本記事では、アメリカのサイバーセキュリティ企業 ColorTokens(カラートークンズ)社が発信しているセキュリティ情報(英文)を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳し、要約して掲載しています。
※本記事は、掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。記事下の最終更新日をご参考ください
人間の防衛:データ漏洩の背後にある大きな問題
サイバーセキュリティの侵害が見出しを飾るたびに、その矛先が人間に向けられることが多いことにお気づきでしょうか。
人為的ミスが主な要因として挙げられたSolarWindsの攻撃、ユーザーの脆弱なパスワードが原因とされた最近の23andMeの情報漏洩、あるいはUberのMFA疲労事件のような有名な事件はすべて、人間がセキュリティの最も弱いリンクであるという物語を補強しています。
しかし、それは本当に公平なのでしょうか?
事実もありますが、それがすべてではないと思います。
人間は弱者ではない-複雑なテクノロジーに圧倒されている
本当の問題は人間の無能さではありません。
人々にナビゲーションを期待するシステムの複雑さであります。
アラート疲れ、複雑すぎるユーザーインターフェース、際限なく続く警告の数々はすべて、燃え尽き症候群の原因となっています。
これに限られた予算と人員を組み合わせれば、ミスが起こるのも無理はありません。
人々に完璧な警戒を期待するのは不公平なだけではありません。
不可能なのです。
サイバーセキュリティの専門家は、しばしば圧倒され、我々が彼らを非難し続けるエラーそのものを引き起こしています。
では、どうすれば彼らの生活を楽にできるのでしょうか?
何が起こっているのかを理解するために、これらの事件のいくつかを探ってみましょう。
SolarWindsの攻撃: 単なる人為的ミスではなく、システム的な失敗
2020年、SolarWindsのサプライチェーン攻撃により、多くの政府機関や企業が危険にさらされました。
当初は、インターンが使用した脆弱なパスワード(「solarwinds123」)に非難が集中しました。
個人を指弾するのは簡単ですが、この単純化はサプライチェーンのセキュリティにおける組織的な失敗や、高度な脅威を検知する強固な仕組みの欠如を覆い隠してしまいます。
攻撃者は、SolarWindsのOrionソフトウェアに悪意のあるコードを注入し、数千の顧客に配布しました。
このような巧妙な攻撃を検知することの複雑さは計り知れないものでした。
一人の人間のせいにすることは、ソフトウェアのサプライチェーンを監視し、保護するためのより良い技術とプロセスの必要性を覆い隠してしまいました。
23andMe流出: パスワード問題は続く
最近、遺伝子検査会社23andMeがデータ漏洩に見舞われ、機密性の高いユーザー情報が流出しました。
同社は、ユーザーが複数のサイトでパスワードを再利用し、攻撃者がクレデンシャル・スタッフィングによってアカウントにアクセスできるようにしていると指摘しました。
しかし、正直に言いましょう。
すべてのユーザーがすべてのサービスに対してユニークで複雑なパスワードを維持することを期待するのは妥当でしょうか?
平均的な人は何十ものオンライン・アカウントを使いこなしているため、パスワード管理は負担になっています。
攻撃者は、23andMeのアカウントにアクセスするために、他の侵害から流出したパスワードを使用してこれを悪用しました。
この事件は、技術的なサポートなしにパスワードのセキュリティ管理をユーザーに頼ることの限界を浮き彫りにしました。
UberのMFA疲労攻撃: 疲労が支配するとき
Uberの情報漏洩事件では、攻撃者は深夜に従業員にプッシュ通知を浴びせることで、多要素認証(MFA)の疲労を悪用しました。
数多くのプロンプトを拒否した後、疲れ切った従業員は最終的に1つのプロンプトを受け入れ、攻撃者にアクセス権を与えました。
これは過失ではありません。
攻撃者に利用された人間の疲労だったのです。
攻撃者はその後、UberのIT部門を装い、従業員をさらに操りました。
この事件は、ソーシャル・エンジニアリングと容赦ない技術的要求が、勤勉な個人をいかに疲弊させるかを示しています。
ユーザーの警戒心だけに頼っていると、巧妙な攻撃者が悪用できる脆弱性が生まれています。
テクノロジーはいかに人間を助け、負担をかけないか
ユーザーにさらなる責任を押し付けるのではなく、サイバーセキュリティへのアプローチを見直す必要があります。
認証の再考
パスワードはその典型例です。
私たちは人々に、複雑でユニークなパスワードを使い、頻繁に変更し、決して再利用しないように言っています。
しかし、それは無理な注文です。
パスワードの管理だけが仕事ではないし、ミスは必ず起こります。
パスワード・マネージャーはその手助けをしてくれるはずですが、それだって完璧ではありません。
LastPassの流出事件は、これらのツールが単一障害点となる可能性があるため、それだけに頼ることへの懸念を抱かせました。
パスワードは暗号化されたままでしたが、この事件はユーザーの信頼を揺るがしました。
パスワードレス・テクノロジーの導入
パスワードを完全になくしたらどうでしょう?
パスキーや生体認証のようなパスワードレス・テクノロジーを採用することで、セキュリティを強化し、ユーザー体験を簡素化することができます。
パスキーは公開鍵暗号方式を採用しており、ユーザーはデバイスに内蔵された機能を使って認証することができます。
安全でユーザーフレンドリーです。
企業にとって、PureAuthのようなソリューションは、セキュリティを強化しながら、ユーザーの負担を軽減する堅牢なパスワードレス認証を提供します。
最も脆弱なリンクであるパスワードを取り除くことで、盗難や再利用された認証情報に依存する攻撃を防ぐことができます。
注意力疲労の軽減
サイバーセキュリティの専門家は、日々、圧倒的な数のアラートに直面しており、その多くは誤検知です。
このような絶え間ないアラートの嵐は、本物の脅威が見逃される可能性のあるアラート疲労につながります。
エンドポイント検出および応答(EDR)のような検出および応答テクノロジーへの依存は、この過負荷の一因となっています。
EDRは貴重ではあるが、唯一の防御手段であってはなりません。
プロアクティブなセキュリティ対策
プロアクティブなセキュリティ対策を採用することで、アラートを減らし、専門家の負担を軽減することができます。
マイクロセグメンテーションのような技術は、ネットワークを区画化し、脅威の拡散を制限し、アタックサーフェスを縮小します。
Xshield Enterprise Microsegmentation Platformのようなソリューションは、マイクロペリメーターを作成し、攻撃を受けても侵入を防ぎ、資産を保護し、重要なシステムを防御します。
ネットワークを最初から強化することで、脅威がユーザーに到達するのを未然に防ぎます。
このアプローチは、人間の警戒心への依存を減らし、疲労や複雑さによるエラーの可能性を低減します。
テクノロジーを人々のために役立てよう
今年のサイバーセキュリティ啓発月間は、物語を変えましょう。
本当の問題は、彼らが使わざるを得ないシステムにあるのに、私たちは安易な犠牲者であるユーザーを見つけてしまうことがあまりにも多いです。
責任あるテクノロジストとして、ユーザーの生活を複雑にするのではなく、シンプルにすることが私たちの義務です。
ユーザーに完璧であることを期待するのをやめ、彼らをよりよくサポートするシステムを設計し始める時です。
結局のところ、セキュリティは連帯責任であり、テクノロジーは障害物ではなく、イネーブラーであるべきなのです。
マイクロセグメンテーションのような戦略によってテクノロジーを簡素化することで、チームの負担をいかに軽減できるかについては、ぜひ公式サイトからお問い合わせください。
翻訳元記事
「In Defense of Humans: The Bigger Issues Behind Data Breaches」
最終更新日:2023/10/4
著者:Venky Raju, Tanuj Mitra
この記事の著者:電巧社セキュリティブログ編集部
電巧社がおすすめするサイバーセキュリティ(マイクロセグメンテーション)の
資料をダウンロードする
メルマガ登録
ゼロトラストセキュリティ・マイクロセグメンテーションをはじめとして、サイバーセキュリティの最新情報や事例、セミナー開催情報などをお届けします。
本記事に関連するサービス
エンドポイントごとに分割して守る新サイバーセキュリティ技術「マイクロセグメンテーション」で、ランサムウェアなどのサイバー攻撃から情報資産を保護します。
「会社に情報システム部門がない…」
そんな企業様に最適!
最短2週間で導入可能・シンプルな運用・低コストでサイバー攻撃の被害を最小限に抑えます。
よく読まれている記事
関連する用語集
