ブログ

2018年が2019年について何を教えてくれるか

F5 サムネイル
F5
2018年12月5日公開

国家が支援する攻撃や脆弱な産業システムから継続的なセキュリティ専門家の不足まで、2018 年はより大規模な侵害、より大規模な DDoS 攻撃、そして組織が犯罪者からインフラを守るという課題の増加をもたらしました。 今年は初めての出来事が続いた年だった。テラバイト規模の1週間に及ぶDDoS攻撃、暗号通貨マイニングのための侵害を受けたシステムの監視、攻撃を仕掛ける政治的、軍事的動機の増加などだ。 義務付けられたGDPRデータ保護およびプライバシー規制も施行され、個人データ保護に対する個人の権利が変化し、世界中に影響を及ぼしています。

2018 年、サイバー犯罪者にとって、ユーザー以外ではアプリケーションが主な標的となったことは明らかであり、新年を迎えるにあたり、この現象は今後も変わらないであろうことは確かです。 アプリケーションとそのユーザーは引き続き危険にさらされており、2019 年が近づくにつれて、サイバー犯罪の継続的な進化に備える必要があります。

新たな傾向と持続的なリスクが見られる主な分野は次のとおりです。

クラウド セキュリティ– アプリのセキュリティに関しては、顧客とクラウド プロバイダーの間で二重の責任が生じ、マネージド セキュリティ サービスが増加します。

クラウド内のシステムを保護する責任は共有されています。 クラウド プロバイダーはインフラストラクチャと顧客が購入するサービスに対して責任を負いますが、アプリケーション自体のセキュリティ保護は顧客の責任です。 クラウド サービスに依存する組織が増えるにつれて、クラウド プロバイダーは、組織が責任の範囲を理解できるように線引きをしています。 初期のクラウド セキュリティ ソリューションの多くは必要性から構築されましたが、より重要なアプリケーションがクラウドに移行するにつれて、適切なポリシー、ID とアクセスの管理、その他のセキュリティ保護が独自のアプリケーション要件に適合していることを確認するのは顧客の責任になります。 セキュリティ人材の供給が不足する傾向が続く中、来年には従来のクラウドベンダーが提供できない必要なサービスを提供するマネージド セキュリティ サービス プロバイダー (MSSP) が増加する可能性があります。

セキュリティは真に全員の責任となる

より多くのビジネス部門 (人事、財務など) がクラウドでサービスを展開するにつれて、それらの部門もセキュリティ対策を採用する必要があります。 多くの場合、これは IT 部門と連携して行われるか、少なくともいくつかの「ベスト プラクティス」に従って行われますが、クラウドへの移行を急ぐあまり、俊敏性を追求するあまりセキュリティを忘れたり、放棄したりする人が多くいます。 ビジネス全体にとって、クラウドの導入が増えるということは、クラウド インフラストラクチャのセキュリティ、マネージド サービス、IAM、ユーザー行動分析、オーケストレーション/自動化タイプのソリューションに対する予算が増加することを意味します。

組織はコードにさらなるセキュリティを組み込むことを検討する場合もありますが、DevOps 機能内でのセキュリティの考慮も必要です。 WAF、IPS、IAM、プロキシなど、どのようなセキュリティ対策であっても、開発中にそれらのサービスを検討してテストする必要があります。

2019 年には、最終的にアプリケーション セキュリティに割り当てられる予算が増えることになります。 私たちの生活はすべてこれらのアプリケーションに依存しているので、これは良いことです。

IoT – 攻撃者がアプリ層に重点を置くようになると、侵害された IoT デバイスの数は増加し、ボットの検出が重要になります。

現在、数十億台の接続デバイスが存在し、今後数年間でさらに数十億台のデバイスが接続される予定です。 多くの企業では、セキュリティが限定的であったり、まったく組み込まれていないため、簡単に乗っ取られてしまいます。 これまで、IoT ボットネットは、 2016 年に Mirai が襲来するまでは理論上のものと考えられていました。 今日では、ThingBot が DDoS 攻撃を実行することは日常的に発生しています。

これを踏まえると、来年は積極的なボット防御が重要になるでしょう。 すでに Web アプリケーション ファイアウォール (WAF) をお使いの場合でも、従来の WAF の多くはこの重要な機能を提供しておらず、アプリ層を標的とした進化する脅威を軽減する機能もありません。 アプリスタックを上へ移動する脅威に対処するには、より高度な保護が必要です。

IoTセキュリティの責任はメーカーに課される可能性がある

IoT デバイスのセキュリティ機能が限られていることに対処するため、カリフォルニア州は最近、メーカーにさらなる責任を課す法律 ( SB 327 ) を可決しました。 具体的な詳細は不明ですが、この規則では、「 2020 年 1 月 1 日より、接続デバイスの製造業者は、その用語の定義に従って、デバイスの性質と機能に適切であり、デバイスが収集、保持、または送信する可能性のある情報に適切であり、指定されたとおり、デバイスとそこに含まれる情報を不正アクセス、破壊、使用、変更、または開示から保護するように設計された合理的なセキュリティ機能をデバイスに装備することが義務付けられます。」と規定されています。

これは、それほどスマートではないデバイスに関する立法規制の重要な第一歩です。 これは、他の州もすぐに追随する前例となる可能性もあります。 法律では、製造業者に対し、デバイスが収集、保存、送信する情報/データを開示することを義務付けています。 また、各デバイスには、使用前にユーザーが変更できる固有のパスワードが必要です。 これは、侵害された IoT デバイスの多くはパスワードが設定されていないか、デフォルトがよく知られており、そのため悪用されるため重要です。

モバイル– より多くの組織が BYOD 戦略に移行するにつれて、エンタープライズ モビリティ管理は進歩し続けています。

ここでは、新しい iPhone、Android、Samsung などのモデルについてではなく、ポリシーベースのアクセス、行動バイオメトリクス、5G、エンタープライズ モビリティ/BYOD などの分野についてお話します。

ポリシーベースのアクセスにより、従業員は任意のデバイスを使用してデータにアクセスできるようになります。そのデータは暗号化または仮想の分離された作業コンテナーで保護されており、デバイスの紛失や盗難、従業員の退職時には消去できます。

デバイスの所有者の識別と認証も向上します。 新しい顔認識ソフトウェアは、顔の輪郭を判別したり、人の声、動き、入力スタイルを認識して携帯電話のロックを解除したりできるようになりました。 より多くの従業員が個人のデバイスから企業リソースにアクセスするようになるため、これは確かに重要です。

人々と社会– ソーシャル エンジニアリングとフィッシングは、詐欺の非常に有効な手段として今後も使用され続け、プライバシーはさらにつかみにくくなるでしょう。

F5 Labs の脅威調査によると、フィッシングは最も多く使用される攻撃ベクトルです。 ソーシャル エンジニアリングの戦術により、フィッシング詐欺ははるかに巧妙になり、見分けることが困難になっています。 攻撃者はハッキングによる収益化によって利益を得ており、それが原因で発生するインシデントの種類と頻度が左右されます。 多くの場合、フィッシング攻撃は、個人情報を盗み、それをアプリケーション攻撃に使用する方法です。 シマンテックによれば、昨年、平均的なユーザーは 1 か月あたり 16 通の悪意のある電子メールを受信していた。 フィッシング攻撃を受けた場合は、さらなる侵入に注意してください。 今日のデジタル時代において完全なプライバシーを維持することはほぼ不可能であり、個人用スマート デバイスの多様化によりさらに複雑になっていますが、ほとんどの人が日常的に自分自身に関する詳細情報を進んで共有していることを忘れないでください。 私たちのデータや情報がインターネット中に散らばっているとしても、私たちはできる限りのセキュリティとプライバシーの予防策を講じる必要があります。 欧州の GDPR はあらゆる個人データの保護を目的としており、違反があれば GDPR の罰金により組織が解体される可能性があります。 GDPR では、侵害を受けた組織の評判への打撃が永続的な影響を及ぼす可能性があります。

私たちは賢く、用心深く、どれだけ与えているかに注意する必要があります。 高校時代の古い友人が突然メールで現れて、ホームカミングに行くかどうか尋ねてくることは決してありません。 プロのヒント: リンクをクリックしないでください!!