セキュリティ対策の難点の一つは、さまざまな製品があるためにどれが本当に必要な対策なのかが分かりくくなってしまうことだ。セキュリティの軸になるIAMの基本とは。
攻撃がますます巧妙化することを受けて、それに対抗するためのセキュリティ製品が続々と登場している。製品が多様化すればさまざまな対策が打てるようにはなるものの、現実には「本当に必要な対策が分からない」「コストがかさむ」といった悩みをセキュリティ担当者は抱えがちだ。
セキュリティ対策の軸としてユーザー企業は何を重視すべきなのか。セキュリティベンダーBeyondTrustのチーフセキュリティストラテジストであるクリストファー・ヒルズ氏は、まず重要なものとして「アイデンティティーおよびアクセス管理」(IAM)を挙げる。その理由と、IAMを徹底するための基本とは何か。
ヒルズ氏は、多様なセキュリティ対策が求められるようになる中でもIAMが中心であることは変わらないと説明する。IDやパスワードといった認証情報が流出すれば、ランサムウェア(身代金要求型マルウェア)をはじめとした攻撃の入り口を生んでしまう。システムやデータへのアクセスを適切に制御することも、セキュリティインシデントを抑止するためには重要になる。「システムへの侵入や情報漏えいを防ぐには、IDおよびアクセスの適切な管理が欠かせない」(同氏)
IAMを徹底するための対策として、ヒルズ氏が推奨する取り組みは次の通りだ。
セキュリティ教育やトレーニングによって、従業員のセキュリティに対する意識を向上させることが重要だ。攻撃者は「ソーシャルエンジニアリング」(人の心理を操る詐欺手法)を使って標的の認証情報を狙う。例えば米国では「学校で無差別銃撃事件が起きている」といった内容のメールを送信し、不正なリンクをクリックさせる手口が見られる。「フィッシングメールの“わな”にはまらないようにするためには、自分自身がフィッシングメールの標的になり得ることを肝に銘じる必要がある」(ヒルズ氏)
課題になりがちなのがパスワード管理だ。特にパスワードを再利用したり、複数のシステムに同じパスワードを使用したりすることが、攻撃を受けるリスクの増大につながる恐れがある。Webブラウザにパスワードを保存するのではなく、パスワード管理ツールを使うことも重要だとヒルズは説明する。不正アクセスのリスクを抑制するためには、多要素認証(MFA)ツールを使うことも有効だ。
顔や指紋による生体認証も有効だとヒルズ氏は説明する。ただし、生体認証でも安全とは言い切れない。ソーシャルエンジニアリングによってエンドユーザーに顔をスキャンさせて生体認証を回避する「Gold Pickaxe」といったマルウェアが登場しているからだ。生体認証は比較的安全性が高いとはいえ、それによって攻撃を完全に防げると考えてはいけない。
アクセス制御に関して重要なのは、社内だけではなく、社外からのアクセスも管理することだ。「SaaS」(Software as a Service)を使用する場合は、複数のサードパーティーベンダーのシステムと連携している場合があることに注意する必要がある。そうした連携がある場合は、サードパーティーベンダーのシステムにもリスクがある可能性を前提にして、不適切なアクセスがないかどうかを管理することが欠かせない。
アクセス制御の基本は、エンドユーザーに“必要な権限のみ”を“必要な時間だけ”付与することだとヒルズ氏は強調する。例えば、オンプレミスシステムからクラウドサービスに移行する場合は、直接そのプロジェクトに携わっている人のみに必要な権限を与え、プロジェクトが終われば、権限を無効にするといった具合だ。
ユーザー企業は、攻撃を受ける事態を想定してサイバー保険に加入していることがある。ヒルズ氏によると、近年になって攻撃が活発化したことを受けて、保険会社はユーザー企業により厳しい補償の要件を課すようになっている。例えば、MFAを導入しているユーザー企業が攻撃を受けたとする。侵害されたアカウントがMFAで保護されていなかった場合、契約内容によっては保険会社は保険金の請求を拒否できる。
脆弱(ぜいじゃく)性管理やパッチ(修正プログラム)適用についても注意が必要だ。サイバー保険によっては、パッチ適用に90日の猶予期間が認められている場合がある。しかしそのシステムがパッチ適用の対象として見落とされていたり、パッチ提供が止まっていたりするシステムの場合、保険会社は保険金の請求を拒否できることがあるという。
サイバー保険に加入する場合、インシデント対処の計画策定と定期的なテストも重要だ。インシデント対処の計画がないとサイバー保険に加入できないことがある。インシデント対処の計画を策定しておけば、攻撃を受けた際に冷静に行動して被害を最小限に抑えられるようになる。サイバー保険に入るかどうかにかかわらず、インシデント対処の計画は策定しておくべきだ。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。
ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。
DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
ITmediaはアイティメディア株式会社の登録商標です。
