CISOの秘密: 2025年に向けた究極のセキュリティ計画

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第35回目となる今回は、「CISOの秘密: 2025年に向けた究極のセキュリティ計画」と題して、サイバーセキュリティ分野の脅威が見かけほど高度ではない理由を解説し、セキュリティ計画の策定に関する戦略的な助言を提供する、Megan Garzaのブログ記事をご紹介いたします。

国家による攻撃、高度な永続的脅威 (APT) 、高度なランサムウェアは、引き続きニュースを賑わせています。これらの攻撃は、多くの企業で深刻な影響を与え、フライトの遅延や銀行口座のロックアウトなどの問題を引き起こしました。

これらの見出しは、脅威概況がますます高度化し複雑化していることを示唆しているかも知れませんが、必ずしもそうではありません。

VaronisのBrock Bauer（インシデントレスポンス部門セキュリティアーキテクト）とNolan Necoechea（上級製品マーケティングマネージャー）は、最近、当社のCISOパートナーとの連携によって得た知見について話し合いました。二人はまた、サイバーセキュリティ分野の脅威は見かけほど画期的ではない理由を分析し、組織のセキュリティ計画の策定について戦略的なアドバイスを提供しました。

ここでライブセッション（英語）を視聴するか、続きを読んで詳細を確認してください。

CISO Secrets: Building the Ultimate Security Plan - Nov 13, 2024 11:34 AM - (58m 33s)

攻撃方法はどのように変化したのか？

脅威はますます高度化しているように見えるかも知れませんが、サイバー攻撃がどのように発生するかという現実を踏まえると、異なるシナリオが見えてきます。

「実際のサイバー攻撃がどのように起きているかを見ると、異なった状況が見えてきます。」とNolanは述べています。

攻撃者は多くの場合、盗んだ資格情報やパスワードスプレー攻撃など、確立された方法を使ってアクセス権を取得しています。ハッキングをするのではなく、入手した資格情報を使用してログインしているだけです。

Varonisは、攻撃についての理解をより深めるために、今年上半期に米国証券取引委員会 (SEC) にForm 8-Kで報告されたサイバー攻撃を調査しました。

分析したインシデントの57パーセントは、アクセス権の侵害によりものであることがわかりました。

「つまり、環境へのアクセス権を取得するために、ダークウェブで資格情報を購入するか、実証済みの方法で資格情報を盗んでいる、ということです。」とNolanは指摘します。

攻撃者が、侵害された資格情報によってアクセス権を取得した場合には、最長150日間、環境内で見つからないままになる可能性があります。2024年初頭のサイバー攻撃の被害の第1位はデータ流出であり、その際、攻撃者は悪用するための脆弱性を見つけ、盗んだり身代金（ランサム）を要求できる機密性の高いデータを探すでしょう。

どのような方法で侵入しようとも、攻撃者はデータを標的として狙っています。

Nolan Necochea、上級製品マーケティングマネージャー、Varonis

マルチクラウドのデータ保護は最優先事項

以下は、NolanとBrockが2025年にCISOがもっとも懸念する分野の上位として挙げたものです。

データセキュリティは依然としてCISOの最優先事項です。

クラウドセキュリティにおいては、攻撃者が大きな優位性を持っています。攻撃者は一度データの侵害に成功するだけで良いのですが、防御側は毎回データを守り続けなければなりません。

攻撃者はデータの侵害を何百万回も試みることができ、一度だけ勝てば良いのです。しかし、防御側は毎回勝ち続けなければなりません。

Nolan Necochea、上級製品マーケティングマネージャー、Varonis

組織がクラウドに移行すると、潜在的な爆発範囲、つまり、ユーザーが引き起こす可能性のある被害の範囲が拡大します。このリスクは、主に、従業員が持つアクセス許可が多過ぎることに起因します；平均的な従業員は入社初日から1,700万個のフォルダーにアクセス権を持っています。

「ほとんどの人は、業務を遂行するために必要な範囲を超える多くの情報にアクセス権を持っています。」とBrockは指摘します。新しいAIツールにより、このデータへのアクセスと活用がこれまで以上に容易になっています。

クラウドセキュリティは従来のデータセキュリティ手法を一変させました。

クラウドプラットフォームは、多くの場合、アプリケーションやプラットフォームに固有のデータへのアクセス方法を複数提供しており、それらを動的に階層化することができます。この複雑さのため、IT部門が独自にアクセス制御を管理することは困難になっています。コラボレーション機能によるエラーが生じる可能性がありますが、大規模な環境でこれを検出して修正することは困難です。

エンドユーザーの小さな間違いが、テラバイト単位のデータに波及し、大規模なセキュリティホールを生み出す可能性があります。

Brock Bauer、セキュリティアーキテクト、インシデントレスポンス部門、Varonis

生成AIの普及は、データセキュリティをさらに複雑化させています。

現在、多くの製品がAI機能を備えており、データの解釈や利用の方法が変わっています。これらの大規模学習モデル (LLM) は、自然言語による情報との対話を可能にして、ユーザーが膨大な量のデータを操作するのに役立ちます。

しかしながら、これらのAIツールは悪用される可能性があり、ユーザーが知らないうちに攻撃者がユーザーがアクセスできるものにアクセスできるようになります。隠蔽によるセキュリティは十分ではありません。

AIはデータセキュリティの火に油を注ぐようなもので、セキュリティ部門にとって物事をはるかに複雑なものにしています。

Nolan Necochea、上級製品マーケティングマネージャー、Varonis

AI規制の進化

規制の状況は、特にAIをめぐって、変化しています。欧州連合AI法（EU AI法）は、欧州連合におけるAIに関する最初の法的枠組みです。GDPRと同様に、この法律はEUで事業を行っている、あるいは、EUに拠点を持つ米国企業に影響を与えます。この種の規制は今回が初めてですが、特に米国では、更なる規制が予想されます。

「州レベルでは、2023年に40以上のAI法案が提出されています。」とNolanは述べています。「そのため、AIに関する規制の状況は、近い将来、より複雑なものになることが予想されます。」

私たちが協力しているCISOは、既存の規制を理解して遵守することに重点を置き、生成AIがこうした規制の多くを邪魔することはないととらえています。

Nolan Necochea、上級製品マーケティングマネージャー、Varonis

2025年に向け、生成AIベースの規制が変化する中で強力なデータセキュリティ態勢を構築するためには、自組織のデータを理解することが極めて重要になります。

データリスクに対処する方法

自組織の環境を理解するためには、データから始めましょう。

「私たちは環境で何が起こっているのかを知る必要があります。」とBrockは述べています。「自組織のどのデータが機密性が高いのかを知る必要があります。」

組織は、アクセス権を制限するために機密性の高いデータを特定し、過度にアクセス可能なリソースと過剰にアクセス権を持っているユーザーを把握するためにアクセス許可をマッピングする必要があります。

第二に、Brockは、組織は自動化により爆発範囲を縮小する必要があると述べました。

もし、自組織の爆発範囲が最小化されていれば、これらの深刻な侵害の根本原因に対処でき、被害を最小限に抑えることができます。

Brock Bauer、セキュリティアーキテクト、インシデントレスポンス部門、Varonis

「データを作成、ダウンロード、共有するユーザーの数は、その後始末をするセキュリティ担当者の数よりもはるかに多いのです。」とBrockは述べています。「自組織の攻撃表面を縮小し、アラートに自動的に対応するためには、セキュリティポリシーを自動化する必要があります。」

最後に、攻撃は「もし (if) 」ではなく「いつ (when) 」の問題であるという考え方を取り入れてください。侵害を避けられないものと見做すことにより、組織はより適切な準備ができるようになります。

十分な時間と粘り強さがある攻撃者は、侵入できてしまいます。

Brock Bauer、セキュリティアーキテクト、インシデントレスポンス部門、Varonis

Varonisがお手伝いできること

Varonisは、データの場所、機密性、アクセス権をリアルタイムで可視化します。Varonisのクラウドネイティブなプラットフォームは、お客様のデータセキュリティポリシーを自動的に強制し、リスクの高いアクセス許可、構成不備、共有リンクを、手を煩わせることなく解消できます。

参考情報

・オリジナルブログ記事（英文）
https://www.varonis.com/blog/ciso-security-plan

・当コラム 第22回 米国証券取引委員会（SEC）の新サイバー開示ガイドラインが意味するもの
https://www.innovations-i.com/column/data-security/22.html

・当コラム 第27回 クラウドの裂け目：大規模学習モデル (LLM) リスクから身を守るには
https://www.innovations-i.com/column/data-security/27.html

・当コラム 第20回 欧州連合人工知能法（EU AI法）：その内容と重要ポイント
https://www.innovations-i.com/column/data-security/20.html

・製品データシート：AI時代に向けて構築されたデータセキュリティプラットフォーム
https://view.highspot.com/viewer/72bcea1dfdb3920000091846ec35e0ae

ブログ著者について

Megan Garza

MeganはVaronisのコンテンツ編集者で、APスタイルの熱烈なファンです。「サイバーセキュリティ」が1語であるべきか2語であるべきかについて議論していない時、Meganは、夫と旅行をしたり、ピットブルのBearを不健康なほど溺愛しています。

（翻訳：跡部 靖夫）