昨年末に米国で明らかになったSolarWinds製品のハッキング事件では、NSA(米国家安全保障局)を含む何千もの大規模な組織が、事態が発覚するまで6~9カ月もの間、侵害されていた。
SolarWinds製品を攻撃した犯罪者はバックドアを配信して、標的を自由にスパイすることを可能にした。米軍、国防総省、ホワイトハウス、さらにNSAを含む、約1万8,000もの機関や企業のセキュリティが破壊され、史上最大規模のハッキング事件となった。
SolarWinds製品を狙った犯罪者は不正アクセスをする上で最大4つのマルウェアを用いているため、被害を受けている組織は完全にディザスタリカバリ・モードになっている。不正にアクセスされていないと思われるバックアップを使用して、システムをゼロから再構築する必要がある。
Commvaultのブログ「Fifteen Shades of Cybersecurity Grey」が、この事件から学ぶべきことがたくさんあるとして、サイバーセキュリティに関する15の心構えをまとめているので、以下に紹介しよう。
(1)「100%の安全などない」と心得る
今回、世界で最も資金が豊富なセキュリティ機関であるNSAでさえハッキングされるということは、どの組織も脅威にさらされる可能性があるということがわかった。サイバー攻撃を防止および検出するためにあらゆることを行う必要があるが、サイバーインシデントに対しても備える必要がある。
(2)予算ですべてをカバーしようとせず、リソースを賢く活用する
NSAと同等のサイバーセキュリティに費用をかけることは、経済的に不可能だろう。費用をかけようと思えばきりがないが、注力すべきは、許容できるリスクに予算を合わせること、また現状のリソースを最大限に活用することである。
(3)ルールが簡単でなければ、ユーザーは従わない
スタッフのトレーニングと多要素認証などの賢明なサイバー衛生ポリシーの適用は不可欠だが、ルールが複雑になりすぎるとスタッフが従わなくなってしまう。
(4)データの場所を正確に把握していないと、GDPRに準拠しているとはいえない
昨今、IoTや5Gによりデータ量の増加が加速すると予想されている中、在宅勤務の社員がリモートデバイスにデータを保存するなど、組織全体のデータ管理を効率よく行うことは、かつてないほど困難になっている。セキュリティの死角をなくし、コンプライアンスを確保するには、ビジネス継続性とデータガバナンスの改善に重点を置くことが不可欠である。
(5)複雑さを極める運用管理には適切なセキュリティ管理が必須
データ量の増加、ビジネスニーズの変化(パンデミックへの対応など)、および継続的な運用の複雑さによって、ゼロトラストを効果的かつ普遍的に適用することが、ますます困難になっている。セキュリティ制御を管理するためのダッシュボードは、運用管理を容易にすることに役立つ。
(6)盗まれるのはデータだけではない
現在のセキュリティインシデントはランサムウェア(現在の最大の脅威)もしくはデータの盗難が中心だが、将来的には、AIの使用の増加とともに、制度の抜け穴を悪用したり、システムに影響を与えたりする脅威を検出できるようにする必要がある。
(7)ランサムウェア攻撃には効果的なバックアップが不可欠
ランサムウェア攻撃を受けた場合、身代金を支払ってもデータにアクセスできる保証はなく、社内全体が感染しているおそれがあるため、DR(ディザスタリカバリ)サイトさえもすべてを回復するには別の場所が必要となる。
そのため、ランサムウェア攻撃に対する備えとして、効果的なバックアップシステムとクラウドのディザスタリカバリ計画を立てることが必要不可欠である。犯罪組織に支払いを行う場合、将来的に再び標的にされる可能性が高くなる。身代金の支払いを回避する唯一の方法は、ディザスタリカバリ・システムを確実に機能させることだ。
(8)バックアップも標的にされ、破損することがあると心得る
攻撃者がセキュリティを破ってシステムにアクセスすると、バックアップにも不正アクセスしようとする。これにより、身代金を支払わなければならなくなる可能性が高くなる。これを回避するには、仮想エアギャップを使用してバックアップへのアクセスを防ぐことだ。
