ビジネスに悪影響を及ぼすサイバーセキュリティに関する 7 つの誤解 (以上)

2 年前、私はビジネス リスクを生み出し、善意のセキュリティ チームが間違ったことに集中してしまう原因となる7 つのサイバー セキュリティの神話について書きました。

当時は世界的なパンデミックが始まったばかりで、現実世界とデジタル世界の生活の両方が、ある意味では恒久的に急速に変化していました。 それ以来、世界は経済的、政治的、技術的に衝撃を受けてきました。 テクノロジーの進歩は、すでに目まぐるしいペースからさらに加速しています。 サイバー戦争に従事する国家は、一般市民の財布を直撃している。 2年後には、きっとそれらの神話は完全に違っているでしょう？

間違っている。 「変化は必ず起こる」ということわざが思い出させるように、物事は変化すればするほど、変わらないものも増えていきます。 元々の 7 つの神話はどれも今でも非常に関連性が高いですが、ここでは人間の不変性から生まれたサイバーセキュリティに関する 7 つの神話を紹介します。

誤解その1: ソーシャル メディア アカウントのうち偽物はごくわずかです。

多くの企業はボットが存在することを認識していますが、現実には、ソーシャル メディア企業は実際にボットがいくつ存在するかを知らないことが多く、また知りたくもありません。

数年前にソーシャル ネットワーキング サイトの概念実証を行ったところ、ログインの 98% が自動ボットであることが示されました。 この会社は急速な成長を非常に誇りに思い、将来に期待していましたが、実際には加入者数は予想の 10 分の 1 しかいなかったことが判明しました。

この知識がなぜ重要なのかという意義は、Twitter の買収によって非常に公に明らかになりました。 会社の価値は主にユーザー数によって決まります。 イーロン・マスク氏が同社に対し、スパムボットと偽アカウントが 5% 未満であることを実証するよう要求したことは、あらゆる投資家、広告主、潜在的なビジネス パートナー、さらにはユーザーにとっても当然の期待である。

Twitter のボットの数は 50% 以上に近づくと予測します。 （注記： その後の調査に基づいて、最近のブログ投稿でこの見積りを修正しました。 企業には、ユーザーが人間であることを検証し、ボット トラフィックを効果的に管理および軽減することが求められるべきです。

簡単に言えば、悪意のあるボットの成功はセキュリティの失敗を示しています。 ボット防止は、これらのサイトを流れる情報の完全性を確保する上で重要ですが、企業が重要なビジネス上の意思決定を行うため、また企業と取引する他の企業にとって正確なデータを確保する上でも重要です。

誤解その2: ボット防止は社内 DIY プロジェクトです。

多額の予算と優秀な技術スタッフを抱える優良企業が、長年ボットと戦ってきたのを私たちは見てきました。 しかし、これらの組織内のボット トラフィックを分析すると、防御を突破するように進化した高度なボットが見つかるのではないかと期待しましたが、そうではありませんでした。

企業は、IP、地域、自律システムをブロックすることでボットと戦ってきましたが、ここで悪意のあるボット トラフィックの進化が見られます。現在、攻撃は数十万、さらには数百万の IP アドレスから行われています。 ネットワーク層の防御は、ある程度までしか機能しません。

私の信念は、クライアント側のシグナルが最優先だということです。 行動バイオメトリクスが必要です。 ブラウザを調べ、デバイスを調べる必要があります。 これらすべての信号を総合的に判断することで、ボットだけでなく悪意のある人間も識別できるようになります。

企業側も、人材を雇用すればこの状況から抜け出せると考えているが、これほど大きな問題を解決するのに十分な数の IT 人材を雇用する方法はない。 自動化に本当に対抗できる唯一の方法は、自動化することです。

誤解その3: 焦点は常に、地平線上に迫りくる謎の新たな脅威に置かれるべきです。

セキュリティ、技術系報道、企業広報に携わる私たちは、常に革新を続け、私たちの先を行く脅威アクターに対して共通の恐怖を抱いています。 しかし、多くの点で、攻撃は途中でわずかな調整が加えられただけで、依然として同じです。

今日見られるボットのほとんどは、5 年前に見られたのと同じレベルの洗練度を示しています。 彼らはただ違う場所から来ているだけです。 2 要素認証や CAPTCHA があっても、クレデンシャル スタッフィングは依然として機能します。 元の攻撃ベクトルが成功し続ける限り、攻撃者は新しい攻撃ベクトルを開発することはありません。 彼らがすべきことは、新たな防御を回避する方法を考え出すことだけだ。

企業は新たな脅威を考慮し、それに備える必要がありますが、業界は昨年の脅威を軽減し続ける必要もあります。

誤解その4: 複数のクラウドを管理することは、獲得できないほどの才能を必要とする困難な課題です。

複数のクラウドが存在する世界は、今日、ほとんどの企業ではないにしても、多くの企業が直面している現実です。 買収、パートナーとの統合、あるいは単に最善の機能の獲得のためであっても、マルチクラウドは今後も存在し続けるでしょう。

しかし、企業に複数のクラウドを導入しているかどうかを尋ねると、繰り返し聞かれる答えは「残念ながら、はい」というものです。 複数のクラウドにまたがって運用する企業は、時には不本意ながらそうし、あらゆる面から最善のものを得られる機会を受け入れないことがあります。

今日では、複数のクラウドにまたがる IT 資産の管理とセキュリティ保護が困難になる理由はありません。 クラウド ベンダーは相互運用性を戦略に組み込んでいますが、統合の負担を取り除き、クラウド間で機能を抽象化し、シンプルで統一されたインターフェイスを通じて提供するように設計されたソリューションを提供するプロバイダーは他にも数多くあります。

誤解その5: 企業のアーキテクチャとデバイスを保護するだけで十分です。

セキュリティ チームは、企業のインフラストラクチャ、サーバー、コンピューター、デスクトップなど、組織内のすべてのものに重点を置いています。 彼らがあまり注目していないのは、組織の全従業員のホームネットワークです。

攻撃者は、合併や買収に関する洞察やその他の戦略情報にアクセスするために CEO をターゲットにしたいと考えるかもしれませんが、それを収益化するのは、買掛金担当者や IT 管理者をターゲットにするほど簡単ではありません。 在宅勤務がかつてないほど一般的になっている現在、家庭内ネットワークは悪意のある行為者にとって新たな抜け穴となりつつあります。

誤解その6: 従業員を信頼できます。

内部からの脅威は、周囲の人々から良い評価を受けるのが人間の本性であるだけに、非常に大きな利点があります。 しかし、実際には、腐った人材を 1 人か 2 人採用してしまうという非常に現実的なリスクを負わずに、50 人または 100 人の従業員を雇うことはできません。

不満を持った従業員は、Glassdoor に悪いレビューを残すだけではありません。 機密ファイルをサムドライブに入れて、そのまま外出することも可能です。 システムに悪意のあるソフトウェアが残される可能性があるという懸念も高まっています。

私は長い間、多くのランサムウェア攻撃の背後にも内部関係者がいるのではないかという仮説を立ててきました。 IT 管理者は、ダーク ウェブ上で簡単にペルソナを作成し、そのペルソナにシステムへのアクセス権を与えてマルウェアをインストールさせ、身代金を要求し、会社に身代金を支払うよう主張することができます。 これに関する証拠はまだ見ていないが、インセンティブは確かに存在するということに留意することが重要です。

誤解その7: 私たちにとって最大のサイバー脅威は、インフラを標的とする国家主体から生じます。

1年前、コロニアル・パイプラインが攻撃され、ガソリンスタンドに長い行列ができ、東海岸の消費者に不便を強いられたとき、それは国際的に大きなニュースとなった。

しかし、毎年オンラインで詐欺に遭う何百万人ものアメリカ人（その多くは高齢者で、退職後の貯蓄で暮らしている）についてはほとんど話題になっていない。 これは私たちの社会保障網にとって大きな脅威であり、列に並んでガソリン代を余分に払わなければならないことよりもはるかに大きな、人々とその家族に壊滅的な影響を及ぼす可能性があります。

私は法執行機関で何年もサイバー犯罪の捜査に携わってきましたが、たいていは残念な結果に終わり、この問題は私の情熱です。 私たちのインフラに対する攻撃は重大かつ現実的なものですが、被害者の話を聞くと、広範囲に及ぶサイバー詐欺は今よりももっと注目されるべきであることは明らかです。

ボットの管理と防御、脅威の特定と軽減、組織内でのゼロ トラストの実装について詳しく知りたい場合は、次の補足資料もご覧ください。

• ボット管理: アプリのセキュリティと保護ソリューション
• 分散クラウドボット防御
• 自動化された脅威の特定と軽減に関する電子書籍
• F5 Distributed Cloud Services
• リモートワーク時にゼロトラストを使用して会社を保護する
• ゼロトラスト セキュリティ モデルの実装方法

_____

F5 グローバルインテリジェンス責任者、ダン・ウッズ