データのプライバシーと組織のセキュリティを確保する方法

今日、1 月 28^日は、米国、カナダ、イスラエル、およびこの日を記念する 47 の EU 諸国ではデータ プライバシー デー (または、欧州連合ではデータ保護デー) として知られています。

プライバシー、特にデータのプライバシーは非常に重要です。 多くの国の憲法（実に 150 を超える）で「プライバシーの権利」について言及されています。 これは国連の世界人権宣言にも記載されており、欧州人権条約によって保護されています。 EU の一般データ保護規則 (GDPR) やカリフォルニア州消費者プライバシー法 (CCPA) など、多くの国、地域、州で数多くのプライバシー規制が制定されています。

データプライバシーデーの焦点は、ユーザーのプライバシーと個人情報を保護することの重要性について、企業と消費者の意識を高めることです。 これは、企業や消費者がユーザーの個人情報をより適切に管理および制御するためのツールの開発を啓発し、奨励することを目的としています。 また、GDPR や CCPA などの既存のプライバシー法や規制へのコンプライアンスの強化を推進することも目的としています。 多くの国際機関、国家機関、省庁、評議会、教育機関、業界コンソーシアムは、データ プライバシー デーを、消費者とユーザーのデータのプライバシーをより適切に保護する方法に関する議論を開始または継続する時期として認識しています。

実践する

保存中または転送中の消費者およびユーザー データのプライバシーを強化する最も一般的で最適な方法の 1 つは、暗号化です。 消費者およびユーザーのデータとそのデータを送信する方法を暗号化することは、個人を特定できる情報を秘密に保つために不可欠です。

今日では、暗号化はどこにでもあります。 ユーザーとデータのプライバシーへの注目が高まり、暗号化されたトラフィックが急増しました。 さらに、オンライン セキュリティの向上を目指して無料または低価格の証明書を提供しているベンダーも数多く存在し、ユーザー、消費者、企業にメリットをもたらします。 本質的には、Web 全体を暗号化しようとしているのです。 F5 Labsによると、Web ページの読み込みの 86% は SSL または TLS で新たに暗号化されています。 また、Advanced Encryption Standard (AES) 暗号は、今日の暗号化された Web トラフィックの 96% 以上を占めています。 GDPR、CCPA などの前述のプライバシー規制や要件は、これらの規制や要件のほとんどがユーザーデータや個人データの暗号化を義務付けていない場合でも、暗号化の採用を促進しています。 ただし、多くの組織では、同じ規制や要件に違反しないように、ユーザー データと通信に暗号化を使用します。

避けられない欠点

暗号化はユーザーとそのデータのプライバシーを保護するのに優れていますが、同時に暗号化には問題があり、ユーザーと企業の両方にとって深刻な難問を生み出しています。 攻撃者やハッカーは、マルウェア、ランサムウェア、その他の攻撃ベクトルを隠すために暗号化を使用することも好みます。 残念ながら、暗号化によってセキュリティの盲点が生じます。

たとえば、フィッシングやスピアフィッシング キャンペーンで使用される不正な Web サイトでは、疑いを持たないユーザーを騙してマルウェアに感染したリンクをクリックさせたり、説得力のある偽のログイン ページにユーザー名とパスワードを入力しさせたりするために、本物のように見せかけるために HTTPS を使用することが増えています。また、アドレス バーに表示される小さな南京錠を安全な Web サイトの証として受け入れているユーザーを騙すことさえあります。 F5 Labsによると、現在フィッシングサイトの 72% が暗号化を使用しています。 しかし、さらに悪いことに、攻撃者、ハッカー、その他の悪意のある人物は、脅威を隠すために暗号化を使用しているだけでなく、マルウェアやフィッシング サイトを含む特定の脅威キャンペーンを被害者 1 人につき 1 回だけ使用することで、プライバシー暗号化によって事後フォレンジックによる検出を回避しています。

フィッシングは、人間の心理を悪用し、ソーシャルエンジニアリングや誤情報、偽情報を悪用するため、防御が非常に難しい攻撃です。 フィッシングは、恐怖などの人間の性質や感情を利用します。 これはコロナウイルスのパンデミック時には特に当てはまります。 攻撃者はこれを知っており、それを有利に利用します。 F5 Labs は、COVID-19 の感染者数の急増と同時に、「covid」または「corona」という単語を含む新しい HTTPS 証明書が増加していることを発見しました。 世界保健機関（WHO）や米国のようなよく知られた医療情報源でさえも 米国疾病予防管理センター (CDC) は、標的型フィッシング キャンペーンで攻撃者によるなりすましの被害に遭っており、悪意のあるドメインに被害者を誘い込んでマルウェアやその他の悪意のある攻撃をダウンロードさせたり、偽のログイン ページにユーザー認証情報を入力させたりしようとしています。

あなたにできること

では、今日の組織はどのようにして、さまざまな攻撃や侵害から自らを守りながら、ユーザーや消費者のデータや個人情報のプライバシーを守ることができるのでしょうか?

組織は、受信トラフィックと送信トラフィックに毎日必要となる大量の暗号化トラフィックを大規模に復号化できるソリューションを採用する必要があります。 今日の暗号化されたトラフィックのレベル、ユーザーと消費者のデータのプライバシーを確保する必要性、および復号化と再暗号化の計算集約的なタスクを考えると、既存のセキュリティ ソリューションを活用してセキュリティの提供とトラフィックの復号化と再暗号化の二重の役割を果たすのは良い考えではありません。 過負荷で過剰に稼働しているセキュリティ デバイスは、暗号化されたトラフィックをバイパスし始めたり、導入されたセキュリティ機能を実行しなかったりする可能性があります。

ユーザーと消費者のデータのプライバシーとセキュリティを確保し、プライバシー規制や要件に違反しないようにするために、組織は、金融データや医療データなどのプライベートなユーザーと消費者のトラフィックが復号化をバイパスできるようにインテリジェントに機能するソリューションを採用する必要があります。 ただし、そのトラフィックは無条件で通過できるものではなく、セキュリティ スタック内の限られたソリューション セットによって検査される必要があります。 ただし、これを実現するには、セキュリティ スタック内のソリューションが静的なデイジー チェーンではなく、コンテキスト認識ポリシーを活用して、受信する暗号化トラフィックを復号化後、適切なセキュリティ サービス チェーンにルーティングし、動的なセキュリティ サービス チェーンに参加できるようにする必要があります。

これは SSL オーケストレーションと呼ばれ、上記の説明は、組織のセキュリティを確保するだけでなく、ユーザーと消費者の情報が保護され、非公開に保たれていることを確認するために、今日これがなぜそれほど必要なのかを説明していると思います。

F5 SSL Orchestrator の詳細については、ここをクリックしてください。