リモート・ファーストの世界とランサムウェア:VPN 依存からの脱却は不可欠?

Mitigate Ransomware in a Remote-First World

2022/06/21 TheHackerNews — ランサムウェアは、長年にわたって、サイバー・セキュリティ・チームにとって悩みの種として存在している。リモート・ワークやハイブリッド・ワークへの移行に伴い、この陰湿な脅威は、あらゆる組織にとってさらに大きな課題となっている。2021年は、多種多様な攻撃/多大な金銭的/経済的影響/組織側の多様な防御方法といった、ランサムウェアのケース・スタディの年となった。これらの攻撃から得られた教訓は、ランサムウェアのリスクを軽減するための、今後のセキュリティ戦略に活かせるものだと捉えるべきだ。組織は進化し続けるため、セキュリティ戦略も進化すべきなのだ。

リモート環境はランサムウェアの餌食になる

リモート・ワークやハイブリッド・ワークをサポートし続ける組織では、かつて境界内にあった可視性と制御が、もはや不可能なものになっている。攻撃者は、この弱点を利用し、利益を得ている。ここでは、攻撃者が利益を得る、3つの理由を説明する。

可視性と制御性が変化した。現在、ほとんどの組織では、遍在する従業員が働けるようになっている。これらの従業員は異なり、境界外にあるネットワーク上の管理されていない個人所有のデバイスから、すべてのリソースにシームレスにアクセスすることを期待している。そのため、セキュリティ・チームが持つ可視性と制御性が大幅に低下し、ユーザーや個人所有デバイスがもたらすリスクの、正しい理解が難しくなっている。

モバイル・デバイスは、攻撃者による認証情報のフィッシングを容易にする。攻撃者は、常にインフラへの侵入経路を探し求めています。従業員の認証情報を危険にさらすことで、攻撃者は正規のアクセスを獲得し、発見されないようにすることができます。

認証情報を盗む際の主な手口は、モバイル・デバイスを使用している従業員に対して、フィッシングを仕掛けるこすることだ。スマートフォンやタブレットは、仕事とプライベートの双方で使用されるため、SMS/SNS/Message App などを介して、従業員が標的にされる可能性がある。スマートフォンやタブレットなどのシンプルな UI により、フィッシングの兆候が隠されてしまうため、ソーシャル・エンジニアリングによるフィッシング・キャンペーンの格好のターゲットになる。

VPN により、ネットワーク内での横方向への移動が可能になる。したがって、組織は、従業員によるリソースへのリモート・アクセスを実現するために VPN に依存しているが、このアプローチには、数多くのセキュリティ上の欠点がある。第一に、VPN は、接続したユーザーに無制限のアクセスを提供してしまう。つまり、誰もが自由に、インフラ内の任意のアプリにアクセスできるようになる。第二に、VPN は、ユーザーやデバイスが接続する際のコンテキストを評価しない。不正なアカウントやデバイスを示す異常なアクティビティを検出するためには、コンテキストが不可欠である。

ランサムウェアから保護するためにできる3つのこと

ランサムウェアの攻撃は、今後も続くだろう。ランサムウェアの脅威は、スケーラブルで反復可能であり、かつ、収益性の高いキャンペーンを展開し、その活動を企業化させている。ランサムウェアに対抗する特効薬は存在しないが、リスクを軽減するための対策は数多くある。

  • 管理下および非管理下のユーザーを保護する。ランサムウェアのリスクを軽減するための最初のステップは、デバイスとユーザーのリスクレベルを可視化し、危険にさらされていないことを確認することだ。1人のユーザーや1台のデバイスが危険にさらされると、インフラ全体のセキュリティが損なわれる可能性がある。ハイブリッド・ワークにより、企業は BYOD (Bring-Your-Own-Device) モデルの導入を余儀なくされ、管理されていない個人のデバイスが機密データにアクセスすることになる。このようなデバイスは、管理されたデバイスに比べて、安全性が低い傾向があるため、適切なデータ管理を行うことが重要となる。
  • きめ細かでダイナミックな、アクセス制御を実施する。VPN の All-or-Nothing アプローチから脱却する必要がある。どこからでもユーザーがログインできるようにするためには、企業のアプリケーションやデータに、ユーザーがアクセスしている状況を把握することが重要となる。ゼロトラストの原則を適用することで、それぞれのアプリケーションごとに、必要とされるユーザーだけに対して、適切なレベルのアクセスを提供できるようにする。
  • オンプレミス・アプリケーションを近代化する。多くの組織において、データセンターにホストされ、インターネットからアクセス可能なソフトウェアが、依然として使用されている。これらのアプリケーションの安全性を確保するために、アプリケーションを隠蔽するクラウド・アクセス・ポリシーを導入し、パブリックなインターネットからアプリケーションを隠蔽し、許可されたユーザーだけにアクセスを提供する。それにより、きめ細かいアクセス制御が可能になるだけはでなく、SaaS アプリケーションが持つ強力な認証セキュリティの利点を拡張し、未承認のユーザーによるインフラの発見/アクセスを不可能にする。

ランサムウェアのリスクを軽減するための、データ・セキュリティ戦略の適応方法については、こちらを参照してほしい。高度に結びついた世界では、組織におけるデータを、より詳細に管理する必要が生じてくる。クラウドを中心とした統一されたプラットフォームは、まさに、それを可能にする。最近のことだが、Lookout の SSE プラットフォームは、2022年の Gartner Magic Quadrant for SSE で Visionary に選出された。また、2022年 Gartner Critical Capabilities for SSE では、すべての SSE ユースケースの Top-3 にランクインしている。

VPN という境界防御では、それを突破した者に、無制限のアクセスが提供されてしまいます。また、VPN は、ユーザーやデバイスが接続する際のコンテキストを評価しないため、異常なアクティビティを検出が不可能です。Lookout という、セキュリティ・ベンダーの言い分であることを差し引いても、正論といえば正論です。だからといって、VPN をやめろという話ではなく、多層化された防御を考えていくべきなのでしょう。

%d bloggers like this: