サイバーセキュリティ啓発のヒント10選：積極的な安全確保

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第38回目となる今回は、「サイバーセキュリティ啓発のヒント10選：積極的な安全確保」と題して、より強固なセキュリティ対策を実践するための予防的なサイバーセキュリティのヒントを紹介する、Lexi Croisdale（Varonisコンテンツマーケティングマネージャー）のブログ記事をご紹介いたします。

テクノロジーの急速な進歩に伴い、サイバーセキュリティの重要性は世界的に高まっています。組織においてセキュリティが重視されるのは、もし侵害された場合ではなく、実際に侵害された場合に備える必要性からです。

残念ながら、ヒューマンエラーが侵害の原因となってしまうことはよくあることです。データ駆動型の社会においては機密性の高い情報を保護することはすべての人の責任であるため、サイバー攻撃への対抗策を理解することは極めて重要です。

今回の記事では、セキュリティをより高めるために実践できるセキュリティのヒントをまとめました。これらの戦術を取り入れることにより、あなたの情報や行動が壊滅的な漏洩事故につながる可能性を減らすことが減らすことができます。

#1 多要素認証 (MFA) の有効化。

多要素認証は、認証コード受信やリンクのクリックなどの方法で、ログイン時にユーザーの身元を確認することにより、セキュリティを一段階強化するものです。MFAがなければリスクに対して脆弱になるため、MFAを有効にすることは非常に重要です。

Varonisの脅威アクターの考え方を理解するためのライブセッションで、Varonisのフォレンジック専門家・Joseph Avanzatoは「攻撃者は侵入するのではなく、ログインするのです」と述べています。

MFAが提供されているサービスではMFAを有効にし、利用可能な場合には認証アプリケーションを利用します。異常なログイン試行があった場合には、すぐに報告しましょう。組織の場合には、MFAを必須とし、無効にする選択肢を制限するのが最善です。

#2 組織全体共有リンクを避ける。

ほかの関係者がアクセスする必要がある場合に備えて、特定のユーザーだけではなく、誰でもアクセスできるリンクを作成しておきたくなる気持ちはわかります。

しかし、Microsoftのレポートによれば、組織全体で付与されているアクセス権限のうち、実際に使用されているのは僅か1%です。膨大な量のビジネス文書の中には、インターネット上のすべての人どころか、組織内でも限られた人しかアクセスすべきでない機密性の高い情報も含まれています。

組織全体に共有するリンクを作成する権限を削除すると、組織の爆発範囲を大幅に縮小することができます。平均的な企業では、—  2800万ドル（約40億円）の情報漏洩リスクに相当する157,000件の機密レコードが、SaaSの共有機能によってインターネット上のすべての人に公開されていました。

アクセス権が緩すぎるリンクを選択するのではなく、業務の遂行にアクセス権を必要とするユーザーと直接ファイルを共有し、ケースバイケースで他のユーザーを招待してアクセス権を付与するべきです。

#3 リンクや見知らぬ連絡先を疑う。

ソーシャルエンジニアリングとフィッシングは、ハッカーがアクセス権を手に入れる最も効果的な方法の一つです。フィッシングの一般的な兆候には、送信者のメールアドレスがおかしい、要求内容の切迫感、リンクをクリックするよう促すことなどがあります。

組織でフィッシングシミュレーションを実施することは、不審なコミュニケーションに関与した場合の影響について従業員を教育し、ユーザーが積極的に詐欺に注意するように促す効果的な方法です。

消費者や従業員としては、テキストメッセージや電子メールなどで連絡してきた見知らぬ送信者を精査することが重要です。たった1回のクリックで、脅威アクターにデータ資産への鍵が渡ってしまいます。

#4 不審な動きがあったら報告する。

3番目のヒントから続きますが、不審なテキストメッセージを無視して終わりにしてしまうだけでは、不十分です。

フィッシング攻撃のほとんどは、組織内の複数のユーザーを標的にしているため、自分が受信した場合には組織のIT部門に報告してください。メールサービス内にプラグインを備えていたり、疑わしいアクティビティの転送先として専用のメールアドレスを用意している企業もあります。

フィッシング攻撃に対しては、単純な返答すら裏目に出る可能性があるため、いかなるやり取りにも関与しないでくさい。また、先方の身元を確認せずに、情報を共有したり、購入しないでください。

#5 全員が管理者になる必要はない。

Saleseforceのようなクラウドプラットフォームの管理者アクセス権は強力です。多くの組織では、IT部門の監督を受けずに、既存の管理者がこのようなツールへのアクセス権を他のユーザーに付与することができます。

その結果、あまりにも多くのユーザーが昇格された権限を持ち、機密性の高い情報へのアクセス権を持っています。VaronisのDSPMスナップショットレポートでは、平均的な企業の管理者アカウントの60%がMFAを有効にしておらず、攻撃者が内部に露出しているデータを簡単に侵害してできてしまっていることがわかりました。

多くの組織は、SaaSプロバイダーはインフラストラクチャーを保護し、可用性の高いソリューションを提供する責任を負う一方で、利用者はプラットフォーム内のデータの保護と安全確保の責任を負うという、責任共有モデルを認識していません。

組織内の誰かからあなたが管理するアプリケーションへの管理者アクセス権の申請があったら、その申請が正当なものかどうかを評価し、セキュリティを維持するためにアクセス許可に有効期限を設定することを検討してください。IT部門やセキュリティ部門と連携し、管理者全員が責任共有モデルを理解し、確立されたアクセス権限管理手続きを遵守するようにします。

#6 サードパーティに付与するアクセス権を確認する。

最新のソーシャルネットワーキングアプリケーションにサインアップすることを想像してみてください。長い登録フォームへの記入を省略するためにGmailアカウントに接続すると、それだけでこのアプリケーション内に保存されている情報にアクセスできるようになります。

この接続を設定することは簡単ですが、アプリケーションがどのように構成されているのか、接続されているサービスに保存されているどの情報にアプリケーションがアクセス権を持っているのかを把握することは困難です。

また、脅威アクターが悪用する可能性のある脆弱性がアプリケーションに含まれているリスクもあります。1回のクリックで、これらの悪意のあるアプリケーションにアクセス権が付与される可能性があります。

Varonis Threat Labsチームは、本物そっくりのアプリケーションを作成し、フィッシングの手法を使ってユーザーにアプリケーションをインストールさせ、Microsoft 365環境へのフルアクセスを許可させる攻撃シナリオを作成しました。Varonisのシナリオはシミュレーションでしたが、ハッカーやランサムウェアグループのほとんどは、アクセス権を手に入れるだけでは満足せず、見つけた情報を更に悪用するでしょう。

サードパーティアプリケーションの利用が増加するにつれて、接続されているアプリケーションとそれらに関連するリスクを評価することが不可欠となります。各アプリケーションに対するアクセス許可を分析し、リスクレベルを低、中、高にランク付けすることをお勧めします。

Varonisを使用すると、組織は、自動化または手動のレポートを通じて、サードパーティのアプリケーションを使用している従業員の数と、そのアクティビティレベルを把握することができます。漏洩事故を避けるため、過去6か月間にリスクの高いアプリケーションを開いていないユーザーはそのアクセス許可を取り消すべきです。使用されていない場合、そのアプリケーションを完全に切断することを検討するとよいでしょう。

#7 公共Wi-Fiネットワークの利用は慎重に。

テクノロジーの進化に伴って、一般の人々はどこに行ってもWi-Fiにアクセスできることを期待している、とVaronisのインシデントレスポンス及びクラウドオペレーション担当副社長のMatt Radolecは、CNBCとのインタビューで語りました。.

彼は、無料のWi-Fiオプションに接続する際、ユーザーは利用規約を読んだり、URLを確認したりしないため、侵害される可能性が高くなっているとも指摘しました。

「これは、いかに早く【同意します】、【ログインする】や【接続する】をクリックできるかを競うゲームに近いものです。これは、特に新しい場所を訪問した人が騙されます；偽のサイトが表示されても、ユーザーは正規のサイトがどのようなものかさえもわからないかも知れません。」と、Mattは述べました。

デバイスを接続している無料のWi-Fiネットワークには注意し、セッションが終了したら、コンピューターの保存されたネットワークのリストからその無料Wi-Fiネットワークを削除するようにしてください。

#8 生成AIツールと共有する内容に注意。

ChatGPTのような大規模言語モデル (LLM) は、あなたのデータを利用してシステムを学習させます。チャット中に機密性の高い情報を共有すると、あなたのデータがしらなうウチに別のセッションに表示されたり、さらに悪いことにハッカーの手に渡ったりする可能性があります。

Microsoft 365 Copilotのようなツールも、ユーザーがアクセスできるものすべてにアクセスするように設計されていますが、その範囲は往々にして過大です。組織がAIツールを安全に配備する準備ができているかどうかを、ロールアウトする前、ロールアウトの途中、ロールアウト後に確認します。

データプライバシーは、AIに関する大きな懸念事項です。組織は、AIの機能を維持しながらプライバシーを保護する必要性を認識していますが、これは難しいことです。

クラウドにおけるLLMリスクに関するWebセミナーの中で、「私たちはLLMテクノロジーを活用したいと考えています」と、VaronisのセキュリティアーキテクトであるとBrock Bauerは語りました。「ユーザーの生産性を高める機能を提供しつつ、ユーザーがアクセスするデータのプライバシーも保護しなければなりません。」

AIを使用する際には、常に機密度の高い情報をチャットに含めないように気をつけます。セキュリティ部門は、組織内でAIポリシーを制定し、承認された生成AIソリューションを適切に使用するためのトレーニングを従業員が確実に受けられるようにする必要があります。

#9 通知されたら定期アップデートを実行する。

重要なタスクの真っ最中に「自動的に再起動します」ウィンドゥがポップアップ表示されるのは煩わしいものですが、コンピューターの更新を先延ばしにすればするほど、構成不備にパッチが適用されずに残ってしまします。

パッチは、さまざまなソフトウェアやクラウドプラットフォームで発見された脆弱性に対する解決策です。2023年、Varonisの研究部門はSalesforceにEinsteinのワームホールと呼ばれるバグがあることを発見しました。このバグにより、出席者名、メールアドレス、会議URL、パスワード、主催者に送信される返信など、機密性の高いデータが含まれる可能性のあるカレンダーイベントが公開されていました。バグにパッチが適用される前は、機密性の高い情報を含む可能性のある会議情報がインターネット全体に公開されていました。

デバイスやソフトウェアの更新に積極的に取り組むことにより、構成不備によって侵害される可能性が低くなります。

#10 パスワードマネージャーの利用。

パスワードマネージャーを利用すると、すべてのアカウントに複雑なパスワードを作成できるため、脅威の行為者がアカウントにアクセスすることを防止することができます。

パスワードマネージャーを使用するかどうかに拘わらず、サイト毎に異なるパスワードを作成すること、MFAなどの追加のセキュリティ対策の設定、不明なデバイスや不明な場所からのログイン時のアラートの発報を設定することが重要です。

パスワード生成に関するこのような小さなベストプラクティスが侵害による情報漏洩を防ぐ鍵となります。

漏洩事故が発生するのを待ってはいけません。

セキュリティ侵害が増加する中、サイバーセキュリティを優先付けすることは極めて重要です。これらの予防的なサイバーセキュリティのヒントに従えば、職場や家庭でのセキュリティ対策がより強化されます。

効果的なトレーニングと最高レベルのセキュリティ技術を組み合わせることで、組織にとって理想的なサイバーセキュリティソリューションが生まれます。

参考資料

・オリジナルブログ記事（英文）
https://www.varonis.com/blog/cybersecurity-tips

・Webセミナー「The Attacker’s Playbook: Security Tactics from the Front Lines」（英語）
https://info.varonis.com/en/resource/t2/webinar/the-attackers-playbook-2024-07-31

・ホワイトペーパー「Varonis Threat Labs: 攻撃者の脚本」
https://view.highspot.com/viewer/23b96b76527be169c8f69035a434b1ec

・2023 State of Cloud Permissions Risks レポートを公開しました
https://jpazureid.github.io/blog/azure-active-directory/2023-state-of-cloud-permissions-risks-report-now-published/

・レポート「 The Great Data Exposure」（英語）
https://info.varonis.com/hubfs/Files/docs/research_reports/Varonis-The-Great-SaaS-Data-Exposure.pdf?hsLang=en

・当コラム第8回「組織における責任共有モデルの理解と適用」
https://www.innovations-i.com/column/data-security/8.html

・インタビュー「Why it’s time to take warnings about using public Wi-Fi, in places like airports, seriously」（英語）
https://www.cnbc.com/2024/09/29/its-time-to-take-warnings-about-using-airport-public-wi-fi-seriously.html

・当コラム第27回「クラウドの裂け目：大規模学習モデル (LLM) リスクから身を守るには」
https://www.innovations-i.com/column/data-security/27.html

・当コラム第7回「Varonisを活用してMicrosoft Copilot for Microsoft 365の安全な導入を加速する方法」
https://www.innovations-i.com/column/data-security/7.html

ブログ記事著者について

Lexi Croisdale

Lexi Croisdaleは2023年にコンテンツマーケティングマネージャーとしてVaronisに入社しました。彼女は、企業がデータ保護に役立つ最新のサイバーセキュリティの動向や知見についての執筆を楽しんでいます。また、DIY工作、アウトドア活動、読書も大好きです。

（翻訳：跡部 靖夫）