やめるべき7つのセキュリティ習慣

Sergio Delle Vedove | shutterstock.com

悪い習慣をやめる（あるいはより良い習慣を身につける）には、忍耐、自制心、そして決意が必要です。これは個人レベルでも、セキュリティ技術のレベルでも同様です。

この記事では、すでに賞味期限切れとなっている7つのセキュリティプラクティスをまとめました。

1. 境界型セキュリティだけで十分だと思い込む

現在のほとんどの職場環境はクラウドベースで、多くの場合リモートワークも含まれています。石油製品の輸送サービス企業International SeawaysのCIO兼CISOであるAmit Basu氏もそう指摘します。彼の結論はこうです。「従来の明確に定義された境界を守るという古い方法は、ハイブリッドやクラウドファーストの職場環境ではもはや機能しません。ユーザーやデータが従来の境界の内外に存在するため、境界型セキュリティだけに頼る企業は危険な脅威にさらされます。」

セキュリティやITの意思決定者によれば、これにはランサムウェア攻撃なども含まれます。より良く、現代的な解決策はゼロトラストへの移行です。

2. セキュリティをコンプライアンスに合わせる

セキュリティサービス企業Bedrock SecurityのCSOであるGeorge Gerchow氏は、多くのチームがセキュリティプログラムの構築においてコンプライアンスに頼りすぎていると考えています。その結果、サイバーセキュリティ上の課題を解決するのではなく、チェックリストをこなすだけになってしまうと言います。「このGRC（ガバナンス・リスク・コンプライアンス）志向の考え方は時代遅れで機能不全です。」

Gerchow氏によれば、コンプライアンス重視のセキュリティは誤った安心感を与え、本来は実際の脅威対策に使うべきリソースを奪ってしまうとのこと。「その結果、大規模なGRCチームが顧客アンケートへの対応や監査作業に時間を費やすことになります。本来はデータ保護、アクセス制御の管理、新たな脅威の監視が重要なのです。」

このためCSOは、企業はITセキュリティの基本原則に立ち返るべきだと確信しています。その実現にはゼロトラストアプローチや、CARTAアプローチ（継続的適応型リスク・信頼評価）などの継続的モニタリングが有効だと述べています。

3. レガシーVPNを使い続ける

古いVPNインスタンスは非効率で扱いづらく、重大なダウンタイムを引き起こす可能性があり、管理も難しくなります。ITサービス企業CDWのグローバルセキュリティ戦略責任者Buck Bell氏も「レガシーVPNは現代の職場の要件を満たせません。特に、経営層はチームがオフィスでもリモートでもシームレスかつ柔軟にリソースへアクセスできることを求めています」と述べています。

さらに、こうしたレガシーシステムは成長する企業の変化するセキュリティ要件に対応できず、スケーラビリティがありません。「攻撃対象領域が広がるにつれて課題が増えます。古いVPNは更新やパッチが定期的に提供されないことが多く、リスクがさらに高まります」とBell氏は指摘します。

より良いアプローチは、SASE（Secure Access Service Edge）への移行とゼロトラストアプローチの採用です。セキュリティ専門家のBell氏も「これらの戦略は、ネットワークリソースにアクセスしようとするすべてのユーザーとデバイスを検証することで、セキュリティレベルを高めます」と強く推奨しています。

4. EDRだけに頼る

エンドポイント検知・対応（EDR）ソリューションは、従来のアンチウイルスソフトに比べて大きな進歩ですが、現代の脅威環境ではこれだけでは不十分だと、セキュリティベンダーNopalCyberのチーフソリューションアーキテクトMichel Sahyoun氏は説明します。「EDRはエンドポイントの監視・対応・複雑な攻撃の検知に優れていますが、攻撃者はエンドポイントを回避し、クラウド環境やネットワーク機器、組み込みシステムを狙うようになっています。」

EDRに過度に依存すると、重大なセキュリティギャップが見逃される可能性があります。最悪の場合、サイバー犯罪者が長期間気付かれずに企業ネットワーク内に潜伏することを許してしまうと、マネージャーは警告します。「攻撃者は例えばOAuthトークンを悪用し、EDRで保護されたエンドポイントに一切触れることなく、クラウドプラットフォームへの不正アクセスを得ることも可能です。」

同様に、ネットワーク機器やIoTデバイスも多くの場合、監視やフォレンジック機能が不十分で、死角となります。「クラウド環境ではログ取得や可視化機能が制限されていたり有料だったりするため、検知がさらに難しくなります。攻撃はますます信頼関係、ID、APIの悪用へとシフトしており、エンドポイント中心のアプローチだけでは不十分です」とSahyoun氏は指摘します。

5. 2要素認証にSMSを使う

SMSベースの2要素認証は、かつては（パスワード認証と比べて）大きな進歩とされていました。しかし、現在ではこの方法も時代遅れでリスクが高いとされています。

MicrosoftのシニアセキュリティアシュアランスリードAparna Himmatramka氏は次のように説明しています。「残念ながら、通信インフラはセキュリティを考慮して設計されていません。また、携帯電話ネットワークは今も古いプロトコルを使っており、悪用される可能性があります。さらに、電話番号のキャリア間移転も厳格な本人確認なしで行われることが多く、SIMスワッピング攻撃のリスクが高まります。」

6. オンプレミスSIEMを使い続ける

ローカルにインストールされたSIEMツールも、セキュリティマネージャーのGerchow氏にとっては問題です。なぜなら、警告の洪水を引き起こし、さらに多くの場合クラウドに対応していないからです。

「これにより、企業は膨大なデータを高コストで移動・保存するか、クラウド環境を守るのに不可欠な重要なログを見逃すリスクを取るかのどちらかを迫られます」とGerchow氏は警告します。さらに「多くの企業がローカルSIEMに固執するのは、機密データをクラウドに保存することをためらうからです。しかし、正直に言えば、その時代は終わりました。次のステップに進む時です」と述べています。

7. 受け身でいることを許す

自分がフィッシング攻撃の被害者になるとはほとんどの人が思っていませんが、ソーシャルエンジニアリングの手口に毎日多くの人が引っかかっています。

ソフトウェアベンダーXTIUMのプリンシパルテクノロジーコンサルタントKevin Sullivan氏は、企業環境でこれを防ぐには積極的なセキュリティ文化が必要だと確信しています。「適切なセキュリティツールとプラクティスはどの企業にも重要ですが、特に重要なのは、従業員に教育を施し、データ・システム・業務プロセスを積極的に守る力を与えるセキュリティ意識向上プログラムです。」

継続的な教育への取り組みが欠けている企業は自らを妨害しているとコンサルタントは指摘します。この場合、セキュリティツールや戦略への多額の投資も無駄になります。「十分に教育され、準備されたユーザーこそが、最初で最強の防衛線です。」

ITセキュリティに関する他の興味深い記事も読みたいですか？無料ニュースレターでは、セキュリティ意思決定者や専門家が知っておくべき情報をすべて、あなたの受信箱に直接お届けします。