サービスチェーン経由で最適なセキュリティソリューションへ転送してフィッシングを確実に阻止します。
• 尋ねるよりも迷わず捨てましょう。 ユーザーがフィッシングの試みをメールやメッセージアプリでセキュリティチームに報告するよう教育したら、必ずメッセージは削除するように伝えてください。 多くのフィッシングメールには「登録解除」ボタンがあり、実は罠になっています。 「登録解除」ボタンで配信停止を希望するのは自然ですが、ゴミ箱ボタンが最も確実な味方だとユーザーに理解してもらいましょう。

パスワードの強さは刻々と変わります。コンピューターやAIがブルートフォース攻撃やパターン認識・予測でますます高性能になるためです。 CISAが推奨する最新の強力なパスワードガイドラインは次のとおりです。

• 16文字以上の長さ
• まったくの無作為
• 個性的

今や何十、場合によっては何百ものアカウントやアプリケーションでパスワードが必要ですが、その管理にはパスワードマネージャーを使うのが最も効果的です。 ほとんどのブラウザやOSには、強力なパスワードを生成し保存する機能が備わっています。 組織での利用を義務化することをぜひご検討ください。

アクセス許可の前に複数の認証手段で確認を求めることは、強力なパスワードを超えた次の安全レベルです。 多要素認証（MFA）には、テキストやメールで受け取るコードの入力、定期的に新しいコードを生成してログイン時に入力が必要な認証アプリの利用、または顔認証や指紋といった生体認証が含まれます。 組織には最低でも二要素認証を導入し、可能なら三要素認証の活用を推奨します。

MFAは、場所に関係なくユーザーもデバイスも暗黙のうちに信頼しないゼロトラスト セキュリティ フレームワークを確立する上での一部に過ぎません。 このゼロトラスト アーキテクチャは、ユーザーの本人確認だけでなく、あらゆるAPIやアプリケーションへのユーザーのアクセス状況までカバーする必要があります。 しかし、ゼロトラスト アーキテクチャを構築するには、単にアクセスを保護するだけでは不十分です。 ウェブアプリケーション、API、データなどを守るためには、ウェブアプリケーション ファイアウォール（WAF）、DDoS攻撃対策、ボット防御戦略、APIの検出とセキュリティ、暗号化された脅威の防御、AIを活用したセキュリティ強化とあらゆるリクエストの検査を組み合わせ、セキュリティ ポリシーの適用と脅威の軽減を、アプリ、API、データが存在する場所を問わず、ハイブリッドでマルチクラウドの環境全体で実行する多層的な対策が求められます。

すべてのアプリケーションやAPIのベンダーは定期的にアップデートやセキュリティパッチを提供しており、あなたも迅速にそれを適用する必要があります。 しかし、ソフトウェアやアプリケーションのサポート体制はベンダーによって大きく異なります。 脅威を特定してからパッチが提供されるまでに、必ず一定の遅れが生じるでしょう。 そして、あなたが知らずに存在している未知の脆弱性が、実際にゼロデイ攻撃に変わることもありますが、どう対処しますか？ 重大な脆弱性は9時間ごとに発生しており、攻撃者はそれを素早く悪用しているのは明らかです。 重大な脆弱性が判明してからベンダーがパッチを出すまでの間、あなたは何をすべきでしょうか？

ここで役立つのは強力なWAFと、ベンダーがセキュリティパッチをリリースするまで脆弱性を塞ぐ仮想パッチの仕組みです。 WAFはインターネットとあなたのウェブアプリケーションの間に位置し、悪意あるウェブトラフィックを監視して遮断します。  ウェブアプリケーションに脆弱性が発見された際、WAFは基本的な防御レベルを提供します。 エクスプロイトに対抗する次に迅速な方法は、コード修正が完了するまでWAFを使って「仮想パッチ」を適用することです。 仮想パッチは永久的な解決策ではなく、WAFによって脆弱性の悪用を防ぐルールを適用するだけです。 仮想パッチ自体はソフトウェア更新を行いませんが、ユーザーやデータの安全を守り、企業を既知の攻撃からしっかり保護する重要な手段となります。

ソフトウェアを常に最新に保つための重要なベストプラクティスとして、Webアプリケーションやソフトウェアの既知の脆弱性を定期的にスキャンすることが挙げられます スキャンでは、使用中のAPIやソフトウェアの一般的な脆弱性および曝露情報（CVE）を含めることで、潜在的なリスクを把握し低減できます。 また、自動化された定期的なペネトレーションテストによって、悪用される前にアプリケーションの弱点や古くなったソフトウェアを特定できます。