そうしたデータを持つハッカーは、ファイアウォールを通過し、以下の情報にアクセスすることができます。
- 従業員記録 社会保障番号、自宅住所、評価、その他の個人データは、人事部のフォルダーにあります。ハッカーはこれらの個人情報を入手しようとしています。
- 製品開発に関する情報競合他社が開発に関する情報を事前に入手した場合、製品の発売開始は失敗に終わる可能性があります。
- 財務記録個人的な給与データ、賃貸契約書、ベンダーとの契約書などが、御社の保護下から公共の場に移動する可能性があります。
- 特許で保護されたデータ 攻撃対象領域が広いと、シークレットソースやブラックボックスイノベーションをハッカーから守ることは難しくなります。
ファイアウォールを通過すれば、ハッカーはネットワークにマルウェアを仕掛けることもできます。スパイウェアが一日中従業員を尾行し、キー入力を記録するかもしれません。時限爆弾のようなデータ破壊が、次のオンライン決断を待っているかもしれません。
このようなハッキングには莫大な費用がかかります。専門家によると、ハッキング被害は年間に4000億ドルにのぼると言われています。
攻撃ベクトルとは?
攻撃ベクトルとは、攻撃表面の目印のことです。それぞれがアクセスポイント、プロトコル、サービスなどの脆弱性を表しています。
決定的なベクトルは、1つか2つしかないと思っているかもしれません。しかし、ネットワーク内に数十、数百の脆弱性が存在する可能性もあります。
専門家は、大企業の現在の攻撃ベクトルを概説し、下記のような問題を取り上げています。
- 脆弱なウェブコンポーネント Alexaドメイン上位10,000のうち4分の1は、脆弱と思われるコンポーネントが少なくとも1つ稼働しているサーバーを持っていました。
- 期限切れの証明書 大企業には、これらの脆弱性が約300個ありました。
- パブリック開発サイトこれらのうち700個以上はウェブからアクセスでき、攻撃を受けやすくなっていました。
攻撃のベクトルは、会社や状況によって異なります。2つの組織に同じ攻撃対象領域が存在することはありません。しかし、問題は一般的に以下のような原因から生じます。
攻撃ベクトル
|
問題
|
ソリューション
|
API
|
APIはビジネスの成長を加速させる可能性がありますが、適切に保護されていなければ、企業を危険にさらしてしまう可能性があります。
|
トークン、暗号化、署名、その他の手段を用いてすべてのAPIを保護し、組織を保護しましょう。
|
分散型サービス拒否(DDoS)
|
DDoS攻撃は、対象となるサーバーやネットワークにトラフィックを殺到させることにより、サービスを中断させ、動作不能にします。
|
攻撃される可能性の高い領域を減らすことで、ビジネスを保護します。これは、データベースサーバーなどのインフラへの直接アクセスを制限することによって行われます。IDおよびアクセス管理システムを使用して、誰が何にアクセスできるかを制御します。
|
暗号化
|
プロトコルが脆弱であったり欠落していたりすると、情報が無防備にやりとりされるため、盗難が容易になります。
|
すべてのプロトコルが堅牢で安全であることを確認してください。
|
インサイダー
|
不満を持つ従業員は、セキュリティ上の悪夢です。その従業員は、会社のネットワークの一部または全部を部外者と共有する可能性があります。パスワードやその他のアクセス手段を渡して、独自の詮索をすることもできます。
|
このような事態が発生した場合に備えて、人事部と協力してプロトコルを整備しておきましょう。
|
マルウェア
|
エラーを引き起こしたり、コンピュータの速度を低下させたり、ウイルスを蔓延させたりするように設計された、厄介なタイプのソフトウェアです。スパイウェアはマルウェアの一種ですが、個人情報を収集するという陰湿な目的が追加されています。
|
マルウェアの攻撃から身を守るには、最新のセキュリティ対策に後れを取らないことが一番です。セキュリティ戦略の穴をなくすために、一元化されたセキュリティプロバイダーをご検討ください。
|
パスワード
|
脆弱なパスワード (123456など) や盗まれたパスワードは、独創的なハッカーが簡単にアクセスしてしまいます。一旦侵入されると、長い間発見されないまま、多くのダメージを与える可能性があります。
|
すべてのパスワードが強力であることを確認する要件を設定するか、多要素認証、あるいはパスワードレス認証を使用してください。
|
フィッシング
|
電子メール確認やパスワードデータの一見単純な要求が、ハッカーにネットワークに侵入する隙を与えてしまう可能性があります。多くのフィッシングの手口は非常に巧妙なため、人々はすぐに貴重な情報を渡してしまいます。
|
ITチームは、最新のフィッシング詐欺の手口を特定し、従業員に注意すべき点を知らせることができます。
|
ランサムウェア
|
ハッカーはネットワークに侵入し、ロックダウンし、それを解除するために金銭を要求します。2019年には、205,000以上の組織がこのような要求に直面しました。
|
システムのどこに最も重要なデータがあるかを特定し、効果的なバックアップ戦略を策定してください。セキュリティ対策を追加することで、システムをアクセスから守ることができます。
|
システムのどこに最も重要なデータがあるかを特定し、効果的なバックアップ戦略を策定してください。セキュリティ対策を追加することで、システムをアクセスから守ることができます。
ホームオフィスでさえ、攻撃対象の脅威から安全ではありません。平均的な世帯には、 11台のデバイスがインターネットに接続されていると報告されています。そのひとつひとつが、その後の情報漏洩やデータ損失につながりかねない脆弱性を表しています。
大半の従業員が勤務時間中ずっと家にいて、自宅のネットワークに接続していれば、リスクは爆発的に増大します。従業員が個人的なプロジェクトに会社のデバイスを使用していると、会社のデータが個人のデバイスにダウンロードされる可能性があります。
人が働く各オフィスとネットワークにアクセスする、各デバイスを評価する必要があります。
攻撃対象領域分析: ステップ・バイ・ステップ
攻撃対象領域とハッキングのリスクを減らすには、ネットワークのセキュリティ環境を理解する必要があります。そのためには、入念で熟慮された調査プロジェクトが必要です。
攻撃対象領域分析は、差し迫ったリスクと潜在的な将来のリスクを特定するのに役立ちます。
攻撃対象領域分析では、見つかったすべての問題が修正されるわけではありません。代わりに、会社をより安全にかつセキュアにするための作業の指針となり、正確なTO DOリストを提供してくれます。
次のロードマップに従って、攻撃表面の分析を完了してください。
- 脆弱性を特定する攻撃対象領域には、各端末を含むすべてのアクセスポイントが含まれます。ただし、アプリケーションに出入りするデータのパスと、それらのクリティカルパスを保護するコードも含まれています。パスワード、エンコーディングなどがすべて含まれています。
- ユーザーの種類を特定するシステムのそれぞれのポイントにアクセスできるのは誰でしょうか?名前やバッジ番号に注目してはいけません。その代わり、ユーザーの種類と平均的な1日に必要とするものは何かを考えましょう。
- リスク評価を実施する どのスポットが最もユーザーの種類が多く、脆弱性のレベルが高いでしょうか?これらのエリアに最初に対処すべきです。テストを利用して、さらに多くの問題を発見しましょう。
- 報告を保護するデータ侵害に対処している場合、それはどうすればわかるでしょうか?会社は、脅威への対応策として何を行っていますか?さらに確認すべき事項はないか、規則や規定を見直してください。
大企業では、このプロセスの評価には数時間ではなく月単位でかかります。できる限り徹底してください。明らかになればなるほど、安全性が向上します。
攻撃対象領域削減戦略
マッピングはクリーンアッププロジェクトの指針となります。最も脆弱なポイントから、最も脆弱でないポイントへと計画的に移行してください。
典型的な攻撃対象領域削減のテクニックには以下が挙げられます。
- アクセスネットワーク使用レポートに目を通します。適切なユーザーが機密文書に対する権限を持っていることを確認します。無許可または異常なトラフィックがあるエリアをロックします。
- クリーンアップ 保有する資産を調べて、期限切れの証明書を探してください。定期的なクリーンアップのスケジュールを作成していないのなら、今こそスケジュールを立ててしっかりと実行に移しましょう。
- コード 期限切れのコードや、もはや必要のないコードを実行していませんか?
- パスワード従業員はパスワードのベストプラクティスに従っているでしょうか?従業員はパスワードやユーザー名を紛失した場合の対処方法を知っていますか?
- スキャン 定期的にネットワークの健全性のチェックを行っていますか?問題が起きたときにどのようにアラートを通知しますか?
これは、何から始めればよいのかを理解するのに役立つ簡単なリストです。攻撃対象領域分析に基づくTO DOリストには、さらに多くの項目が追加されるかもしれません。
攻撃対象領域を削減するための5つの対策
当面のクリーンアップが完了したら、プロトコルを強化することにより、今後の攻撃対象領域分析プロジェクト後のクリーンアップ作業を軽減できる方法を探します。
次の5つの対策に従って開始します。
- ゼロトラストを想定するユーザーは、自分の身元とデバイスのセキュリティを証明するまでは、リソースにアクセスできません。これらの要件を緩め、ユーザーがすべてを見られるようにするのは簡単ですが、セキュリティを最優先するという考え方が会社をより安全にします。
- 強力なユーザーアクセスプロトコルを作成する 平均的な企業では、驚くほどのスピードで影響を与え合います。それぞれのユーザーが適切に業務を行う際にネットワークにアクセスしなければなりませんが、そのユーザーが組織の一部ではなくなったらすぐに、その権利を直ちに削除する必要があります。人事部門とペアを組んで、パスワードポリシーを強化しましょう。
- 強力な顧客認証ポリシーを設定するアクセスプロトコルの上に強力な認証を重ねることを検討してください。属性ベースのアクセス制御または ロールベースのアクセス制御により、適切なユーザーがデータにアクセスできるようにします。
- バックアップを保護する コードとデータの複製は、一般企業の攻撃対象領域に共通する部分です。こうしたバックアップを会社に危害を加える可能性のある人たちから安全に守るため、厳格な保護プロトコルを使用してください。
- ネットワークをセグメント化する 築き上げたファイアウォールが多ければ多いほど、ハッカーがビジネスのコアに迅速に侵入するのが難しくなります。正しく行えば、 セキュリティ制御を1台のマシンまたはユーザーだけにまで絞り込むことができます。
報告の重要性を過小評価しないでください。これらの対策をすべて実行した場合でも、ネットワークを定期的に監視して、壊れたり古くなったりしていないかを確認する必要があります。各就業日に時間を組み込んで、現在の脅威を評価しましょう。
会社を保護できているかどうかを確認するには、チェックリスト「 データ漏洩から企業を守るための重要な12の対策」をご覧ください。
参考文献
Unwitting Workers Give Hackers Keys to Fortune 500 Firms' Networks: Study. (2014年10月)NBC.
Companies Lose $400 Billion to Hackers Each Year. (2015年9月)Inc.
Attack Surface Area Larger Than Most Businesses Believe. (2020年6月)Dark Reading.
Pandemic Giving Ransomware 'Greater Attack Surface' as Tactics Shift, Ex-FBI Agent Says. (2020年8月)State Scoop.
Attack Surface Analysis Cheat Sheet. CheatSheets Series.
Ransomware Attacks Grow, Crippling Cities and Businesses. (2020年2月)The New York Times.
Cyberattacks Now Cost Companies $200,000 on Average, Putting Many Out of Business. (2020年3月)CNBC.
The Proposed Solution. (2015年). How to Defeat Advanced Malware.
U.S. Households Have an Average of 11 Connected Devices, and 5G Should Push That Even Higher. (2019 年12月)Variety.
Beware This Sinister New ‘Dark Side’ $1 Million Cyber Threat, You Must. (2020年8月)Forbes.
Why Every Small Business Should Care About Cyberattacks, in 5 Charts. Vox.
5 Ways to Reduce Your Attack Surface. (2018年8月)Security.