直ちに廃止すべき7つの時代遅れなセキュリティ慣行

悪い習慣を断ち切り、より良い習慣を築くには、忍耐力、自己認識、そして決意が必要です。これは個人的な習慣であれ、もはや必要性や信頼性を失った時代遅れのセキュリティ慣行であれ同じことです。

あなたの企業は、すでに有効期限が切れているセキュリティ手法や技術に依存していませんか？ここでは、歴史の彼方へと葬るべきいくつかの時代遅れのセキュリティ慣行を紹介します。

1. 境界型セキュリティだけで十分だと考えること

今日の職場環境の大半はクラウドベースで、リモートワークや分散型が主流だと、国際的なタンカー運営会社International SeawaysのCIO兼CISOであるAmit Basu氏は指摘します。「固定された境界を守るという従来の方法はもはや通用しません。」

クラウドファーストかつハイブリッドな働き方が進む中で、ユーザーやデータが従来の境界の内外に存在するため、境界型セキュリティだけでは、組織は横方向の攻撃やランサムウェア、データ流出に対して危険にさらされるとBasu氏は述べます。彼はゼロトラストの導入、つまり「決して信頼せず、常に検証する」姿勢を、場所を問わず採用することを推奨しています。

2. コンプライアンス主導のセキュリティアプローチを取ること

あまりにも多くのチームが、実際のサイバーセキュリティ課題の解決よりもチェックリストを埋めることに重点を置き、コンプライアンスをセキュリティプログラムの中心に据えていると、データセキュリティサービス企業Bedrock SecurityのCSOであるGeorge Gerchow氏は述べます。多くの企業がコンプライアンス基準の達成を目指しても、深刻な情報漏洩を経験していると彼は指摘します。その理由は、規制要件を本当のセキュリティリスクへの対応よりも優先しているからだとGerchow氏は言います。「このGRC（ガバナンス・リスク・コンプライアンス）主導の考え方は時代遅れで機能不全です。」

Gerchow氏は、コンプライアンス主導のセキュリティは偽りの安心感を生み出し、実際の脅威への対応にリソースを割くことを妨げていると考えています。

「私は大規模なGRCチームが、顧客からのアンケートに答えたり監査に取り組んだりすることに時間を費やし、データの保護やアクセス制御の管理、新たな脅威の監視には手が回っていないのを見てきました」と彼は言います。

Bedrock Securityの2025年エンタープライズデータセキュリティ信頼度指数によれば、セキュリティリーダーの82％が重大な可視性のギャップを報告し、65％が機密データの所在特定に数日から数週間かかると答えています。「コンプライアンスはその問題を解決していません」と彼は言います。「多くの場合、問題を記録しているだけです。」

Gerchow氏は、企業はセキュリティの基本原則、すなわち多層防御、ゼロトラスト、そしてCARTA（継続的適応型リスク・信頼評価）による継続的な監視に立ち返るべきだと述べています。

3. レガシーVPNに依存すること

レガシーVPNは非効率的で扱いにくく、管理が難しい上に大きなダウンタイムを引き起こしやすいものです。「現代の職場の要求には応えられません。特に、リーダーがチームに対して、オフィス内外を問わずよりシームレスで柔軟なリソースアクセスを求めている場合はなおさらです」と、ITサービス企業CDWのグローバルセキュリティ戦略責任者Buck Bell氏は述べます。

レガシーVPN技術に依存することは、重大なリスクをもたらします。なぜなら、定期的なアップデートやパッチが必ずしも提供されず、組織がサイバー脅威にさらされる可能性があるからです。「また、レガシーシステムではスケールアップが困難であり、VPNは成長する組織の進化するセキュリティニーズに対応できず、攻撃対象領域の拡大に伴い課題が生じます」とBell氏は述べています。

Bell氏によれば、より優れたアプローチは、SASE（セキュアアクセスサービスエッジ）の導入とゼロトラストの考え方の採用です。「これらの戦略は、ネットワークリソースにアクセスしようとするすべてのユーザーとデバイスを検証することでセキュリティを強化します」と彼は説明します。Bell氏は、このアプローチは多くのVPNが依存している推測や前提を排除できると付け加えます。「リモートワーカーにとって、より良く、より安全なアクセスを実現し、組織のデータ保護に積極的な方法を提供します。」

4. EDRだけで十分な保護が得られると考えること

エンドポイント検知・対応（EDR）ソリューションは、従来のアンチウイルスに比べて大きな進歩ですが、このアプローチだけに頼るのは、現在の脅威環境では不十分だと、サイバーセキュリティ技術プロバイダーNopalCyberのチーフソリューションアーキテクトMichel Sahyoun氏は述べます。

EDRはエンドポイント上の活動の監視や対応、行動分析、脅威ハンティングによる高度な攻撃の検出には優れています。しかし、攻撃者はますますエンドポイントを迂回し、クラウド環境やネットワーク機器、組み込みシステムを標的にしています。

EDRへの過度な依存は重大な脆弱性を生み出すとSahyoun氏は言います。「エンドポイントが十分に保護されていても、攻撃者はクラウド環境やネットワークインフラ、組み込みシステムで検知されずに活動し、機密データへアクセスしたり横方向に移動したりできます。」EDRへの過信は、侵害の長期化やデータ流出、ランサムウェア攻撃につながり、組織が侵入に気付かないままになる可能性があると彼は付け加えます。

Sahyoun氏は、攻撃者がOAuthトークンを悪用して、Microsoft 365やGoogle Workspace、AWSなどのクラウドプラットフォームにEDRで監視されていないまま不正アクセスすることができると指摘します。

「同様に、ネットワーク機器やIoTデバイスは、堅牢な監視やフォレンジック機能が不足しているため、盲点となっています」と彼は述べます。一方で、クラウド環境はログの制限や有料の可視化機能、包括的な検知コンテンツの不足により、検知がさらに難しくなっています。「信頼関係やID、APIを悪用する傾向が強まる中で、EDRのエンドポイント中心のアプローチだけでは不十分です。」

5. SMSテキストメッセージによる二要素認証の使用

かつてSMSによる二要素認証は、パスワード認証だけに比べて大きなセキュリティ向上と考えられていましたが、今では複数の攻撃手法に対して脆弱であることが認識されていると、Microsoft SecurityのシニアセキュリティアシュアランスリードAparna Himmatramka氏は述べます。

残念ながら、通信インフラはもともとセキュリティを考慮して設計されていなかったと彼女は指摘します。「さらに、現在でも携帯電話ネットワークは時代遅れのプロトコルを使用しており、悪用される可能性があります。また、キャリア間で電話番号を移行する際の本人確認手続きも厳格さに欠けます。」

Himmatramka氏によれば、携帯電話に関連するもう一つの危険はSIMスワップ攻撃です。これは多くの犯罪者が被害者の電話番号を自分の管理下のデバイスに移すようキャリアを騙し、認証コードを傍受する手口です。

6. オンプレミスSIEMに依存すること

オンプレミスのセキュリティ情報・イベント管理（SIEM）ツールはアラート疲れを引き起こし、クラウドへの対応力も乏しいと、Bedrock SecurityのGerchow氏（同氏はセキュリティアドバイザリー企業IANS Researchの教員でもある）は述べます。これにより、組織は大量のデータを高コストで移動・保存するか、クラウド環境の保護に必要な重要なログを除外するかの選択を迫られます。

「ログのために法外なコストを払っている場合、選択と集中をせざるを得ず、セキュリティ体制をギャンブルに委ねることになります」と彼は指摘します。

多くの組織は、機密データをクラウドに置くことへの不安からオンプレミスSIEMに固執していますが、「正直なところ、その時代はもう終わりました。次のステップに進む時です」とGerchow氏は述べます。

7. エンドユーザーをセキュリティ文化の受け身な存在にしてしまうこと

どんなセキュリティシステムでも、人間が最も弱いリンクであるのが現実だと、セキュリティ・クラウド・コラボレーションソリューションプロバイダーXTIUMのプリンシパルテクノロジーコンサルタントKevin Sullivan氏は述べます。「悪意ある攻撃者は一度でも成功すればよく、1回の攻撃で何百万人もの人やプロセス、システムを標的にできます。一方で善良な側は、毎日毎回、常に正しく対応しなければなりません。」

誰も自分がフィッシング攻撃の被害者になるとは思っていませんが、実際には多くの人が被害に遭っていますとSullivan氏は言います。「ユーザーがたまたまタイミングが悪い時に攻撃を受ければ、それだけで十分です」と彼は警告します。「LinkedInやFacebook、その他さまざまな情報源を活用した高度なソーシャルエンジニアリング戦術により、攻撃の巧妙さはかつてないほど高まっています。」

Sullivan氏は、能動的なセキュリティこそが答えだと考えています。適切なセキュリティツールや慣行を導入することはどの企業にとっても重要ですが、セキュリティ意識向上トレーニングを実施し、ユーザーがデータやシステム、ビジネス運営を守るために積極的に参加できるよう教育・啓発することが不可欠です。

「継続的な教育・準備・参加への取り組みがなければ、どれだけセキュリティツールやソリューション、戦略に投資しても、企業は失敗する運命にあります」と彼は述べます。「十分に教育され、準備されたユーザーこそが、最初で最強の防御線です。」