攻撃対象領域を減らすためのシンプルなステップ

2025年8月14日The Hacker Newsエンドポイントセキュリティ / アプリケーションセキュリティ

ストーリーティーザー: サイバーセキュリティのリーダーは、攻撃が始まる前に阻止するという大きなプレッシャーに直面しており、最良の防御策は初日に選択する設定にかかっているかもしれません。本記事では、Yuriy Tsibereが、デフォルト拒否、MFA（多要素認証）の強制、アプリケーションのRingfencing™のようなデフォルトポリシーが、リスクのカテゴリ全体を排除できる方法を解説します。Officeマクロの無効化からサーバーの外向き通信のブロックまで、これらのシンプルかつ戦略的な対策が、攻撃者が簡単に突破できない堅牢な環境を作り出します。エンドポイントの保護やポリシー展開を担当している場合でも、セキュリティ・バイ・デフォルトの考え方を採用することで、複雑さを減らし、攻撃対象領域を縮小し、進化する脅威に先んじることができます。

サイバーセキュリティは、2001年の「ラブバグ」ウイルスの時代から劇的に変化しました。かつては迷惑行為だったものが、今や数十億ドル規模の利益を生む犯罪ビジネスとなっています。この変化は、脅威に対応するだけでなく、ネットワークに到達する前に防ぐ積極的な防御戦略を求めています。CISO、IT管理者、MSPは、攻撃をデフォルトでブロックするソリューションを必要としており、事後検知だけでは不十分です。NIST、ISO、CIS、HIPAAなどの業界フレームワークは指針を提供しますが、効果的なセキュリティを実装するための明確で実践的な手順が不足しがちです。

新たにセキュリティリーダーの役割に就く人にとって、使命は明確です。できるだけ多くの攻撃を阻止し、脅威アクターを挫折させ、かつITチームを疎外しないこと。そこで重要なのが、セキュリティ・バイ・デフォルトの考え方です。システムを最初からリスクをブロックするように構成します。私がよく言うように、攻撃者は一度でも成功すれば十分ですが、私たちは100%正しくなければなりません。

適切なデフォルト設定が、どのようにリスクのカテゴリ全体を排除できるかを紹介します。

すべてのリモートアカウントに多要素認証（MFA）を必須化#

MFAをすべてのリモートサービス（Office 365やG SuiteなどのSaaSプラットフォーム、ドメインレジストラ、リモートアクセスツールを含む）に有効化することは、基本的なセキュリティデフォルトです。パスワードが漏洩しても、MFAがあれば不正アクセスを防ぐことができます。MFAには、傍受されやすいSMSの利用は避けましょう。

多少の手間は増えますが、セキュリティ上のメリットは、データ窃取や金銭的損失のリスクをはるかに上回ります。

デフォルト拒否（deny-by-default）#

現在最も効果的なセキュリティ対策の一つが、アプリケーションホワイトリスト（許可リスト）です。この方法では、すべてをデフォルトでブロックし、既知かつ承認済みのソフトウェアだけを実行可能にします。その結果、ランサムウェアやその他の悪意あるアプリケーションは実行前に阻止されます。また、AnyDeskなどの正規だが未承認のリモートツールもブロックでき、攻撃者がソーシャルエンジニアリングで持ち込もうとするのを防ぎます。

ユーザーは、事前承認された安全なアプリケーションストア経由で必要なものにアクセスでき、可視化ツールにより、ポータブルアプリを含めて実行されたものをすべて簡単に追跡できます。

安全な設定によるクイックウィン#

デフォルト設定のちょっとした変更が、Windowsや他のプラットフォームで大きなセキュリティギャップを埋めます：

• Officeマクロの無効化：5分ででき、ランサムウェアの最も一般的な攻撃経路の一つをブロックします。
• パスワード付きスクリーンセーバーの使用：短時間離席した際に自動ロックし、覗き見を防ぎます。
• SMBv1の無効化：この古いプロトコルは時代遅れで、WannaCryのような大規模攻撃にも利用されました。ほとんどのシステムでは不要です。
• Windowsキーロガーの無効化：ほとんど役に立たず、オンのままだとセキュリティリスクになります。

組織におけるネットワークとアプリケーションの挙動制御#

• ローカル管理者権限の削除：多くのマルウェアは管理者権限なしでも動作しますが、権限を外せばユーザーがセキュリティ設定をいじったり、悪意あるソフトをインストールするのを防げます。
• 未使用ポートのブロックと外向き通信の制限：
  • SMBやRDPポートは本当に必要な場合のみ開放し、信頼できる送信元だけ許可しましょう。
  • サーバーがインターネットにアクセスする必要がなければ遮断しましょう。SolarWindsのような攻撃を防げます。
• アプリケーションの挙動制御：ThreatLocker Ringfencing™のようなツールは、WordからPowerShellを起動する（実際にある攻撃手法です）など、怪しい動作をアプリが行うのを防げます。
• VPNのセキュリティ強化：不要ならオフに。必要な場合は特定IPのみ許可し、アクセス範囲も制限しましょう。

データとウェブの制御を強化#

• USBドライブをデフォルトでブロック：マルウェア拡散の一般的な手段です。必要な場合は、管理された暗号化済みUSBのみ許可しましょう。
• ファイルアクセスの制限：アプリが本当に必要な場合以外、ユーザーファイルにアクセスできないようにしましょう。
• 未承認ツールのフィルタリング：審査されていないSaaSやクラウドアプリをブロックし、必要な場合はユーザーから申請してもらいましょう。
• ファイル操作の追跡：デバイスやクラウド上で誰が何をしているか監視しましょう。不審な行動の発見に不可欠です。

監視とパッチ適用でデフォルトを超える#

強固なデフォルト設定は出発点に過ぎません。継続的な警戒が不可欠です：

• 定期的なパッチ適用：多くの攻撃は既知の脆弱性を突きます。ポータブルアプリも含め、すべてを最新に保ちましょう。
• 自動脅威検知：EDRツールは優れていますが、24時間アラートを監視していないと脅威を見逃すことも。MDRサービスなら、営業時間外でも迅速に対応できます。

セキュリティ・バイ・デフォルトは賢明なだけでなく、もはや必須です。未知のアプリをブロックし、強力な認証を使い、ネットワークやアプリの挙動を制限することで、多くのリスクを排除できます。攻撃者は一度の成功で十分ですが、堅牢なデフォルト設定が常に防御を維持します。その結果、侵害が減り、手間も減り、より強固でレジリエントな体制が実現します。

注記： 本記事は、ThreatLockerのプロダクトマネージャー兼ビジネスアナリストであるYuriy Tsibere氏による専門的な寄稿です。