ゼロトラスト博士のブログ

  • ゼロトラスト
  • セキュリティニュース
2021.07.20

経営者にゼロトラストを理解してもらうには

経営者にゼロトラストを理解してもらうには

攻撃者目線で自組織がカモに見えているか

経営層にゼロトラストを理解してもらうにはどうすればよいか、上手に説明しているWebサイトがありました。

Navigating the New Cyber-Threat Landscape:
Zero Trust Risk Measurement and Mitigation Best Practices(英語サイト)
https://blog.nacdonline.org/posts/threat-landscape-zero-trust

金目当ての攻撃グループは、見えないものをわざわざ探すよりも、見えている標的を攻撃します。インターネットで脆弱なVPNサーバやRDSサーバを検索しただけで、すぐに攻撃可能なサーバが無数に出てきます。
本社は適切に管理できていても、海外拠点のVPNサーバは大丈夫でしょうか?
AWS S3の公開設定に不備はないでしょうか?

ゼロトラスト・アーキテクチャが適切に導入された組織のITは、システム、アプリケーション、さらにはユーザーが外部の攻撃者から保護され、脆弱性や機密情報がさらされることが一切なくなります。ユニシス、Illumio、EricomのZTEdge、シスコやその他の企業も、インターネット側に露出する必要のないものをしっかり隠す技術を推進しています。隠すためにはアイソレーションとセグメンテーションを用います。

攻撃者が攻撃する対象を見つけられなければ、システムの脆弱性を突くことが困難になり、攻撃目標を達成するには相当なコストがかかります。これによって金儲け目的の攻撃は確実に減らすことができます。

札束を入れた手提げ袋を持って人混みを歩き回れば当然目立ちますし、攻撃されるのは当たり前です。同じように、インターネット側の誰からでもアクセスできるところにさらされたサーバは確実に攻撃者に見つかり、攻撃されます。これらのリソースを攻撃者から隠せば、大いにサイバー攻撃被害のリスクを減らすことができます。この説明であれば経営層も理解できるでしょう。

泥棒であればホームセキュリティに入っている家や、番犬のいる家を狙わないのと同じ理由です。
必要なのは「抑止力」です。

経営者とはリスク指標で会話しよう

同じ記事では、他にも経営層がサイバーリスクの低減に積極的に関われるようにするためには、
「リスク指標を共有する」ことを推奨しています。

取締役会は、企業リスクを評価し管理する義務があり、サイバーリスクも企業リスクの1つです。
主要なサイバーリスク指標として、サイバー攻撃の数の増減と傾向、インターネットに露出している資産の数、脆弱性の数、IT資産台帳の網羅性、誰がどこで何をしているかを把握しているかの把握、どのクラウドがどのように使われているか、不用意な公開設定がされているクラウドストレージがないか、
といったものがあるでしょう。

これらのリスク指標を用いれば、取締役はサイバーセキュリティに精通していなくとも、意味を理解し、議論し、サイバーリスクを管理することができるでしょう。

サイバーセキュリティチームは自らの防御力を過信している

次はBarracuda社のブログを紹介しますが、
サイバーセキュリティチームは自分たちの能力を過信している、という指摘のブログでした。

Survey suggests cybersecurity teams are overconfident(英語サイト)
https://blog.barracuda.com/2021/07/06/survey-suggests-cybersecurity-teams-are-overconfident/

調査によると、回答者の「約50%」が過去1年間でサイバー攻撃による侵害を経験したと回答しています。
しかし、調査対象者の「92%」は、「現在のセキュリティ対策に自信を持っている」と答えたということです。
この思い違いは、交通事故を何度も起こしているにも関わらず、自分は運転が上手で、シートベルトさえしていれば助かると思いこんでいるのと同じようなものです。セキュリティ対策を毎年積み重ねているセキュリティ担当者からすれば自組織のITはより安全になっていると思いたい気持ちはわかりますが、客観的な指標を元に自社のサイバーセキュリティ能力を評価し直す必要がありそうです。

標的型メール訓練を繰り返しても根本的な解決にはならない

もう一つブログで大事なことが書かれていました。

最高のセキュリティ対策を施しても、人間の行動を完全にコントロールすることはできません。
システム側をセグメント化したりアイソレーションすることはできますが、人がシステムに関わる限り、端末は感染する可能性があります。一般的なフィッシング攻撃キャンペーンでは、5~8%程度の人が釣られてしまうということが知られています。
社員をしっかりセキュリティ教育すれば大丈夫だと信じているなら、それは間違いです。従業員が10人であればなんとかなるかもしれませんが、1万人いたらどうでしょう?1人も釣られないなんて、ありえませんよね。

ゼロトラストは侵害ゼロではない

最後に、私の古巣のフォレスター社が発表したレポートには、「ゼロトラストは侵害ゼロではない」と述べています。これは100%同意しますね。

Zero Trust Doesn’t Mean Zero Breaches(英語サイト)
https://go.forrester.com/blogs/zero-trust-doesnt-mean-zero-breaches/

ゼロトラストは適切な方法でアクセスをコントロールし、過剰な信頼を排除することで、侵害が発生しても被害を最小限に食い止め、大惨事を未然に防ぎます。ゼロトラストが実装された環境であれば、フィッシングメールなどからオンプレミスの端末1台が感染しても、その感染が別の端末に広がることはありせん。端末1台を再セットアップするだけなら組織全体のにとっての被害は小さく、簡単に対処できます。
一方、境界防御の環境で、過剰な共有、デフォルトから変えていないパスワード、脆弱性のあるVPNなどが侵害されれば、組織全体に侵害が広がる可能性があり、その被害の規模は比べ物になりません。フォレスターが長い間話してきた「最小権限の徹底、侵入を前提とする、すべてを検証し監視する」という3つの基本的な原則にもあらためて触れています。これこそが、あなたが目指すべきことであり、継続すべきことです。


ブログ編集者のプロフィール

入社以来一貫して外資のITベンダーを担当。
アシストに技術者として新卒入社したが、5年目で
プロダクトマーケティングにジョブチェンジして以来18年以上従事。
Ericom社製品を2011年の立ち上げから一貫して担当。
難解なテクノロジーをわかりやすい言葉で伝えるのが得意。
サイバーセキュリティの啓蒙と普及に情熱を持って取り組む。

著者 青木裕明

関連している記事

  • ゼロトラスト
  • セキュアブラウジング
  • セキュリティニュース
2021.06.29

重要インフラはランサムウェア等サイバー攻撃にゼロトラストで対処せよ

重要インフラ事業者がランサムウェア攻撃グループに狙われています。 脅威の最大の侵入経路をゼロトラストのアプローチでしっかり閉じて対策しましょう。

  • ゼロトラスト
  • セキュリティニュース
2021.06.08

従業員トレーニングの徹底はゼロトラストか

FBI職員が機密情報を持ち帰って逮捕される事件が発生。2ヶ月に一度のトレーニング徹底でも発生した機密漏洩にゼロトラストができることとは?

  • ゼロトラスト
  • セキュリティニュース
2021.06.07

DarkSideランサムウェア VS ゼロトラスト

DarkSideランサムウェアによって米主要パイプラインが停止。ゼロトラストなら守れたか?

ページの先頭へ戻る