セキュリティリーダーが把握すべき2024年4つのセキュリティリスク
セキュリティリスクを低減するためには、国内外のセキュリティ動向を正しく捉えることが重要です。トレンドマイクロや各種機関の調査などからみえてきた動向から、注目すべきセキュリティリスクを解説します。
人材不足が引き起こすセキュリティリスク
人材不足の問題は深刻です。とくに、新しい技術領域における専門人材の不足は世界的な問題です。
新しいビジネスの競争優位性を獲得するために、クラウドは有効ですが、その安全な活用のためには専門人材が必要です。S&P Global Market Intelligence傘下の451 Research社の調査によると、調査対象の44%が、クラウドに関する資格のある人材を採用するのは難しいと回答しています※1。こうした傾向は、世界共通の課題かもしれません。米国にくわえ、日本、英国など複数の国と地域のITセキュリティ関与者を対象に、米NPOのISC2(International Information Systems Security Certification Consortium)が実施した最新の労働力調査においても、35%が、クラウドセキュリティに「知識がない、または最小限の知識」しか持っていないと回答しています※2。
適切な管理なしにクラウドなどの新しい技術利用が進めば、セキュリティリスクも拡大します。クラウド環境で、専門人材の不足によりとくに危惧されているのが、構成ミスです。2023年のクラウドセキュリティアライアンス(CSA)のレポートによると、組織の43%が、構成ミスをセキュリティの最大の懸念事項としてあげています※3。トレンドマイクロが、クラウド環境の設定ミスや不備を検出するソリューションTrend Micro Cloud One™のデータを分析した結果、Amazon Web ServicesおよびMicrosoft Azureにおける様々な構成ミスを確認することができました。なかには、ミス/不備の検出率が100%となったルールもありました※4。
こうした専門領域について、委託するのか、内製するのか、内製の場合は、新規で専門人材を採用するのか、社内で育成するのか、検討が必要です。とくに、国内では人口減や高齢化が急速に進んでいます。2024年内、人口の半数が50歳以上となるとの推計もあり(国立社会保障・人口問題研究)、自組織の事業、IT戦略を踏まえた中長期視点での、人員計画が求められます。
※1 Voice of the Enterprise: Cloud、Hosting & Managed Services、Cloud Skills 2022(451 Research、2023/5/27)
※2 Cyber Workforce Study 2023(ISC2)
※3 Cloud Security Alliance Survey Finds Complexity of Multi-cloud Environments Driving Use of Cloud Native Application Protection Platforms(CSA,2023/8/24)
※4 The Most Common Cloud Misconfigurations That Could Lead to Security Breaches(Trend Micro,2021/10/25)
拡大する攻撃対象領域
増えるシステム/API連携で生まれるセキュリティリスク
複数のクラウドサービスを連携させたり、サーバやサービスに接続したりする際に、その接点でもセキュリティリスクが発生します。それぞれのクラウドサービスは、セキュリティを念頭に置いて設計されていますが、複数のクラウドを連携させる場合、重要データがその間で移動することを考慮し、セキュリティを担保することが重要です。クラウドにアクセスするアプリケーションが安全であることを確認することも必要です。
組織が利用する多様なシステムやデータのシームレスな統合を可能にするのが、アプリケーションプログラミングインタフェース(API)です。APIを使用し、異なるクラウド環境にホストされた複数のアプリケーションを利用する組織にとっては、パブリックおよびプライベート環境のAPI両方を管理することは、難しい状況かもしれません。2022年に実施されたAPIセキュリティに関する調査では、従業員数10,000人以上の大企業では、平均25,592のAPIを利用していることが分かりました※1。APIを介しアプリケーションやシステムのデータ共有が行われることを考えると、多数のAPIのなかに、わずかでも適切に管理されていないAPIが含まれていれば、結果として、組織の攻撃対象領域を大きく増やすことになります。
セキュリティが脆弱なAPIがサイバー犯罪者に悪用されれば、顧客の個人情報など、機密性の高いデータまで盗み出されてしまうリスクもあります。サイバー犯罪者にAPIが悪用された事例として、2023年1月、米通信大手のT-Mobileが、顧客の氏名、請求先住所、メールアドレス、電話番号、生年月日などの情報が漏えいしたことを報告しています※2。
※1 The 2022 API Security Trends Report(451 Research、Noname Security)
※2 T-MOBILE US, INC.
ネットワークの複雑化で見落とされるセキュリティリスク
柔軟なワークスタイルやクラウド利用のため、組織は、マルチクラウドやハイブリッドクラウドの環境をサポートする必要があります。さらに、メタバースなどの高度な機能を必要とするシステムを計画する場合、堅牢なネットワークインフラストラクチャが必要です。サイバー攻撃者は、こうした、組織のネットワークの複雑さで見落とさせるセキュリティの問題を悪用します。ネットワークに残る脆弱性を悪用したり、分散型サービス拒否(DDoS)攻撃を仕掛けたりします。
2017年に大規模なサイバー攻撃を起こし、最終的に150か国の23万台以上のコンピュータに感染を引き起こした「WannaCry」では、ネットワークの脆弱性が悪用されました。悪用されたSMBv1(Server Message Block v1.0、ネットワーク経由でファイルやプリンタ共有を行うプロトコル)は、無効化することが強く推奨されているにもかかわらず、SMBv1の脆弱性は、今なお多く存在します。2023年9月に報告された、調査でも、今日の企業の74%が、EternalBlueエクスプロイト(WannaCryなどのランサムウェアが使用)に悪用される可能性のあるSMBv1の脆弱性を持った資産を少なくとも1つ、もっていることが明らかになりました※1。
また、DDoS攻撃は、依然として広く使用されています。2023年上半期だけでも、790万件のDDoS攻撃が確認されています※2。2023年には、Google、Amazon、およびCloudflareのテクノロジー企業大手が、通信方法の一つであるHTTP/2の脆弱性を狙われ大規模なDDoS攻撃に見舞われたことが報告されています※3。
※1 New research reveals most-attacked, most-vulnerable assets(2023/9/5)
※2 Netscout Identified Nearly 7.9M DDOS Attacks in the First Half of 2023(2023/9/23)
※3 Internet companies report biggest-ever denial of service operation(2023/10/12)
攻撃者に狙われるメッセージングプラットフォーム
依然として、メールは、サイバー攻撃者にとって人気の攻撃手法です。実際、2022年にトレンドマイクロ製品がブロックした脅威約1,464億件のうち、55%がメールに関する脅威でした※1。
このように、サイバー攻撃の多くは依然として、メール起点である一方、サイバー攻撃者は、SlackやMicrosoft Teamsなど、広く使用されているコメッセージングプラットフォームにも注目しています。2023年1月には、Slackは、リポジトリが不正アクセスされ、ソースコードが漏えいしたことを報告しました※2。また、2023年7月から9月には、SkypeやMicrosoft Teamsにおいて、不正なメッセージを配布するマルウェア「DarkGate」による活発な攻撃キャンペーンが確認されています※3。確認された事例では、攻撃者は、Skype上で被害者に不正なVBAスクリプトを送り付け、これを実行するように誘導しています。ここで使われた誘導の手口には、被害者が所属する組織と提携関係にある別組織が騙られ、その信頼関係が利用されています。Skypeなどの正規アカウントを侵害した手法は不明ですが、アンダーグラウンドのフォーラムや親企業に対する過去の攻撃で流出済みの認証情報が利用されたと推測されています。
全般的には、依然としてメールが狙われている状況に変わりはありませんが、ビジネスのコミュニケーションツールとして新たな主役となりつつある、プラットフォームのリスクを把握し、適切なセキュリティ対策や利用にあたっての従業員への啓発が求められます。
※1 なぜEDRでは不十分?脅威の半数以上を占める不正メールを可視化するXDRの有効性(2023/8/15)
※2 Slack Says Hackers Stole Private Source Code Repositories(2023/1/5)
※3 SkypeやTeamsを介してマルウェア「DarkGate」を企業組織に配布する攻撃活動について解説(2023/11/24)
ITインフラの多様化で低下するセキュリティ可視性
現在、組織のクラウド利用は、プライベートとパブリッククラウドで構成される「ハイブリッド環境」と、複数のプロバイダのクラウドサービスで構成される「マルチクラウド環境」に大きく依存しています。451 Research社が、北米やヨーロッパ、アジア太平洋地域などで実施した調査によると、98%の組織が少なくとも2つのクラウドプロバイダを利用中、または利用予定と回答し、さらに31%は4つ以上を利用している状況がわかりました※1。複数のクラウドを利用することは、セキュリティの可視性にも影響します。これは、クラウド環境で問題なっている構成ミスの放置や、サイバー攻撃の検出の遅れにもつながります。
また、クラウドサービス自体のセキュリティにも注意が必要です。一つは、脆弱性の問題です。2023年4月には、Google Cloud Platformで、ゼロデイ脆弱性が報告されています※2。この脆弱性が悪用されることで、サイバー攻撃者が、Googleアカウント内に悪意のある検出不能なアプリを隠し、このアプリを通じ、被害者のGmailアカウントを不正に侵入し、Google DriveやGoogle Photosにアクセスできるようになるほか、Google Mapsの位置も追跡できることが確認されています。
また、Google Workspaceに関しては、無料アカウントの場合、Google Driveのログが記録されないことが、2023年にセキュリティ専門家に指摘され、そのセキュリティリスクが問題になりました※3。ログが記録されないということは、Google Driveの利用に関連する一連のイベントを把握できないということです。サイバー攻撃者により、データを窃取されたとしても、それを検出、調査することは難しくなります。
※1 98% of Enterprises Using Public Cloud Have Adopted a Multicloud Infrastructure Provider Strategy(451 Research、Oracle、2023/2/9)
※2 'GhostToken' Opens Google Accounts to Permanent Infection(2023/4/21)
※3 Mitiga warns free Google Drive license lacks logging visibility(2023/6/1)
コンプライアンスにおける新しいセキュリティリスク
今日、重要インフラやグローバル企業など、多くの組織にとって、国内外の規制や基準、ガイドラインへの対応は重要課題になっています。懸念事項の一つになっているのが、クラウドのガバナンスです。クラウドセキュリティアライアンス(CSA)によるITセキュリティ関与者への調査で、57%がクラウドプロジェクトにおいて、法規制へ遵守できているか懸念がある、と回答しています※1。
金融機関の事例を考えます。顧客に高速で一貫性のある信頼性の高いオンラインサービスを提供するには、クラウドサービスの利用は有効な選択肢です。一方で、大量の個人情報や財務情報を扱う金融機関では、クラウドサービスプロバイダが大量の重要データを保護するためのコンプライアンス認証を取得していることを確認する必要があります。Payment Card Industry Data Security Standard(PCI DSS)やSystem and Organization Controls 2(SOC 2)が、それに該当します。クラウドサービス利用においてコンプライアンスを維持することは、多様なデータソースを可視化し、管理できるかどうかにかかっています。
また、生成AIに関しても、注意が必要です。生成AIに関しては、サイバー攻撃への悪用に関しても警戒がされていますが、くわえて注意が必要なのが、組織が把握できない、していない従業員のAIツールの利用、シャドーAIです。適切な管理下で利用されなければ、意図せず、組織の機密情報が漏えいする事態にもなりかねなません。ChatGPTをはじめとする生成AIのビジネスへの浸透を受け、2023年、個人情報保護委員会は、個人情報取扱事業者などに利用にあたっての注意喚起を行っています※2。このなかで、同委員会は、個人情報を取り扱う事業者が、本人の同意なく、生成AIに個人情報を含むプロンプトを入力し、その結果の出力以外の目的でこの個人情報を利用する場合、個人情報保護法に違反する可能性になること示しました。セキュリティツール、運用での対策のアップデートに加え、シャドーITのリスクを下げるため、従業員に対しては、生成AIの利用を認めていない組織であっても、利用上の注意やリスクを啓発することが重要です。
※1 New and Unique Security Challenges in Native Cloud, Hybrid and Multi-cloud Environments(CSA、2019/5/21)
※2 生成 AI サービスの利用に関する注意喚起等(個人情報保護委員会、2023/6/2)
多様なセキュリティツールの導入が引き起こす対応力の低下
米国や日本など世界の国と地域のITセキュリティ関与者を対象に、Ponemon Institute社が実施した調査※1では、組織は平均45種類のセキュリティソリューションを利用しており、さらに約30%は、50以上のソリューションを利用していることが分かりました。調査では、こうしたセキュリティソリューションの数が、検出や対応などサイバー攻撃対応における一連の活動に悪影響を及ぼしていることがわかりました。50種類を超えるセキュリティソリューションを使用している組織は、攻撃の検出効率が8%低下し、対応効率が7%低下することが確認されたのです※1。
多くのセキュリティソリューションを利用することは、すなわち、多くのアラートを受け取ることと同じであり、セキュリティチームやSOCなどの運用に大きな負担となる可能性があります。実際、世界の国と地域において、ITセキュリティやSOC責任者を対象にトレンドマイクロが実施した調査では、回答者の51%が、セキュリティアラートの量に圧倒され、55%は、セキュリティアラートの優先順位付けに自信がないと回答しています※2。
こうした課題が多いセキュリティ運用が常態化すれば、大きなセキュリティインシデントにつながるリスクもあります。それを示すのが、ビデオ会議システムなどコミュニケーションソフトウェア3CXのサプライチェーン攻撃の事例です。2023年3月、同社のソフトウェア製品が改ざんされ、これにより製品顧客へもサイバー攻撃が広がるサプライチェーン攻撃が発生しました。世界で60万以上の顧客組織を持つという同社を起点するサプライチェーン攻撃の発生は、大きな関心を集めました。そのなかで、同社のセキュリティ運用についても注目がされました。本攻撃に関するセキュリティアラートは実際上がっていたものの、過去に多くのセキュリティアラート受けていたため、同社は誤検出であると判断し、数日間に渡りアラートを却下していたということです。増加するセキュリティリスクに対して、セキュリティ体制が追い付いておらず、セキュリティ投資がかえってリスクにつながっているという皮肉な事態となっているのです。
※1 When More is Not Necessarily Better: The Impacts of Multiple Security Tools(2021/11/3)
※2 70% Of SOC Teams Emotionally Overwhelmed By Security Alert Volume(2021/5/25)
※3 CX Attack Shows The Dangers Of ‘Alert Fatigue’ For Cybersecurity(2023/4/3)
※3 CXデスクトップアプリを悪用した攻撃を確認(トレンドマイクロ、2023/3/31)
セキュリティリーダーには、セキュリティ体制を再検証し、適切な指標とアクション項目を特定し、新しいセキュリティリスクに対応していくことが求められています。専門人材の不足、攻撃対象領域の拡大、そしてセキュリティソリューション増加に伴う対応力の低下といった同時に進む課題に対して、技術面からは組織全体のセキュリティを統合できるセキュリティプラットフォームの導入が一つのソリューションになるでしょう。また、セキュリティ事象への個別、都度対応、ITインフラや資産管理依存したセキュリティから脱却し、自組織のビジネスリスクとしてのサイバーリスクを特定し、アタックサーフェスサーフェスリスクマネジメント(ASRM:Attack Surface Management)のアプローチで、サイバーリスクの全体像と優先度を把握することで、より効率的なセキュリティ運用が可能になります。
本記事は、2023年12月23日にUSで公開された記事STEERING CLEAR OF SECURITY BLIND SPOTS What SOCs Need to Knowを編集したものです。
Security GO新着記事
国内でも活発化するDDoS攻撃の事例を解説~攻撃者の目的や対策は?~
(2024年12月20日)
AIガバナンスの動向は?各国のAI法規制を概観
(2024年12月20日)
サイバー攻撃でよく悪用される正規ツールとは?
(2024年12月19日)