2021年5月は、国防総省がDoD ゼロトラスト リファレンスアーキテクチャ(DoD ZTRA) をリリースし、コロニアル・パイプライン社がランサムウェア攻撃に見舞われ、ホワイト ハウスが国家のサイバーセキュリティの改善に関する大統領令 (EO)を発表するなど、サイバーセキュリティ業界にとって特別な月になりました。それに加えて、政府が重要な業務を依存しているいくつかの主要ベンダーは、侵害された電子メールやクラウドインフラストラクチャから、2019年には開始されていた可能性があるSolarWindsハックのような非常に高度なサプライチェーン攻撃に至るまで、米国の重要なインフラストラクチャをさらにリスクにさらす可能性のある重大な脆弱性を開示しています。
状況があまりよくはありません。DoD ZTRAとEOで概説されている内容とガイダンスは、行動への明確な道筋でフォローアップする必要があり、公的および私的を問わず、すべての利害関係者は進捗について責任を負いません。これは、もう 1 つのロールアップ レポートの練習、状況を研究する時間、または問題についての分析麻痺に陥ってはなりません。攻撃者たちは、自動化、人工知能、機械学習、ソーシャル エンジニアリング、および私たちに対してより多くの経路を活用することにより、私たちが予想もしなかったスピードで活動しています。私たちが追いつき、前に進むために別の考え方をする時が来ているのです。
これを回避する方法はありません。国家は、今日の私たちの新たな生活様式と将来の世代を保護するためにさらなる投資を行う必要があります。
「私たち」は、ランサムウェアがコロニアル・パイプライン社の国の重要なインフラストラクチャの一部が攻撃されたときに何が起こったかを目の当たりにしました。ソーシャルメディアや従来のメディアが助長し、米国東部の多くの州でガソリンや食料品のパニック買いが、何千人もの人々に一夜にして影響を与えました。この攻撃が金銭的および社会的にどのような影響を与えたのかを正確に予測するのは時期尚早です。440 万ドルの身代金は、この攻撃の計画による影響等を考慮すると非常に少なかったと思われます。
2021年5月は、これまでに類を見ない官民協力への警鐘を鳴らしています。おそらく、サイバーセキュリティを完全に再考する必要があります。同じ5月の17日~20日に開催されたRSAカンファレンスの基調講演で、マカフィーのCTO スティーブ・グロブマンは、「人間として、私たちはリスクを認識するのが非常に苦手だ」と話しました。メディア、逸話データ、進化生物学の影響を受けて、私たちは不合理な恐怖が意思決定を促し、人間が実際のリスクを誤って認識し、物理世界とサイバー世界の両方でリスク削減を最適化できなくなっています。こうした傾向に対抗するために、スティーブは「私たちの偏見や思い込みを認識し、リスクを評価して軽減するためのデータと科学に基づくアプローチを採用する」ことを推奨しています。
ゼロトラストサイバーセキュリティが大変注目されていますが、これは単一ベンダー製品又はソリューションではなく、アーキテクチャ アプローチです。DoD ZTRAは、非常に狭いアクセス制御の焦点よりも広い視野を持っており、「悪意のある攻撃者が最も重要な資産にアクセスするのを防ぐために、アーキテクチャ全体にセキュリティを組み込むサイバーセキュリティ戦略とフレームワーク」と述べています。 そして、私たちの最も重要な資産はデータです。
NSAは最近、ゼロトラストにも力を入れ、組織が重要なデータ、資産、アプリケーション、およびサービスの特定に投資することを推奨しています。 NSAのガイダンスは、構築に徹底的に焦点を当てることを提案し続けています。 データ、資産、アプリケーション、およびサービスへのすべてのパスが安全であることを確認し、アクセスが必要な人を決定。制御ポリシーの作成を行い、最後に、すべてのトラフィックを検査してログに記録します。
これらのプラクティスでは、疑わしいアクティビティを検出できる分析を可能にするために、エンドポイントからネットワーク (クラウドを含む) に至るまで、すべてのレイヤーにわたるすべてのアクティビティを完全に可視化する必要があります。グローバルおよびローカルの脅威キャンペーンの早期または事前警告、侵入の兆候、および事前対策を提供する機能は、組織の防御戦略の一環として不可欠です。
DoD と NSA の両方からのゼロトラストガイダンスに従う価値があります。また、多層防御の概念、つまり複数のセキュリティ メカニズムを活用して組織の資産を保護するサイバーセキュリティ戦略を再考する価値があります。組織のITとセキュリティのすべてのニーズを単一のベンダーに依存すると、攻撃者にとってははるかに容易になります。
優れた陰謀論を信じるなら、2021年5月はテレビ向け映画の素晴らしい素材になる可能性があります。先ほど、集合的な「私たち」が説明責任を負う必要があると述べました。その説明責任の一部は、真のサイバーセキュリティへの新しい道を歩むときに成功の指標を定義することです。
※本ページの内容は2021年5月27日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Why May 2021 Represents a New Chapter in the “Book of Cybersecurity Secrets
著者:Ken Kartsen