_Bob_Venezia_Alamy.jpg?width=1280&auto=webp&quality=80&format=jpg&disable=upscale "A white cloud with binary data and a locked padlock with a keyhole illustrating the idea of data security in the cloud.")
出典:Bob Venezia(Alamy Stock Photoより)
論評
クラウド環境がますます複雑化し、攻撃者が高度化する中で、組織はインフラのセキュリティ対策を見直す必要があります。シンガポールで最近発生したサイバー攻撃は、重要な警鐘となっています。最近のレポートによると、Rubrickは、シンガポールの組織のほぼ20%が2024年に25件以上のサイバー攻撃を経験し、平均して2週間に1回以上の攻撃を受けていることを明らかにしました。
また、92%のシンガポールのITおよびセキュリティリーダーがハイブリッドクラウド環境を管理しており、約半数が自社のワークロードの大部分をクラウド上で運用していると報告しています。従来の境界型防御モデルはもはや十分ではありません。脅威アクターはこの複雑さを悪用しています。先手を打つためには、組織は境界の防御から、オンプレミスかクラウドかを問わず、データそのものの保護へと焦点を移す必要があります。特に米国の組織は、シンガポールの事例を参考に、手遅れになる前にクラウドセキュリティ戦略を再考すべきです。
広範な攻撃対象領域での検知を優先する
クラウド導入の拡大、ハイブリッドワークモデル、SaaSの増加により、サイバー攻撃は加速し続けており、多くのセキュリティチームがどこからサイバー防御を始めればよいか分からなくなっています。現実には、すべてを検知することは不可能であり、攻撃の増加に伴いサイバー防御の優先度が高まっています。まずは、最も大きな被害をもたらす脅威に注目しましょう。フィッシング、マルウェア、そして内部脅威が、現実世界での情報漏えいの主な原因となり続けています。
次に、行動ベースの検知へとシフトしましょう。ユーザーやシステムにとって「通常」がどういう状態かを理解していれば、不審なログインや異常なファイル移動などの異常が、アラート評価時により明確に浮かび上がります。最も重要なのは、クラウド環境、オンプレミス、エンドポイント、そしてその間にあるすべてのエコシステム全体を見渡せる可視性を持つことです。すべてのアラートに振り回されるのではなく、どこを見るべきか、何が本当に重要かを見極めることが大切です。
現在、ランサムウェアグループは復旧の要となるデータバックアップを直接標的にしています。単にバックアップを持っているだけでは不十分で、それらが堅牢である必要があります。まずは、バックアップを隔離しましょう。エアギャップシステム(他のネットワークから物理的に隔離されたコンピュータやネットワーク)や、改ざんや削除が不可能なイミュータブルストレージなどを活用することで、バックアップが外部からアクセスできない状態を確保します。次に、アクセスを厳格に管理しましょう。理想的には、信頼できるごく少数の従業員だけがバックアップインフラにアクセスできるようにし、潜在的な攻撃リスクを最小限に抑えます。最後に、定期的にバックアップの復元手順をテストし、攻撃後にデータが確実に復旧できることを確認しましょう。
内部脅威と初期警告サインを見逃さない
組織が見落としがちなもう一つの潜在的脅威は、内部者によるサイバー攻撃です。不正な内部者や、盗まれた認証情報を使う悪意あるアクターなど、ハイブリッド環境では侵害のずっと前から警告サインが現れることがよくあります。残念ながら、これらのサインは積極的に探していないと見逃しやすいものです。例えば、異常なログイン時間、見慣れない場所からのアクセス、「タイムトラベル」ログインなどは典型的なサインです。また、ユーザーが突然普段はアクセスしないシステムやデータにアクセスし始めた場合も、すぐに警戒すべきです。盗まれた認証情報を持つ攻撃者は、他にどこにアクセスできるかを探る傾向があります。
例えば、従業員の役割と一致しない大容量ファイル転送や、業務時間外に正当な理由なく機密データへアクセスするなどの説明のつかない行動が見られるかもしれません。また、従業員が急に無口になったり、不満を抱えたり、通常のセキュリティポリシーに反発するなど、行動面での警告サインもあります。退職、評価の低下、社内トラブルの後などは、特にセキュリティチームが警戒すべきタイミングです。
いずれの場合も、早期発見にはパターンを認識するための「点と点をつなぐ」ことが重要です。これらのシグナルは単体では大きな意味を持ちませんが、パターンが見え始めたら調査のタイミングです。盗まれた認証情報による脅威か内部者によるものかに関わらず、早期発見には可視性と、自組織における「通常」を知ることが不可欠です。
AIがサイバーセキュリティの戦場を変えている
人工知能(AI)は、セキュリティの両側面でサイバーセキュリティを変革しています。防御側では、世界中で脅威検知と対応が劇的に向上しています。AIや機械学習は、人間のアナリストよりも迅速に異常を特定し、しばしば手遅れになる前に発見できます。また、大規模な脅威ハンティングや自動修復にも役立っています。しかし、攻撃者もAIを活用しているのは事実です。
初期の例として、AI生成のフィッシングメールは検知が非常に難しくなっており、自動化された脆弱性スキャンやエクスプロイト開発の初期兆候も見られます。ハイブリッドクラウド環境は複雑性が高いため、AIはそのペースについていくための不可欠なツールです。それでも、万能薬ではありません。AIが出す結果を解釈し、行動に移すためには、熟練した人間の監督が不可欠です。
攻撃側では、ハイブリッドクラウド環境においてゼロトラストの考え方を採用することが、組織がまず取り組むべきポイントです。これにより、受動的な対応から能動的なセキュリティ戦略へと移行し、リアルタイムでの全体監視が強化されます。サイバーセキュリティはチームスポーツです。開発者、IT、ビジネスチームが日常業務の中でセキュリティを意識することで、ハイブリッドクラウド環境で脅威を追いかけ続けるのではなく、先手を打つことができるようになります。
ハイブリッドクラウドセキュリティの未来
脅威が激化し、クラウド導入が拡大する中、組織は時代遅れのセキュリティモデルを捨てなければなりません。今後は、データ中心のセキュリティ、行動ベースの検知、堅牢なバックアップ保護、そしてゼロトラストアプローチへとシフトする必要があります。最近のシンガポールでの攻撃は、脅威の状況がいかに急速に変化するか、そしてリアルタイムで適応することがいかに重要かを示しています。AIが攻撃・防御の両戦略を再構築する今、開発から運用、ビジネスに至るすべてのチームがセキュリティファーストの意識を持つことはもはや必須です。それこそが、急速に進化するデジタル世界で先を読み、対応し、強靭性を保つ唯一の方法です。サイバーセキュリティはITだけの問題ではなく、チーム全体の取り組みです。
著者について
Pluralsight グローバルパートナーシップ担当副社長
Drew FirmentはPluralsightのグローバルパートナーシップ担当副社長であり、企業と協力して革新的な学習プログラムの構築・拡大を支援し、従業員の準備とテクノロジー導入の加速を推進しています。彼は30年以上にわたり、複雑なテクノロジープログラム、エンタープライズプラットフォーム、組織文化の変革をリードしてきました。DrewはかつてCapital Oneのエンタープライズクラウド運用を率い、Amazon Web Services(AWS)の初期導入者の本番移行に注力しました。彼はCapital Oneのクラウドエンジニアリングカレッジを設立し、大規模な人材変革を推進、クラウド導入と成熟度を測定する特許も取得しています。彼はAmazonから、包括的かつ持続可能な学習コミュニティ構築への継続的な取り組みにより、AWS Community Heroとして認定されています。
Pluralsight 主任セキュリティ著者
Matthew Lloyd DaviesはPluralsightの主任セキュリティ著者であり、サイバーセキュリティの著述家・研究者です。認定ペネトレーションテスターおよびインシデントハンドラーとして、PluralsightのCompTIA Pentest+ 専門攻撃コースや、ワイヤレス、ICS/OT、ハードウェアハッキングに関するコースを作成しました。Mattはまた、Pluralsightのセキュリティラボポートフォリオの構築にも携わっており、これらのラボは組織が直面する脅威や脆弱性を実践的に理解するのに役立ちます。化学工学のバックグラウンドを持ち、特に産業用制御システム(ICS)などの運用技術のセキュリティに注力しています。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/securing-cloud-age-escalating-cyber-threats