出典: Natee Jindakum via Shutterstock
CISOは、ランサムウェア、ビジネスメール詐欺、アイデンティティベースの攻撃、フィッシング攻撃、データ漏洩など、増え続ける脅威に直面しています。これらのリスク全体に対応する効果的なセキュリティプログラムを構築、実施、維持するには、忍耐と適応力が必要です。
組織が直面するさまざまな問題に対処するための多くの技術やセキュリティ対策が利用可能ですが、それらを適切に実施するには時間とリソースが必要です。1つの方法は、組織のセキュリティプログラムを製品として扱うことです、とCapital OneのサイバーセキュリティCTOであるMike Benjaminは、先月サンフランシスコで開催されたRSACカンファレンスで述べました。製品と同様に、セキュリティプログラムには顧客がいて、ニーズを満たし、価値を提供し、購入することができるとBenjaminは言いました。セキュリティプログラムは製品ではなく、必要とされるか不明確な成果物を持つコストセンターであると主張する人もいるかもしれません。
“セキュリティプログラムは製品ではないと投票した人々は、私たちが見るすべてのものが支援を必要とするセキュリティプログラムであると主張するでしょう。”とBenjaminは言いました。”会社はそれが必要だからだけで行っています。それをそのように考えられることを望む人はいますか?私たちは皆、それが会社にとって価値のあるものであることを目指しています。それが運営の中核となるものであることを。単にやらなければならないことではないものにするために。”と述べました。
関連記事:サイバーセキュリティのパラドックス: たとえ強靭な組織でもAIの脅威に盲目である
強力なプログラムは技術と内部作業、そして全体的なリスク管理をバランスさせます。効果的なバランスを取ることは難しい場合がありますが、特にアプリケーションセキュリティプログラムに関しては、セキュリティチームはビジネス運営を遅らせることなく脆弱性がないことを保証しなければなりません。
強力なセキュリティプログラムは「大胆」であり、組織が必要とするものを深く理解し、適切な階層を通じてそれを伝えるスキルを持つ管理者によって導かれます。さらに重要なのは、管理者が何かがうまくいかないときにそれを認識する必要があることです。
“彼らはノーと言うことができなければならず、戦略の中で『その人を喜ばせる必要がある』と言おうとしないことが必要です。集中し続けなければ、プログラムは何も提供できません。”とBenjaminは述べました。
ツールとプロトコルの統合も難しい場合があります。しかし、さらに難しいのは、魅力的な新製品が重複しているか不要である場合にノーと言うことを知ることです。
パスワードレス移行に関するアドバイス
多くの組織にとって、
パスワードレスの採用は進んでいますが、依然として課題が残っています。ユーザーの摩擦が高いためです。特にフィッシングに対する認証リスクを劇的に減少させることができますが、クロスプラットフォームの使用には問題があります。さらに、プラットフォームプロバイダーはユーザビリティを向上させるための努力を強化することができます。
関連記事:セキュリティの「神話」を打ち破り、一般的なギャップに対処する
パスワードレスオプションは、たとえば生体認証を使用してパスキーを解除したり、ユーザーがピンを入力できる物理的なセキュリティキーを使用したりします。パスワードレスの推進は、ユーザーがパスワードを好まないために人気が出ました。これは数十年にわたる闘いです、とCapital Oneの最高技術リスク責任者であるAndy OzmentはRSACセッションで述べました。Capital Oneが従業員にそれを実施するのに数年かかりましたが、パスワードレスの採用はセキュリティプログラムを強化するために重要であるとOzmentは示しました。
Capital Oneの場合、パスワードレスとはX.509証明書とFIDO2パスキーの組み合わせを意味します。実施の課題には、ハードウェアがパスワードレス認証をサポートすることを保証するためにコンサルタントやサードパーティの契約を更新し、Appleのポリシーを回避することが含まれました。
「私たちに多くの痛みをもたらしたのはiOSに関するものでした。Appleはプライベートキーをクラウドキーチェーンと同期することを義務付けました」とOzmentは言いました。「Appleは企業顧客に焦点を当てていません。これは解決できない厄介な問題です。」
課題が山積み
予期しない課題の1つは、MicrosoftやCitrixのような仮想デスクトップインフラストラクチャベンダーにFIDO2を有効にさせることでした。サポートは今ではより広く利用可能ですが、とOzmentは言いました。「[パスワードレスへの移行は]最初は良いユーザー体験ではありませんでした。ユーザーにとってシームレスではありませんでした」とOzmentは述べました。
関連記事:DoJデータセキュリティプログラムがデータ共有の課題を強調
1つには、「パスワードレス」という名前がユーザーを誤解させ、サインインするためにピンや何らかの認証を入力する必要があることがありました。複数の物理的要件に登録する必要があることも難しいとされました。
「FIDO2に直接進むことをお勧めします。また、権限を持ち、能力のある集中化されたアイデンティティとアクセス管理チームを持つことも重要です」とOzmentは言いました。「それに必要な変更管理作業の量を過小評価しましたが、可能です。続けて、ユーザーを教育する方法に集中してください – 彼らを旅に連れて行ってください。」
攻撃者がアクセスを得る準備をする
特定の対策、特に認証プロトコルに対する従業員のコンプライアンスも課題を呈します。強力なセキュリティプログラムの開発に関する問題は、中小企業レベルと大企業で異なります。前者はリソースが不足しているかもしれませんが、後者は大規模な攻撃面を保護しなければなりません。
攻撃面を減らすことは、セキュリティプログラムを強化するためのもう1つの重要なステップです。それを達成する1つの方法は、すべてのリソースを1つのクラウド環境に保存することです。Amazon Web Services(AWS)はAWSリソースの基盤であり、1つのオプションですが、小さなアカウントを持つことは「爆発半径を減らす」ことができます。侵害が発生した場合(おそらくそうなるでしょう)、小さなアカウントは攻撃者のアクセスをより広い企業環境に制限するために機能することができます。
「大規模なアカウントはリスクを生み出します。敵対者は環境内の過度に許可されたIAMロールを利用します」と彼は言いました。「大規模なAWSアカウントではガバナンスも苦痛です。」
AWSは小さなアカウントを持つための原則を最初から提供していますが、大規模に実施することは難しいため、組織は小さく始めるべきだとOzmentは推奨しました。移行中にリスクベースのアプローチを取ることは役立ち、データを一掃する良い機会も提供します。
「次に、自動化、自動化、自動化する必要があります。すべてを自動化することを目指してください。AWSコントロールタワーを使用してください。それを追跡し、自分自身に責任を持たせてください。最も高いリスクのあるものから始めて、下に向かって作業してください」と彼は言いました。