孫子の兵法は、何百万人もの自己啓発の達人や企業戦略のコンサルタントによって引用され、さらに100万枚以上のパワーポイントのスライドに誤引用されている。しかし、ある種のものは、常に適切であるために決まり文句になる。孫子は「すべての戦争は欺瞞に基づいている」と主張しましたが、この真理は5^世紀の戦場にも、21^世紀のサイバーセキュリティにも当てはまります。 私たちは、悪意のあるエージェントがサイバー世界の影でこそこそと動き回り、欠陥が明らかになった瞬間に攻撃しようと待ち構えていると考えていますが、防御側も同様に、狡猾さと欺瞞の訓練を受けなければならないのです。

この考え方は、人気の高い「MITRE ATT&CK™」フレームワークの基礎となっています。Adversarial Tactics, Techniques and Common Knowledgeの略で、サイバーセキュリティチーム、脅威ハンター、レッドチームが攻撃者の思考と行動を監視するために、既知の敵対的戦術と技術を分類したデータベースです。この情報は、組織が緩和策とコントロールの優先順位を決め、侵害から迅速に回復するのに役立ち、時には敵を騙して罠にはめることさえあります。

CyberArkのグローバルセールスエンジニアであるホワイトハットハッカーのLen Noeは、「サイバー攻撃は単発ではなく、積み重ねである」「そこにないものはハックできない」といった格言のような話を、まるで孫子のように語っています。

今回は、Noeが随時ガイダンスを行い、MITRE ATT&CKフレームワークを活用し、2021年に米国最大級の燃料パイプラインを狙ったランサムウェア攻撃で使われたとされる具体的な戦術やテクニックのいくつかを検証します。この攻撃に関する公表された情報に基づくNoeの完全な分析は、このオンデマンドのAttack & Defendガイド体験で見ることができます。

過去に何が行われたかを理解することは、組織が次の侵入経路や最新の攻撃手段に対してより良い準備をするのに役立ちます。Noeが言うように、「ツールではなく、テクニックに対処する必要がある」のですから。

MITRE ATT&CKフレームワークを用いたランサムウェア攻撃の実態解明

攻撃フェーズ1 – 偵察

この初期段階において、攻撃者は攻撃目標に関する一般に入手可能な情報を調べ、Metasploitリスナーを起動して外部からの接続をモニタリングしました。攻撃者は、組織のIT管理者からの偽の電子メールで、ユーザーにPuTTYのバージョンをアップグレードするよう要求するアップデートを要求するなど、単純なフィッシング技術を採用しました。この「アップグレード」は、悪意のあるペイロードジェネレータ「MSFvenom」に感染し、標的となるマシンと攻撃者の間に「Call Home」を作り出しました。

攻撃フェーズ 2 – 初期アクセス

そこからユーザーのデスクトップに移動し、「AD Recon」ツールをアップロードしてActive Directoryの状況を把握し、企業の内部インフラをより深く理解することができたのです。高度なデータ偵察レポートを実行し、必要な情報を流出させた後、攻撃者は自分たちの活動の痕跡を削除し、発見されないようにしました。

このシナリオでは、攻撃者は最初の足がかりを得るために、MITREが定義したいくつかの異なるテクニックを使用しています。ソーシャルエンジニアリングやその他の技術によって得られた有効なアカウントへのアクセスを悪用し、IDを危険にさらしてより多くのアクセスを得るために認証情報をターゲットとした活発なフィッシングキャンペーンを行い、一般公開されているアプリケーションを悪用したのです。

攻撃フェーズ3 – 実行

最初の足がかりができると、攻撃者は出力ディレクトリを調べ、ドメインコントローラーの場所、IPアドレスとホスト名に関する情報を得ました。

ドメインコントローラは、攻撃者にとっての宝の山であり、適切に保護されていない場合、不正アクセスは組織に壊滅的な打撃を与える可能性があります。攻撃者は、Microsoft Windowsのデフォルト認証プロトコルであるKerberosの脆弱性を利用して、正当なユーザーを装い、ネットワークを通過し、ホストからホストに移動してデータを盗み、ランサムウェアを拡散し、様々な方法で大混乱を引き起こすことが可能です。

ドメインコントローラーにアクセスすることで、これらの攻撃者はOS標準ツールを実行してデュアルセッションをセットアップし、実質的に自分のコンピュータをシステム管理者と並行してセットアップすることが非常に簡単にできるようになりました。

Noe氏が指摘するように、Kerberosの実装プログラムを保護することは、権限のないユーザーがアクセスし、「ゴールデンチケット」や「パスザハッシュ」といった破壊的な攻撃を実行することを防ぐために重要です。それは、「違反を前提とする」考え方の重要性に帰結します。

攻撃フェーズ 4 – 粘り強さ

忍耐力や持続力は美徳とされることが多いですが、ランサムウェアの攻撃でも重要な鍵を握っているのです。攻撃者は、パラレル・アドミニストレータを確立すると、悪意のあるエージェントを使用してスケジュール・タスクを作成し、それが実行されると、自動的にコマンド＆コントロール・サーバに連絡し、そのホストへの攻撃者のポータルを開いたままにしておくのです。

そこから、エクスプロイトやハッシュダンプ（基本的に、Hashcatのようなプログラムで読み取り可能な情報の塊）を実行することができました。その情報が読み取れ、並べ替えられるようになると（それには時間と粘り強さが必要ですが）、攻撃者はミッションに不可欠な管理者パスワードを特定することができました。

Noeはここで、システムロックを解除するための1つのキーセットを持つことを避け、システム間でのパスワードの再使用や複製を防ぐために、自動再生パスワードシステムの利用を推奨しています。ここでも、水平方向と垂直方向の移動をできるだけ制限することが重要です。

攻撃フェーズ5 – エスカレーション

このゲームの名前は、ほとんどの場合、特権の昇格です。攻撃者は、システムを操作するために、ハッシュダンプをクラックし、クレデンシャルを取り出し続けました。彼らは、様々なタイプのクレデンシャルに関する操作を行い、最終的に、この昇格したアクセス権を使用して、ランサムウェアのペイロードをダンプ（正確には、アップロード）する場所に移動しました。

攻撃フェーズ 6 – 回避

Noeが言うように、「最初のアクセスの後、攻撃者の第二の優先順位は防御回避だ」。検知されないようにすることが重要なのです。このあたりから、スパイ対スパイの様相を呈してきます。侵害されたシステムには（うまくいけば）秘密の防御メカニズムがあるが、敵対者は最善を尽くして忍び寄ろうとしているのだ。例えば、攻撃者は「クリーン」な状態を保つために、出力ディレクトリ、CSVファイル（カンマ区切り値）、パワースクリプトを削除し、侵害の兆候を削除する。このような回避的なテクニックは、ランサムウェア対策に重層的で深層的な防御のアプローチが必要であることを強調すると、Noeは指摘します。

攻撃フェーズ7 – クレデンシャルアクセス

このランサムウェアの攻撃は、これまでの多くの攻撃と同様、デスクトップのミラーリングやパスワードのハッシュダンプダイブをはるかに超えています。この攻撃は、機密データやシステムへの広範囲な管理アクセスを可能にする特権的な認証情報をターゲットとしていました。

だからこそ、最低限の権限をユーザーに付与する特権アクセス管理は、 レイヤードセキュリティのアプローチに不可欠であり、「何も信用せず、すべてを検証する」ゼロトラストの哲学に貢献するのだとNoeは強調する。

次の大規模な攻撃は、おそらくこのような形ではない

While the MITRE ATT&CKのフレームワークは確かに有用ですが、それは流動的なリソース、つまり出発点でなければなりません。攻撃者は常に革新的であり、それぞれの攻撃は独自の道を歩んでいます。バイオハッキングからランサムウェア・アズ・ア・サービスの革新的な技術まで、常に新しい技術が生まれていますが、時折、古い手口が復活することもあるのです。Noe氏は、「解凍時に実行されるJavascriptを含むファイルをZip圧縮する全く新しい方法を目にすることがあります。以前にもこのような手口はありましたが、攻撃者がこのような方法で圧縮ファイルを狙うのは久しぶりです」。

サイバーセキュリティの哲学者であるLen Noeの言葉を借りれば、プロアクティブであること、クリエイティブであること、攻撃者のように考えることが、サイバーセキュリティに必要なアプローチなのです。しかし、既知の事柄への取り組みと 未知の事柄への備えのバランスをどうとるかによって、攻撃者との戦いに勝つだけでなく、戦争に勝つこともできるのです。

IDおよびアクセス管理を提供する大手企業、Okta社が、2022年1月に委託先のサポートエンジニアのマシンがサイバー攻撃を受け、データが侵害されたことを公式声明で発表しました。この声明は、サイバー犯罪グループLapsus$により、同社のロゴがオンライン投稿されたことを受け、3月22日に発表されました。2021年以降、同犯罪グループによる攻撃が急増しています。

Okta社の侵害は、例外なくどの企業も攻撃対象となる可能性があり、絶対的な防御手段は存在しないことを改めて指摘しています。進化し続けているサイバー攻撃を、単独で阻止できる企業またはソリューションや技術は存在しません。サイバー攻撃を防御する関連者は、何らかの事態が発生した場合、オープンかつ迅速に連絡を取り合い、セキュリティは「チームプレー」であることを肝に銘じて、使命を共有してセキュリティを最優先するという考え方を、一丸となって推進する必要があります。

この侵害についてこれまでに判明していること、およびIDプロバイダー（IdP)が侵害された場合に講ずるべきいくつかの実際的なステップについて、以下をご覧ください。

Okta社侵害の概要

2022年1月、攻撃者がOkta社の委託先のサポートエンジニアのエンドポイントを侵害し、同社の顧客データにアクセスしました。侵害が直ちに認められたにもかかわらず、2022年3月22日にLapsus$が同社のロゴをオンライン投稿するまで、本件に関する公式声明は行われませんでした。この侵害により、シングルサインオンやID管理にOkta社を利用している顧客が影響を受けた可能性があります。

Lapsus$は、大企業への攻撃や意表な手口により、にわかに注目を集めているサイバー攻撃グループです。
犯罪動機や被害の全容はまだ明らかになっていませんが、2つのことが明らかです。つまり、ID漏洩が主な発端であること、および意図された標的が関連の主要なテクノロジー企業だけがではないことです。
Okta社の侵害に関して、Lapsus$は、実際には同社の顧客が標的であったことを明言しています。

お客様のIDプロバイダーが侵害されている、またはその疑いがある場合、直ぐに講じるべき4つのステップ

サイバー攻撃が急増し続ける中、すべての組織が事前に侵害を想定してシステムを強化し、攻撃の可能性に備えることが急務となっています。お客様の会社組織が直接攻撃を受ける、あるいは委託先のプロバイダーが第一の標的になる可能性があります。

IDプロバイダーをTier0アセットとして扱い、適切な保護を講じる必要があります。
お客様の会社組織のIDプロバイダーが侵害された場合またはその疑いがある場合、以下の4つのステップを直ちに実行して、データ漏洩と影響を最低限に抑える必要があります。

ステップ 1：報告された攻撃日以降に行われた設定変更を精査。設定変更を行い、認証フロー全体を切り替えるだけでは、攻撃者のアクセスを完全に阻止することはできません。
以下のような変更には注意が必要です：

• MFAデバイスの新規導入やデバイス変更
• MFAの設定変更：例えば、攻撃者がIDとユーザーパスワードを侵害して、特定のアプリのMFAを無効化して、アプリにフルアクセスしている可能性があります。
• IDプロバイダー（IdP）の設定変更：攻撃者がURI（SSOソリューションとIdP間の接続）および関連する設定が変更されている場合、ユーザーパスワードを変更しても、攻撃者が自由にアプリケーションやサービスにアクセスしている可能性があります。
• 特に特権アカウントや管理者アカウントのパスワードおよびMFAのリセット試行。
  すべてのパスワードのリセット試行が疑わしいと想定して、すべてのパスワードをリセット。
• アクセス許可とロール変更および新規ユーザーの作成。
  IdPのソリューションが、例外的なアクセスに基づいてリスクベースのアクセスおよびリスクスコアリングを提供している場合、システムの高リスクなイベントと高リスクなユーザを査定してください。例外的なアクセスにより、これらのイベントが引き起こされる可能性があります。例えば、普段とは異なるIP、ロケーション、デバイスによるアクセスなどです。
  また、アプリケーション自体の変更にも注意することが重要です。アプリに直接ログインできるアプリケーションにシャドウ管理者が作成されている場合、それを見つけ出すことは極めて困難といえます。お客様の会社組織でIGA（IDガバナンス・管理）プラットフォームが使用されている場合、その認証性能をチェックする絶好の機会です。

ステップ2：認識されていないまたは不正なアプリケーションを突き止める。SSOプラットフォームにアクセスできる攻撃者が、正規のアプリケーションのように見せかけて、悪意のあるアプリを追加または既存のアプリを置き換える可能性があります。
新しいアプリケーションが追加されている場合、ガバナンスプロセスを有効にする必要があります（承認プロセスや複数の管理者への通知など）。
悪意のあるアプリが、ユーザー同意後に割り当てられたアクセス許可を悪用する可能性があります。
例えば、悪意のあるアプリケーションが、Outlookメールの読み取りやクラウドベースのストレージへのアクセスを要求してくる場合があります。

ステップ3：犯罪者がアプリやサービスへのアクセストークンを獲得して、アクセス許可を悪用および被害を与える可能性を、最小特権を適用することで、最小限に抑えことができます。ジャストインタイムアクセスや動的な特権昇格機能の導入を検討し、常時アクセスを排除およびエンドポイントからローカル管理者を削除するなど、基本的な最小特権を見直してください。またこれには、重要なアプリへのアクセスに関して、最高レベルの認証保証レベル（AAL3）に準拠したMFAポリシーの導入が含まれます。

ステップ4：特定のデバイスおよびマネージドデバイスにのみ機密アプリケーションへのアクセスを許可して、未知のデバイスからのアプリケーションへのアクセスを制限できます。
また、最小特権管理プラクティスを順守する必要があります。これには、RDPやリモートアクセスをヘルプデスクのみに制限、特権アクセス管理ソリューション（PAM）、ベンダー特権アクセス、管理サブネットなどが含まれます。

セキュリティ最優先を推進

今日の脅威の状況において必要なのは、セキュリティ最優先のマインドセットを共有し、一丸となって取り組むことです。CyberArkは、セキュリティパートナーや関係者と連携して、最も重要な資産を攻撃から保護する使命を果たしていきます。

CyberArkは、脅威の状況の変化を常に監視し、新たな情報が明らかになり次第、皆様にお知らせしています。
詳細については、4月6日に開催されるウェビナー（英語）にご参加ください。

CyberArkは、サイバーセキュリティ体制を継続的に強化しています。詳しくは、CyberArk Trust Centerをご覧ください。

従来のセキュリティ境界線が消失している」ことは、今や広く認知されています。このため、計画を前倒ししてより早くセキュリティアプローチを展開することが、多くの企業にとって急務となっています。

従来のファイアウォールやVPNベースのセキュリティモデルは、現在の極度に分散化されたIT環境を保護するために構築されたものではありません。クラウドおよびハイブリッドインフラの導入に伴い、SaaSアプリケーションの数や種類が増え、従業員のリモートワークも促進されているため、IDが唯一の真の境界であることは明らかです。ネットワーク境界の内外を問わず、すべての人、アプリケーション、マシンに紐付けられているIDの安全な管理および認証により、特権アクセスを制御することで、有効なサイバーセキュリティがもたらされます。今日のIT環境では、アクセスするシステム、環境、アプリケーション、データ、または実行するオペレーションの種類に関して、一定の条件を満たせば、どのようなIDにも特権が付与されます。

パスワードの問題点

組織の最も重要なデータやインフラへ広範にアクセスできる、特権ユーザーの認証情報が、何よりもまずサイバー犯罪者に狙われているのは当然のことといえます。2020 Verizon DBIRレポートによると、紛失または盗まれた認証情報の悪用およびブルートフォース攻撃が、ハッキングやデータ侵害の80%以上を占めています。攻撃者は、漏えいした特権認証情報を基にして、社内のリソースへアクセスして機密データを手に入れて、ビジネスを混乱させています。しかしながら、多くの組織がユーザー認証情報の保護を未だにパスワードに頼り続けています。パスワードには、さまざまな理由で問題点があります。

毎日3億を超える不正なサインインがMicrosoftのサービスに試みられているにもかかわらず、53%のユーザーが過去12ヵ月間にパスワードを変更していません。たとえ変更されていても、新しいパスワードが脆弱であったり、同じパスワードが複数のサイトで使用されている可能性が高いです。実際、Googleの調査により、52%のユーザーが同じパスワードを複数のアカウントで使用していることがわかっています。

多くの組織が、各アカウントに対して異なるパスワードの使用を義務化し、パスワード変更の頻繁な変更を要求し、複雑なパスワードポリシーを実施するなど、ID保護対策を講じていますが、このような対策は、リスクのあるパスワード利用（パスワードをメモ書きしてファイルに保存するなど）をエンドユーザに促したり、ITチームに余計な手間がかかるアクセス管理を強いるため、実際には良い結果をもたらさず逆効果になる可能性があります。

パスワードを覚えて毎回入力したり、忘れた場合にリセットすることを何回も繰り返していると、それが大きな負担となり生産性の低下につながります。特にリモートワークが一般化している今、従業員やサードパーティベンダーは、共同作業や企業リソースへのアクセスにアプリケーションを多用しています。今日の典型的な従業員は、パスワードの入力やリセットに毎週約12.6分の時間を費やしています。PwCの調査によると、ヘルプデスクへの問い合わせのおよそ30％がパスワードに関連しており、貴重なITリソースがより戦略的な取り組みに費やす時間を削られていることがわかっています。パスワード使用に伴う生産性コストを単純計算すると、従業員1人当たり年間約725ドルとなります。

SSOをセキュリティツールキットに今すぐ追加すべき4つの理由

シングルサインオン（SSO）により、以下を実施することで、まん延しているパスワード問題を解決して、攻撃対象を減らすことができます。

1. より強力なパスワードポリシーの一貫した適用により、個々のパスワードの必要性を完全に排除して、不適切なパスワード利用によるリスクを軽減。SSOにより、すべてのアプリケーション、エンドポイント、リソースに対して、単一の安全なIDを利用できます。

2. エンドユーザー環境の強化により、ローカルおよびリモートユーザーの両方が割り当てられたクラウドやオンプレミスのアプリケーションにワンクリックでアクセス。従業員の生産性を維持して、ビジネスのスピードに合わせて業務を進めるために、高リスクの特権アクセス要求に対してのみ追加のセキュリティ制御が必要なSSOソリューションもあります。

3. サイロを解消してユーザーおよびアカウント管理を簡素化する、シームレスなディレクトリ統合。

4. ユーザーのアクセス活動を包括的に可視化– アクセスに関するコンプライアンス要件を満たし、レポート作成を簡素化し、全体的なセキュリティ体制の改善をサポート。

SSOソリューションはそれぞれ異なる

SSOがもたらす即効的なメリットは明らかです。IDセキュリティ管理を強化することで、リスクを軽減してユーザー環境を強化し、企業リソースへのアクセスを簡素化すると同時に、IT部門の負担を緩和できます。

SSOソリューションの初期検討中にはしばしば見落とされがちですが、導入後にその他多くの付加的な長期にわたるメリットを実現できます。例えば、セルフサービスツールを適切に構成することで、パスワード関連のヘルプデスクチケットや問い合わせを減らして、ITコストを大幅に削減できます。またSSOにより、従業員の異動や退職後もアカウントがアクティブな状態で放置される可能性をなくせます。適切なSSOソリューションを選定することで、セキュリティ機能をパスワードだけでなく、多要素認証（MFA）やパスワードレス認証方法にまで拡張させることができます。

オンデマンドウェビナー「シングルサインオンソリューションによるメリットの拡大」にご参加ください。最新のSSOのメリットおよび最適なソリューション選定に役立つ重要な検討事項をご確認いただけます。

サタデーナイトライブの往年のファンであれば、2000年代の初めにジミー・ファロンが演じた人気キャラクター、ニック・バーンズ（貴社のコンピュータ担当者」）を覚えているに違いありません。

いくつものポケベルを腰にぶら下げたたニックが、トラブル解決に駆けつけて、コンピュータにまつわるジョークを飛ばしながら、些細な問題を解決できない社員を皮肉り、「モォー」というお決まりの一言を発して、社員のトラブルに割って入り、あっという間に問題を解決して、「これって難しいこと?」という決め台詞で笑いを誘いました。

ニックの仕事は、今日のITヘルプデスク管理者のビジネスクリティカルな任務とはかけ離れているものの、サポートの要求に奔走する姿に共感するITヘルプデスク管理者は多いはずです。また、どんなに冷静な性格であっても、同じ問題が何回も繰り返し起これば、苛立ちを隠せないはずです。ほとんどの場合、パスワードが今日の問題の発端といえます。

「一度には無理、僕の頭は外付けハードにつながれていないからね!」

。
Outlook 6.0や32ビットプロセッサ搭載LC-475 Macの時代はとうに過ぎ去りましたが、パスワードは20年経った今でもユーザー認証に利用され続けています。

デジタルイノベーションが加速する中、多くの企業が目まぐるしいスピードで新しい技術を採用しています。新たなアプリケーションやツールを導入すると、それぞれに固有のパスワード管理が必要となり、また複雑さやローテションの頻度が増すため、新しいIDのサイロ化が助長されます。

ユーザー側は新しいシステムに対する認証が繰り返し求められ、また多くの複雑な個別のパスワードを覚えて使用することに課題が生じています。これにより、ヘルプデスク担当者の頭痛の種が増します。ユーザーのプロビジョニングだけでなく、何百、何千もの企業アカウントを担当して、常時パスワードのリセット要求に対応し、アカウントをロックアウトする必要があります。

このようなパスワード問題を、いくつかの業界の推定値と簡単な式で数値化できます。

• パスワードのリセットに要するヘルプデスクの「全体」コストは、40～50米ドルです。ここでは平均値45米ドルをあてはめます。
• コロナ禍による在宅勤務が普及する以前、各企業のユーザーは、パスワード関連のトラブルをヘルプデスクに年間6～10回は問い合わせていたと推定されます。261日×8時間作業日（2,088時間）中に8回（平均値）の問い合わせがあったとすると、261時間作業日内に1回の割合で、パスワードのトラブルをヘルプデスクが受け付けていたことになります。
• リモートワークへのシフトが一般化して以来、米国のナレッジワーカーの典型的な1日の勤務時間が8時間から11時間に増えているとみなされています。つまり、261日×11時間作業日＝合計2,871時間（勤務時間）となり、以前の「通常」の勤務時間（2,088時間）よりも783時間増えているといえます。つまり、パスワード関連のヘルプデスクへの問い合わせが1人あたり3件増えていることになります。
• CyberArkは、このデータに基づき、従業員1,000人の大企業の場合、年間495,000米ドルがパスワードの課題解決に費やされていると推定しています(1人あたり11件のパスワード関連のヘルプデスクへの問い合わせ x 1件あたり45米ドルのコスト x 1,000ユーザー)。

ITヘルプデスク管理者は、戦略的なビジネスへの取り組みに注力するどころではありません。時間とリソースがすでに制約されている中、パスワード問題に対処してサービスレベルアグリーメント（SLA）を満たし、エンドユーザーの不満に対処するために、さらに長時間のシフトを組む必要に追い込まれています。

「パスワードがワンちゃんの名前って…..モオー!」

。
強力なパスワードを避ける傾向は、今も昔も変わりません。多くの場合、極めてシンプルで一般的なパスワードが使いまわしされています。実際、従業員は平均して16の業務アカウントに同じパスワードを利用しています。この問題を解決するのに、パスワード管理ソフトが役立つように思われますが、このアプローチにはリスクがあります。パスワード管理ソフトは、機密リソースおよびアクセスするユーザーを特定して、アクセス時間を管理することはできません。

攻撃者は、多くの企業がさまざまなシステムやツールへのアクセス保護を、単独の検証方法（単一の認証情報セットなど）に頼り続けていることを見抜いています。これがシングルサインオンと組み合わせて使用されている場合、多くのシステムやアプリケーションへの広範なアクセスが許可されるため、特に危険です。

攻撃者は、たったひとつの企業IDの認証情報を盗み取るだけで、価値の高いリソースに向けて特権を昇格させていく、足がかりを築くことができます。今日、すべての侵害の67%が、認証情報の盗難（盗み出したパスワードや脆弱なパスワードを利用）およびソーシャル攻撃によって引き起こされています。

また、ITチームがセキュリティを目的として、より強力な認証手段を導入しても、従業員がアクセス制御を回避する巧みな方法を探し出したり、生産性を維持するために企業が承認したシステムやアプリケーションをまったく使用していないといったケースもしばしば見かけられます。

ITサービス管理専門家の84%が、今後3年間のうちにIT業界で働くことがさらに難しくなると考えています。これには納得できる理由があります。つまり、「石（すべてのシステムおよびデータを可能な限り安全に維持すること）」と「堅い場所（チームの生産性を維持すること）」の板挟みで身動きが取れなくなっています。

パスワードのリセットではなく……パスワードの排除を検討

パスワードレス認証方法などのソリューションを統合したゼロトラストセキュリティモデルを採用することで、ITセキュリティとヘルプデスクのチームが、先を見据えて、適切なバランスを取りながら、アクセス制御を軌道に戻すことができます。

クラウドベースのシングルサインオン（SSO）とアダプティブ多要素認証（MFA）を組み合わせることで、まん延しているパスワード問題を解決して、ユーザーの本人確認を行いながら、アクセスを合理化して、必要なすべてのリソースへの対応を迅速に行うことができます。

リスクベースのアクセスには、多少のインテリジェンスとコンテキストが必要です。機械学習およびコンテキストシグナル（ユーザーデータ、デバイスデータ、アクティビティデータなど）を使用することで、過去のパターンに照らして合わせてアクセス要求を自動的に分析して、各ログイン試行にリスクを割り当て、異常な行動でトリガーするアクセスポリシーを作成するなどです。

これに加えて、セルフサービス機能を従業員に提供して、ヘルプデスクの作業負荷を軽減し、時間のかかるタスクを自動化することで、ITチームがビジネスオペレーションや収益を維持する作業に取り組み直して効率を高めることができます。

ニック・バーンズのお決まりのセリフを拝借して最後に一言、「みなさん…どういたしまして!」

不遇の年といえる2020年を顧みずに、2012年を予想することは難しいことです。歴史に記される2020年の主な出来事は、言うまでもなく、新型コロナウイルスの世界的な大流行および米国大統領選です。ビジネスの観点からは、感染拡大が組織の運営手段をほぼ全面的に変容させています。リモートワークへの急速なシフトにより、ビジネス界は顧客動向のあらゆる側面を完全に見直して方向変換することを余儀なくされています。

また、これらの変化は、全業界にわたって、デジタル・イニシアチブを劇的に加速させています。生産性と事業の継続性を向上させる技術を多くの企業がいち早く採用し、5年分にあたるビジネス・トランスフォーメーションがわずか5ヶ月で成されています。新しいコラボレーション・ツールの導入、重要なインフラやアプリケーションのクラウドへの移行など、あらゆるものがさらに分散化され、その結果として、サイバー攻撃にさらされるリスクも大幅に高まっています。

2021年を展望するにあたり、想定をはるかに上回る外力や事象がどのように収束して、今後12ヶ月のサイバーセキュリティにどのような影響を及ぼすのか見てみましょう。

弊社の社内専門家は、以下を指摘しています。

攻撃者の標的がセキュリティの孤立化にシフト

さらに長期的なリモートワーク方針を検討する企業が増える中、IT環境の分散化が引き続き拡大していきます。多くの在宅勤務者が、安全とはいえないホームネットワークや個人のデバイスを介して、企業のシステムやリソースに日々アクセスしています。各々のユーザーが孤立化されている現在の環境では、従来のセキュリティ管理は効果を発揮しません。企業セキュリティにおいて、個人の行動がこれまで以上に脅威となっています。

セキュリティの孤立化に伴い、攻撃サイクルに変化がみられます。つまり、広範な「運任せで乱射する」ソーシャルエンジニアリング攻撃から、機密性の高いシステム、データ、インフラストラクチャの特権的なアクセスを持つユーザーを標的とした、より高度なパーソナライズ攻撃へのシフトが考えられます。

攻撃者は一般的に水平移動してデータを侵害します。つまり、何らかの足場を作ってアクセス権を昇格させて、ネットワーク全体にわたって移動しながら標的に到達します。しかし、ネットワークの孤立化により、高レベルのアクセス権が許可されている特定の標的に対する攻撃が限られてきています。その結果、攻撃が個人を標的とした垂直移動へシフトするものと予想されます。標的に含まれるのは、管理コンソールや財務記録および競合データへのアクセス権を持つビジネス・ユーザーなどです。

この新しい「パーソナライズ攻撃チェーン」は、攻撃対象を適確に特定してプロファイリングする必要があるため、より多くの時間とコストが必要ですが、攻撃サイクルが短くなるため、ビジネスに影響が及ぼされる前に攻撃を特定して阻止することがさらに難しくなります。

-レッドチームサービス責任者、シェイ・ナハリ

ディープフェイクを利用したサイバー攻撃

合成メディアが新たな脅威になる可能性はあるのでしょうか？ ディープフェイク動画は、パーソナル攻撃に今後も使われる手段の一例です。

ディープフェイクとは、既存の動画に偽物を重ね合わせて本物そっくりに合成したニセ動画です。世間一般的には、世論に影響を及ぼしたり、評判を傷つけるなど、ディープフェイクの悪い面がニュースで話題となっています。ディープフェイク動画による攻撃は大げさに取り上げられますが、それほど多くの成果はみられていません。

しかしながら、パーソナル攻撃チェーンの傾向が進むことに従って、ディープフェイクの悪用はさらに増すと予想されます。ただし、大きな混乱を引き起こすことではなく、ソーシャルエンジニアリング攻撃に拍車をかけることが目的といえます。

例えば、経営陣やビジネスリーダーのビデオや録画は、マーケティング資料やソーシャルメディアのチャンネルなどから容易に入手できます。攻撃者は、これらのメディアを合成しています。ニセ動画はフィッシング詐欺に続く攻撃戦略です。つまり、メールによる詐欺の手口がチャットやコラボレーション・アプリなどの他のプラットフォームへシフトしています。特に、上級管理者とリモート従業員のコミュニケーション手段として、ビデオを利用する組織が増えている現在、攻撃者がニセ動画を信じ込ませて不正リンクをクリックさせる手口が増えています。

例えば、IT部門になりすまして、パスワードを要求するフィッシングメールはよくある手口ですが、そのメールにCEOの緊急メッセージへのWhatsAppリンクが貼り付けられていたらどうでしょう。攻撃者がソーシャルチャネルの経営幹部の動画を合成して、ニセ動画を得意先、従業員、パートナーなどに送り付けて不正リンクをクリックさせるなど、新たな攻撃手段が広がっています。

-CyberArkラボ、Cyberリサーチ・チーム・リーダー、ニール・チャコ

5Gがこれまでに最大規模のDDoS攻撃の引き金になる

5G、IoT、クラウドなどの技術採用が、ビジネスの新天地を切り拓いていくことは明らかであり、このトレンドは2021年になっても変わりません。特に5Gについては、企業がデジタルトランスフォーメーションをスピードアップし、ダイナミックなカスタマー・エクスペリエンスを創出できる一方で、攻撃対象範囲を急激に拡大させます。より多くの相互接続デバイスをオンラインで利用できるようにすることで、組織は新たなリスクにさらされます。

Google社は先般、2017年に2.5Tbpsの大規模なDDoS攻撃を受けたことを明らかにしました。これは過去最大規模の攻撃であり、2018年にAmazonを標的にした2.3Tbpsの攻撃をさらに上回っています。これらの攻撃は、60万を超えるIoTデバイスとエンドポイントを侵害した2016年の大規模なMiraiボットネット攻撃の4倍の規模でした。

5Gが世界中で普及すると、これらの攻撃をさらに凌駕する、より大規模でより頻繁なDDoS攻撃が現実となります。5Gが利用可能な帯域幅をさらに広げることで、大量のIoTデバイスの接続が可能になりますが、IoTのセキュリティ標準はまだ存在しておらず、多くの場合、ボットネット攻撃の脅威に安易にさらされます。

このような状況において、今後1年以内にかつてない5Tbps DDoS攻撃が仕掛けられることが予想されます。GoogleやAmazonを襲った2Tbps攻撃がより一般的なものになると、オンラインやコネクテッドビジネスに大規模な混乱が引き起されます。

-コンサルティングサービス担当ディレクター、ブライアン・マーフィー

コロナ禍における圧力が内部脅威を生み出す

今般のコロナウイルス感染拡大により、従業員やその家族は多大な負担を強いられています。不確実な経済状況、リモートワーク、オンライン授業など、多くの人たちがかつてなかったストレスや不安を抱えています。この新たな苦難は、従業員がサイバーセキュリティを悪用する引き金となる要因を生み出しており、新たな内部脅威につながる可能性があります。

前述のように2020年には、攻撃者が特権アクセスを持つ従業員を金銭面で誘惑して認証情報と引き換えに賄賂を渡したり、「偶発を装って」漏洩させるケースが増え、また特権アクセスがこれまで以上に闇ウェブに出回ることが予想されます。攻撃者が企業のネットワーク、VPN、ワークステーションへの特権アクセスを特別料金で買い取っているという情報を明らかにしているレポートもあります。

経済的な不安が高まる中、金銭的な見返りで誘惑する新たな脅威にさらされる可能性があります。

-テクニカルディレクター デビッド・ヒギンズ

多くの従業員の日常業務が、以前とは大きく様変わりしています。コーヒーを片手に自宅のワークスペースから仮想プライベートネットワーク（VPN）に接続して企業のリソースやアプリケーションにアクセスすることから1日の仕事がスタートします。

VPNは、安全なリモートアクセスを提供するために、最も時間をかけて試行錯誤されてきた手段の1つです。しかしながら、適切に実装および保守されていなければ、攻撃のリスクにさらされます。攻撃者が脆弱性を見つけ出し、機密システムやデータへの特権アクセスを盗み取る可能性があります。実際、一部の組織では、VPNやエージェントを必要としないリモートワーカーの新しい接続方法を採用して、操作やユーザーワークフローの合理化に役立てています。

VPNを使用している場合、VPNスタックの適切なパッチ適用、適切な暗号化の使用、継続的なトラフィックパターンと使用状況の監視が必要です。さらに重要なのは、VPNにログオンするユーザーの高度なレベルでの保護、デバイスの検証、および関連する特権やアクセス権が最小特権の原則に沿ったものであることを確認することです……これは、信頼せずにすべてを検証するゼロトラストセキュリティのコンセプトと似通っている部分があります。

ここでは、ゼロトラストセキュリティの3つの柱に基づいて、VPNをリモートワーカーが利用する際に考慮すべき5つのベストプラクティス（原則）を紹介します。

原則 1：ユーザーの検証VPNソリューションがRADIUSおよび/またはSAMLによる多要素認証（MFA）をサポートしていることを確認してください。

大半のVPNソリューションが、VPNのタイプ（サイト間、リモートユーザ）に応じて、さまざまなタイプの認証メカニズムをサポートしています。RADIUSは、MFAをサポートする1つのタイプです。VPNサーバがRADIUSサーバに対するRADIUSクライアントとなり、これにより多要素認証を実行できます。例えば、CyberArk Idaptiveコネクタソフトウェアは、RADIUSサーバならびにADプロキシの機能を果たすことができます。これにより、AD認証ならびにモバイル認証機能、OATH OTP、メール形式の二次認証要素が実行されます。

下の図は、RADIUSクライアントとRADIUSサーバとして機能するCyberArk Idaptive Connector間のRADIUSベースの認証に関連するステップを示しています。

認証のためにVPNを外部IDPと統合するもう1つの方法として、SAMLが使用さます。すべてのVPNベンダーがサポートしているわけではありませんが、サポートされている場合は、デスクトップVPNクライアントをエンドポイントにインストールする必要はありません。下の図は、これがPalo Alto NetworkのGlobal Protectソリューションでどのように機能するのかを示しています。

VPNソリューションをお探しの場合、以下を改めて確認してください：

1. MFAに対応しているか否か？
2. エンドポイントにVPNクライアントをインストールする必要があるか否か？インストールが必要な場合、どのような認証メカニズムをサポートしているのか？例えば、一部の認証メカニズムでは、検証のために認証プロバイダー（AP）に直接プッシュされます。また、エンドユーザーがVPNライアントに接続してコード（例： OATH OTPコード）を入力して検証のためにAPに送信する場合もあります。
3. SAMLなどのクライアントレスVPN認証メカニズムをサポートしているか否か？サポートされている場合、IT管理者が各クライアントに適正バージョンがインストールされていることを確認する必要がなく、安全な方法で幅広い範囲のエンドポイントを網羅できます。一部のクライアント（CiscoのAnyconnectが一例）は、組み込みブラウザをサポートしているため、SAMLをサポートできます。

原則 2：アクセス制限：RADIUSサーバーが特定の属性でアクセスと認証を制限できることを確認。

複数のタイプのアクセスに対してユーザーを許可する場合、ベンダー固有の属性が必要です。例えば、ユーザーのロールに基づいて、特定の権限レベルを付与してアクセスを制限できます。VSAは、RADIUSで定義された属性と組み合わせて使用できます。例えば、このリンクには、CiscosのVSAが示されています。

原則 3：ユーザーの検証：認証プロバイダー（弊社の場合は、CyberArk Idaptive）のソリューションは、異種のVPN環境をサポートすることができます。

認証とアクセス制御のプロトコルサポートが組み合わされた、複数のVPNベンダーが使用されている場合が多いはずです。RADIUSサーバ/IDPは、異なる認証プロファイルをサポートする必要があります（すなわち、異なるVPNサーバ/RADIUSクライアント）。例えば、VPNサーバーからより機密性の高いタイプのリソースにアクセスする場合、重要度の低いリソースを扱う別のVPNサーバーの認証プロファイルに比べて、より強力な認証を備えた認証プロファイルを適用できます。

原則 4：インテリジェントなアクセス制限：IDPは、適応性のある、リスク指向のソリューションを提供します。

単一のVPNサーバであっても、認証プロバイダーは、ユーザの異常な行動を検出する方法を提供し、ユーザのリスクに基づいて、異なる課題に対応する必要があります。これは、すべてではないにしてもほとんどの従業員が将来的にリモートで働く可能性があるという現在のシナリオでは特に重要です。

原則 5：デバイスの検証：エンドポイント自体はMFAと条件付きアクセスで保護されます。

ユーザーがリモートで私物デバイスを使用（BYOD）していると考えられる場合、デバイスへのログインの一部として、MFAによって検証されたユーザーにのみデバイスへのアクセスを許可することが重要です。

リモートワークの保護について詳しくは、リスクディスタンシングリソースセンターをご覧ください。.

特に強力な多要素認証（MFA）ポリシーが実装されていない場合、ノートパソコンで使用するアプリの多くが、認証情報の入力を必要としません。アプリのパスワードが自動的にブラウザにキャッシュされている場合もあります。これもまた、認証情報盗難の格好のターゲットになります。貴社が利便性のために証明書ベースの認証やiIWAを利用している場合、信頼できるデバイスから、認証入力なしで、ほとんどのアプリを直接利用できます。中規模の企業でも100以上のSaaSアプリケーションが使用されている可能性を考慮すると、これらのアプリケーションのいくつかに不正アクセスされた場合に大きな被害が引き起こされます。

世界中でクラウドストレージへの移行が進んでいます。一部の従業員は、重要な機密ファイルのコピーをOne Drive、Box、Dropboxに保存しているはずです。移動中にクラウドにアクセスできない営業担当者などは、セールス候補者、財務情報、パートナー情報、コード、企業秘密などの重要な情報を私物デバイスに保管している場合があります。この中には、パスワードが保存されているスプレッドシートも含まれている可能性があります。

機密性の高い企業データの他にも、住所、電話番号、電子メール、SSN、銀行口座情報、クレジットカードの詳細など、所有者の個人情報を含むファイルがノートパソコンに含まれている場合があります。これらの重要な財務記録が犯罪者の手に渡ると、個人情報の盗難に使用される可能性があります。

またOutlookなどのメーラーは、パソコン起動中は「常にネットワーク接続」されているため、常時危険にさらされています。各種サービスのパスワードリセット時に従業員のメールアドレスが使用されている場合が多く、雇用主に関する機密情報がメール内に含まれている場合がよくあります。ソーシャルエンジニアリング攻撃により、従業員のメールが盗み出されると、他の従業員の機密情報を入手するために悪用される可能性もあります。

つまり、たった1人の従業員のノートパソコン紛失により、重大な被害が引き起こされる可能性があります。強力な企業パスワードポリシーがない限り、パスワードは脆弱であり、基本的なブルートフォース攻撃さえも防止できない可能性が高いです。

社内の脅威もまた、保護されていないノートパソコンから、他の社員や上級管理職の重要な情報を盗み出したり、企業のシステムやデータへの特権アクセスを入手する隙を伺っています。社内の脅威による不正が多発しています。社内での悪用が特に危険なのは、数週間、数ヶ月、あるいは数年にわたって被害が発覚しないことです。
このため、業務用（および個人用）ノートパソコンには、起動画面およびロック画面で強力なMFAによる保護が絶対不可欠です。これを怠ると、貴社のデジタルセキュリティの危険な落とし穴となります。

このようなリスクを回避するために、CyberArk Idaptiveクラウドエージェントは、WindowsやmacOSデバイスの起動画面やロック画面で強力なMFAをサポートしています。

• リスクベースのアダプティブMFA
• WindowsサーバーへのRDP/RDSアクセスのMFAサポート
• 認証入力に基づくセルフサービスのパスワード再設定により、ITヘルプデスクのサポートやコストを最小限に抑制
• オフラインデバイスのMFAにより、WindowsやmacOSのデバイスが盗難された場合にデバイスの機能をロックおよび取り消し
• OTP、SMS、メール、モバイルプッシュ、FIDO2キー（Yubikeyなど）などによる柔軟な認証要素。

今日のデジタルビジネス、特に多数の従業員がリモートワークに従事している現在、エンドポイントは重大なセキュリティリスクにさらされています。精通した攻撃者がエンドポイントの脆弱性を見つけ出し、機密情報を盗んだり、ITサービスに混乱を引き起こす可能性があります。徹底したエンドポイントセキュリティの防御アプローチにより、MFAから特権アクセス管理に至るまで、セキュリティ制御の強力な組み合わせを導入することで、全体的なセキュリティ体制を強化して、データ漏洩のリスクを減らすことができます。

リモートユーザー、エンドポイントおよび重要な資産の保護について、詳しくはリスクディスタンシングリソースセンターをご覧ください。

ビジネス遂行において、ユーザーの物理的な居場所の重要性が薄れてきています。2019年の調査では、調査対象者の62%が、少なくとも一定の時間自宅で仕事を行っていることが判明しました。また、同調査では、少なくとも一定の時間リモートで仕事を行っている82％が、現状のリモートワークのレベルを維持するか、さらに増やすことを予定していると報告されています。さらに、リモートワークを行っていない半数以上（51％）が、今後リモートワークを始めることを希望しています。

ここで注意が必要なのは、これらの数字には、従業員と同じように業務に取り組んでいる外部委託業者の数が含まれていないことです。外部委託業者は、多くの場合、従業員と同じように重要なシステムへアクセスする必要があります。アクセスの柔軟性が増すと、その一方でセキュリティリスクが高まります。安全ではない非効率なアクセスプロビジョニングに頼っている企業も多く、また一般的には安全なアクセス提供をVPNに依存しています。

また、各リモートワーカーに必要なアクセス権はそれぞれ異なります。メールやごく一部のビジネスアプリケーションへのアクセスのみが必要なユーザーいる一方で、給与計算、人事、営業マーケティングンのデータなど、重要なビジネスアプリケーションへのアクセスが必要なユーザーもいます。ヘルプデスクサポートが委託される外部のITサービスプロバイダーには、社内のITプロバイダーと同じように広範なアクセスが必要です。

ここでは、高度なアクセス権を必要とすることが多い上位5のリモートワーカーのタイプを例示します。CyberArk Aleroを特権アクセス管理（PAM）に利用することで、CyberArkが管理するクリティカルシステムへ安全かつ容易にアクセスしてプロビジョニングを実行できます。

1. リモートITまたはセキュリティ企業の従業員

これらのユーザーには、ドメインやネットワークの管理者など、通常は職場から重要な社内システムにアクセスしているが、現在はリモートでアクセスする必要がある従業員が含まれます。ITやセキュリティ担当者が企業のファイヤーウォールの外で作業すると、セキュリティ管理者の日常業務に支障をきたします。

IT部門やセキュリティ部門のリモート従業員に必要なアクセスレベルを正確に特定し、最小特権の原則に沿って、必要なアクセス権のみを許可することが重要です。これを効果的に行うには、アプリケーションへの細密なレベルでのアクセスが必要ですが、VPNなどの従来のソリューションは、これに対応できません。アクセス権の綿密な割り当ては、Windows管理者のルートアカウントへのアクセスなどの状況を避けることができるため重要です。

セキュリティツールとディレクトリサービスを統合して特定のアクセスを自動化するには、事前にセキュリティツールを設定しておく必要があります。

2. サードパーティのハードウェア/ソフトウェアベンダー

ITサービスプロバイダーやヘルプデスクサポート委託先を含む、ハードウェアやソフトウェアのサードパーティベンダーは、高度な権限を必要とするリモートサービスやメンテナンスを提供していることが多々あります。これらのタイプのベンダーは通常、WindowsやLinuxのサーバーやデータベース上で、パッチやシステム更新などのタスクを実行するために、管理者レベルのアクセスを必要とします。

このようなユーザーには実質上、ドメインレベルの管理者としてのアクセス権が与えられるため、適切な監視およびプロビジョニングを怠ると、IT環境に極めて多大な被害が引き起こされる可能性があります。しかし、これらのユーザを特定して、リモートベンダーアクセスを個々のレベルで管理するには通常、膨大な時間がかかるため、管理者がその場に応じて行っています。これらのユーザーをすべて特定して、適切なアクセス権が提供されていることを確認することが重要です。

3. サプライチェーンベンダー

製品の生産や配送のサポートが組織の主な業務ではない場合、それらをサプライチェーンベンダーに依頼するのが一般的です。このようなリモートユーザーは、小売業や製造業部門の在庫を監視するために、ネットワークにアクセスすることが多々あります。また、予測生産量、品質管理、その他の重要なシステムに関連する機密データへアクセスすることもできます。これらは、産業用制御システムや運用技術（ICS/OT）、またオンサイトのサプライチェーンプロセスに関連している可能性があります。

これらのベンダーには管理者の権限がないため、注意を怠っている場合があります。しかし、攻撃者によって悪用される可能性のあるアクセス権をサプライチェーンベンダーが使用していたり、不注意による誤用が深刻な問題につながる場合もあります。

4. サービス会社

法務、広報、給与計算など、部門別の業務を委託されているサービス会社は、効率的に業務を遂行するために、特定の業務アプリケーションへのアクセスが必要となる場合があります。このようなタイプのユーザーを特定して、最小特権の原則に沿って、不必要なアクセスや必要以上に長いアクセス時間を避けることが重要です。例えば、法務サービスを提供している会社に給与情報へのアクセス権が付与されているなど、実際には必要のないことが、リスクを高めている可能性があります。

カスタマーリレーションシップマネジメント（CRM）、エンタープライズリソースプランニング（ERP）、クラウドコンソールなどのビジネスクリティカルなアプリケーションは、ビジネスの継続性や運用にとって重要ですが、これらのアプリケーションに保存されているデータが悪用されると、極めて危険です。これらのアプリケーションへのアクセス権があるユーザーを特定することは非常に重要です。1つのビジネスアプリケーションから別のビジネスアプリケーションへの水平方向への移動を最小限に抑えることで、大規模なデータ侵害を阻止できます。

5. 外部コンサルタント

ビジネスコンサルタントやITコンサルタントは、請負プロジェクトの生産性を高めるために、特権アクセスを必要とする場合があります。ただし、アクセス権は契約期間中のみに限定する必要があります。このタイプのベンダーに付与されるアクセス権は、その性質上、一時的なものであり、多くの場合、業務遂行のために数日、数週間または数ヶ月間のみアクセスが必要です。しかし、その期間中、外部コンサルタントは業務の特定の領域へ広範囲にアクセスできる場合が多いです。

リスクを軽減し、ビジネスを保護するには、これらのコンサルタントの身元、必要なアクセスのタイプを早期に特定することが重要です。さらに、外部コンサルタントのアクセスが有効な期間中は、きめ細かな監視により、セキュリティを確保し、契約期間が終了すればすぐに自動的にデプロビジョニングする必要があります。

例えば、3週間のプロジェクトに参画したコンサルタントが、あまり良くない評判を受け、報酬が冷遇されたと感じていたとします。このコンサルタントが自動的にデプロビジョニングされていなければ、契約終了後も高レベルのアクセス権を使用できます。それが、逆恨み的な犯行に利用された場合、取り返しのつかない損害を被る可能性があります。あり得ないシナリオのように思われるかもしれませんが、これはアクセス昇格が定期的に監視および更新さていない場合に起こり得る被害を示す一例です。

日々のビジネス計画の一環として、リモートユーザーに依存する企業が増えている中、職場以外の場所でシステムにログインしている、さまざまなタイプのユーザーを把握しておくことが重要です。さらに重要なのは、そのアクセスを管理、監視、保護することです。

膨大な作業のように思われるかもしれませんが、SaaSベースのソリューションCyberArk Aleroは、CyberArkが管理するクリティカルシステムにアクセスするリモートユーザーに対して、安全なアクセスおよびプロビジョニングを提供します。VPN、エージェント、パスワードは不要で、多くのリモートユーザーに対して容易に展開することができます。

Impact Live 2020では、リモートワークの時代に、強力なサイバーセキュリティ体制を維持するための戦略について、多くの時間を費やして意見を交わすことができました。今日の従業員ユーザーには、いつでもどこからでもビジネスシステムにアクセスして、効率的に業務を遂行する柔軟性が必要です。しかし、このような新しい働き方には、新たなセキュリティ上の課題が伴います。

ここでは、貴社の業務や確立されたビジネスプラクティスに悪影響を及ぼすことなく、リモートワーカーが生産性と安全性を維持できるようにするための7つのベストプラクティスを紹介します。

1. シングルサインオン（SSO）および多要素認証（MFA.）の導入 SSOを使用することで、中心となるIDプロバイダーを活用して、ユーザー認証を管理し、単一のログイン認証情報セットにより、アプリケーションやリソースへのアクセスを許可することができます。これにより、より強力なパスワードポリシーでセキュリティを向上させ、従業員が業務に必要なすべてのリソースへシンプルにアクセスできるようにして、生産性を高めることができます。また、IT部門は、アクセスに関するコンプライアンス要件をより容易に満たすことができます。MFAにより、企業リソースを保護するレイヤーを追加できます。また、複数の認証入力をユーザーに要求して、確実な本人確認を行うことができます。例えば、ユーザーにパスワード（本人だけが知っている情報）の入力を要求したり、モバイルデバイスに送信されるワンタイムコード（本人だけが持っている情報）を返信してもらうことができます。MFAにより、アプリケーション、ワークステーション、仮想デスクトップ、VPNなどへのアクセスを保護できます。ユーザーが企業ネットワーク内から直接接続していない場合、盗まれた認証情報が保護されたリソースへのアクセスに悪用されないようにするために、MFAは不可欠です。.
2. エンドポイントに最小特権の原則を適用して、重要なデータやアプリケーションを保護。エンドユーザや管理者に対して、必要最低限の特権アクセス（最小特権の原則）のみを提供することで、攻撃対象となる範囲を大幅に減らすことができます。ワークステーションから不要なローカル管理者権限を排除することが、これを実現する1つの方法です。これにより、エンドポイントを保護して、認証情報の漏洩を防ぎ、攻撃者の水平方向への移動を阻止できます。また、マルウェアやランサムウェアがIT環境に侵入して拡散されるリスクを減らすことができます。
3. ワークステーションのRDPを狙った攻撃を阻止。リモート・デスクトップ・プロトコル（RDP）攻撃が多くの注目すべきデータ侵害の手段となっています（特にリモートワーカーが急増しているため）。セッションを分離することで、エンドポイント（従来ネットワークアクセスが最も脆弱なリンク）から重要なシステムが漏洩するリスクを減らすことができます。さらに、リアルタイムで分析される行動を含む、各セッションの自動記録を組み合わせることで、疑わしい行動が発生した場合、迅速に検出して対処することができます。
4. VPNへの全体的な依存度を減らす。リモートワークの急増により、VPNの利用が大幅に増加しています。最近のCyberArkによる調査では、従業員の63%がVPNを使用して重要なビジネスシステムにアクセスしていると報告されています。VPNを介すことで、社内ネットワーク全体へアクセスできるため、VPNは以前から攻撃者の標的になっています。VPNには、重要なシステムやアプリケーションへのきめ細かなアクセスは設計されていません。また、設定に長時間要する場合があります。多くの場合、ツールのセットアップおよび運用に非常に多くの手作業が必要です。このため、セキュリティチームの本来の目的である、リスク軽減に対する取り組むがおろそかになります。
5. アプリケーションの許可、ブロック、制限のいずれかのポリシーを設定。リモートワークの時代に突入した今現在、ヘルプデスクへの不要な問い合わせが急増しています。許可/ブロック/制限ポリシーを設定することで、管理者はリモートユーザーが余分な手間をかけずに、仕事に必要なシステムにアクセスできるようにすることができます。ヘルプデスクへの問い合わせを減らすもう一つの方法は、ユーザーがヘルプデスクに問い合わせることなく、信頼できるアプリにアクセスできるようにすることです。これにより、ITリソースの不要な手間を減らし、エンドユーザーがより効率的かつ効果的に仕事をこなして、より戦略的な取り組みに集中できるようになります。
6. 必要に応じて、セルフサービスの取り組みを実施。上記の他にも、ヘルプデスクへの不要な問い合わせを減らして、組織が時間と労力を大幅に節約できる方法があります。例えば、セルフサービスのパスワードリセットやアカウントロック解除をMFAで保護することで、エンドユーザー自身が社内パスワードをリセットしたりアカウントロックを解除できるようになります。さらに、セルフサービスによるアプリケーション/サーバーへのアクセス要求により、アプリケーション、サーバー、その他の重要な内部システムへのアクセス要求をエンドユーザーやリモートベンダーが直接行うことができます。また、IT部門や管理者は、ヘルプデスクにチケットを提出することなく、アクセスを承認することができます。セルフサービスのMFA登録/変更機能により、新しい認証情報の登録やパスワード変更/リセットを、エンドユーザーが直接行うことができます。また、エンドユーザーが忘れたり盗まれたパスワードを、チケットを提出する必要なく、変更できる機能も提供します。セルフサービスには、ヘルプデスクに負担をかけることなく、アプリケーションやサーバーへのアクセスを要求できる機能も含まれています。
7. サードパーティユーザーにジャストインタイムのプロビジョニングを提供。従業員のモバイル化推進は、組織が依存している多数のサードパーティベンダーにも明らかな影響を及ぼしています。企業ディレクトリの一部ではないユーザーの場合、管理や追跡が困難な可能性があるため、新たな課題になっています。1回限りのオンボードプロセスでアクセスを自動的にプロビジョニングおよびプロビジョニング解除できるソリューションを導入することで、攻撃対象範囲を大幅に減らすことができます。ジャストインタイムアクセスで必要なアクセスを必要な時間のみベンダーに提供することで、セキュリティまたはIT管理者は手作業で攻撃対象領域へのアクセスをプロビジョニングおよび取り消す必要がなくなります。

リモートワークの時代において、安全性と利便性のバランスをとることは、組織にとって大きな課題です。多くの従業員がいつになれば終わるのか見当もつかないリモートワークを続けている中、この課題に応えることが、これまで以上に重要になっています。7つのベストプラクティスに従うことで、リモートワーカーの生産性やビジネスプラクティスを妨げずに、安全なアクセスを提供することができます。

Impact Liveをお見逃しの場合、Impact Liveオンデマンドで、ご都合の良いときにすべてのセッションをご覧いただけます。

日本企業のデジタルトランスフォーメーション（DX）が加速し、IT環境は数年前とはすっかり様変わりしました。多様な環境のセキュリティ対策に最も顕著な影響を与えているのが、特権アクセス管理対象の急激な増加です。かつて、特権アクセスはシステム管理者の関心事でしたが、今ではDX促進施策全体に深く関わっています。現在、コンピュータを利用するほぼすべての従業員が、それぞれの役割を果たすために何らかの特権I Dによるアクセスを必要としており、また、ターゲットシステムとなるアプリケーション、ロボット、サービス、およびシステムの数も爆発的に増加しています。

IT セキュリティチームは、このような状況下で特権アクセス管理を最も効果的かつシンプルな方法で実施する方法を模索しています。ほぼ全ての攻撃で特権資格情報が標的となる中、特権アクセス管理（PAM）は多くの組織にとって優先事項となっています。現在、企業が従業員のテレワークのための新しいツールの導入を継続する一方でサイバー攻撃は続いており、多くのセキュリティリーダーは、既存の予算をどのように最大限に活用するか、そして新規予算の優先順位付けに悩んでいます。

そこで役立つのが、特権アクセス管理をサービスとして利用可能なPAM-as-a-Service（PAMaaS）です。PAMaaSの導入により、企業の機密データ、システム、アプリケーションへのアクセスを厳格化することで、リスクを軽減すると同時に、本番運用を開始するまでの時間を最短化します。また、オンプレミスのインフラ管理やアップグレード、パッチ適用などの、PAM基盤の運用に関わる追加のITリソースを必要としません。

富士通SSL社は先日、すでに販売しているCyberArkのオンプレミスむけソリューションに加え、CyberArk Privilege Cloudの販売を開始することを発表しました。

CyberArk Privilege Cloudは、特権アクセス管理の運用工数を最小限に抑え、企業全体の的確な特権アクセス管理を実現可能な、国内データセンターより提供されるサービスです。本サービスは、特権ユーザの使い勝手を損なわずに、オンプレミス、クラウド、アプリケーションに埋め込まれた認証情報など、企業全体の特権IDに関わるすべての認証情報を、要塞化された金庫に安全に格納できます。また、パスワードの定期的な変更を自動化し、すべての特権アクセスを制御した上で録画することで、アクセスの不正使用がビジネスに悪影響を及ぼすことを防止します。本サービスを企業横断的な特権アクセスのプラットフォームとすることで、新規テクノロジーの導入や、従業員の追加や削除に関わる特権アクセス管理を安全かつシンプルに運用することができるようになります。

ここ数か月間、ソーシャルディスタンスが日々の暮らしや職場におけるあらゆる場面で重要な役割を果たしています。大勢の人たちが在宅勤務を行っています。この数カ月間で、普段の仕事に加えて、子供たちの学習、高齢な親の介護など、新たな役割を果たすことが必要となりました。ちょっとした外出も慎重に行わなければなりません：マスクを忘れていませんか？手指の消毒を欠かしていませんか？社会とバーチャルに関わることも当たり前になっています。

生活が「正常」な状態にいつ戻るのか、また戻ることができるのか、誰も予想が付きません。このような状況の中で、ソーシャルディスタンスが日常生活の一部になっています。一方で、リスクディスタンスはどうでしょうか？ソーシャルディスタンスは、COVID-19の感染や拡散を抑えるための最善策です。リスクディスタンスは、セキュリティのリスクを軽減するベストプラクティスです。

新型コロナウイルスの影響でリスクの状況も劇的に変化しています。
リモートワークに対応できる新しいアプリケーションとサービスを導入することが、企業にとって急務となりました。
在宅勤務の環境には、多くのリスクが潜んでいます。このため、重要なビジネスシステムや機密情報が危険にさらされています。
たとえば、最近の調査によると、リモート従業員の77%が管理されていない安全性の低い「私物デバイス」を業務に利用して、企業システムにアクセスしてます。リモート従業員の66%がセキュリティの脆弱性が指摘されている、Microsoft TeamsやZoomなどのコミュニケーションツールやコラボレーションツールを利用しています。一方で、サイバー犯罪者は、この機に便乗して、RDP（リモートデスクトッププロトコル）サーバーを標的にしたり、高度なランサムウェアを仕掛けるなど、攻撃の機会を増やしています。

組織は、インフラストラクチャと生産性のニーズに迅速かつ適切に対処し、リスクを分散する必要性を認識するために、最善の方法に取り組んでいます。これに特に当てはまるのが、分散された企業のエンドポイントでのリモートワーカーの特権アクセス保護です。

ニューノーマルにおけるリスク分散の実践

CNBCによると、技術や金融サービス、保険関連などの業界におけるリモートワークツールへの投資が活発になっており、ビジネスを以前のやり方に戻す兆しは見当たりません。在宅勤務ポリシーを長期にわたって拡張する組織が増える中、セキュリティチームは既存のサイバーセキュリティプログラムと優先事項を十分に検討し、変化する状況に対応できるかどうかを判断する必要があります。

Cyberarkは、組織がセキュリティと生産性のバランスを効果的に取り、将来の業務により適切に備えることができる、新しい戦略を策定するために役立つリソースを収集および精選しています。これにより、お客様の組織は、安全で責任あるリスク分散を推進できます。

特権アクセス管理（PAM）が重要な資産、ワークステーション、およびリモートユーザーアクセスを保護する最も効果的な方法のひとつである理由を、CyberarkのRisk Distancing Resource Centerでご確認いただけます。「専門家に対する質問」ビデオの有益な情報でベストプラクティスをご確認いただけます。また、CyberArkの無料のトライアルとツールを活用して、お客様の環境内の特権関連の脆弱性を特定および軽減するのにお役立ていただけます。

リスク分散を実践する準備は万全ですか？Cyberarkの最新のブログ投稿をご覧いただき、お客様の次のステップにお役立てください。:

• 「ニューノーマル」におけるサイバーセキュリティ課題への取り組み
• 攻撃対象と攻撃者を知り、リスクを再定義する
• 考慮する必要がある、5つのタイプのリモートユーザー
• Office Exodusによる、エンドポイントにおけるセキュリティの推進
• 攻撃者が探しているのは公開されているRDPサーバー
• FBIが急増するサイバー攻撃に対する警戒を呼び掛け
• 特権アクセス管理でリモートワーカーのセキュリティを保護する4つの方法
• リモートワークに関する調査：在宅勤務のサイバー環境が企業のネットワークセキュリティの脅威になっている理由

染谷 浩子
ソリューションズ・エンジニア(CISSP)

• これまでの経歴と現在の業務内容を教えて下さい。

主に外資系IT企業にてエンジニアとして従事してきました。ソフトウェア・ベンダーでは、サポート・エンジニア、セールス・エンジニアの両方を経験し、プリセールスとポストセールスの両方の立場それぞれの難しさを経験しましたし、また、インターネット・プロバイダーでのUNIXシステム管理者として、インフラやソフトウェアの利用者の立場も経験しました。現在CyberArkでは、プリセールスのエンジニアとして、ソリューションのご紹介やデモンストレーション、技術的なQA対応などを行っています。

• 何故、CyberArkを選びましたか？

私の経歴上特にセキュリティ業界での経験が長く、この分野での自身の経験を活かしつつ、自分にとって新しい技術領域のスキルを身に着けたいと思っていました。セキュリティの分野は、テクノロジーだけではなくリスク管理やガバナンスも含めた大変広いものですが、その中でも「特権アクセスセキュリティ」という特定分野において専門の知見と技術力を持ち、かつ、実績があるCyberArkを選びました。

• 実際に入社してみて印象はどうでしたか？

入社してみて、過去に勤務歴のあるセキュリティベンダーと似た雰囲気を感じました。国内・海外を問わず、エンジニア同士がナレッジを共有する機会が多く、質問もしやすい雰囲気だったため、気後れすることなくスムーズに溶け込むことができました。「特権アクセスセキュリティ」という領域については、過去の経験からある程度は知っておりましたが、勉強しなければいけないことがたくさんあります。技術知識やスキルの習得は当然のこと、実際にどのように使われているのか、導入プロジェクトにはどのような課題があるのか等、お客様との会話の中で得られる知見も多く、今後の業務に活かしていきたいと思っています。

• CyberArkのいいところはどこですか？

各人がそれぞれの役割を明確に持ち、それを果たしながらも、個の力が及ばないときにはお互いに協力して知恵を出し合う、という意識が浸透しているところが良いところです。外部環境の変化に合わせたソリューションの進化も継続的に行われており、エンジニアとして楽しめる部分もおおいですし、また、働く環境の整備にも力を入れてくれています。

岡　拓磨

アカウント・エグゼクティブ

• これまでの経歴と現在の業務内容を教えて下さい。

お客様の本質的な課題を発掘し、課題解決を実現することを心掛け、新卒から過去4社(旅行業・損害保険業・IT業・IT業)にて新規開拓営業に従事してきました。お客様としては、旅行業時代は学校団体向けに、損害保険業時代は売上高500憶円以上の法人向けに、IT業時代は売上高1,300憶円以上の法人向けに、インサイドセールスからフィールドセールスまで経験をしてきました。
現在のCyberArkでは、ハイタッチセールスとして、主に電力・エネルギー業界、商社業界、運輸・交通業界を担当させていただき、新規開拓営業に従事しています。弊社のミッションである、重要なセキュリティーレイヤーである「特権セキュリティ」で高度なサイバー攻撃から日本のお客様を守り抜くこと。このミッション実現のために、1社でも多くの企業の事業継続とDX含めたビジネス成長スピードを支えることのできる、セキュリティ基盤の実現に向け日々営業活動をしています。

• 何故、CyberArkを選びましたか？

営業としての商品価値を伸ばしたいと考えており、①より多くの企業が必要としていること②成長市場であること③過去、未経験の営業経験を積めること。上記3点を満たすことが出来る環境且つ、IT業界のことを仕事の中でより深く(アプリケーションからインフラまで)学べる環境を探していました。その中で、サイバーセキュリティ領域に注目をし、その中でもCyberArkが全ての面で条件が揃っていたことが決めてです。また、企業規模の観点でも、過去全て大手企業で働いた経験しかなく、日本法人の拡大期というタイミングで会社の成長スピードを社の一員として感じれること、微力ながら拡大のために貢献できることも非常に魅力を感じました。

• 実際に入社してみて印象はどうでしたか？

会社の置かれている立場、働く環境共に、当初の想定以上の経験が出来ています。何よりも、特権セキュリティに関して多くの企業が課題を抱えていると感じています。IT環境が大きく変化していること、働き方の変化等、多くの理由からお引き合いを多くいただいています。その中で試行錯誤しながらですが、ハイタッチセールスとして多くのお客様とお会いさせていただき、課題解決に向けた営業活動をさせていただいています。また大きなギャップを感じた点として、海外拠点の社員の協力体制が非常に積極的であることに驚きました。国は跨いでいますが、お客様の課題解決のためのサポートを主体的に取り組んでくれている場面を多く見ています。

日本企業は、デジタルトランスフォーメーションを積極的に推進しています。インフラストラクチャとプロセスをモダナイズし、サービスデリバリ、サプライチェーンコラボレーション、顧客対応、アプリケーション開発などを向上しています。これらの多くのプロジェクトは全社的に展開されていますが、企業はこれらの取り組みを支えながら、生産性を高め、収益機会を増やし、コストを削減するため、マルチクラウドを初めとして、DevOps やRPAなどの新しいイニシアチブをすべて取り入れようとしています。

しかし、これらの新しいテクノロジーやプロセスによって、無視することができない新たなリスクと、運用面での課題も生まれています。ハイブリッド環境とマルチクラウド環境の普及が進む中で、これらの動的な環境で発生するセキュリティの問題に対応することが必要となっています。

日本企業におけるクラウドの導入は、多くの場合、異なる部署や地域で同時に進められています。たとえば、複数のビジネス部門や地域をサポートするなど、特定の要件を満たすために、別々の事業部門が異なるパブリッククラウドを選択している場合もあります。結果として、いくつものパブリッククラウド、プライベートクラウド、オンプレミスを利用するハイブリッド環境で、サービスがホスティングされる状況となっています。2019 年に RightScale 社がアジア太平洋および日本企業などを対象に実施した調査では、企業や組織は、平均して 5つの異なるクラウドサービスを利用していることが明らかになりました。

これらのマルチクラウド環境でのセキュリティ保護の責任は、一般にはよく理解されていません。経験豊富なセキュリティチームであっても、パブリッククラウドプロバイダーが保護すべきものと、クライアントとして保護すべきものを明確に把握できていない場合もあります。多くの組織が、パブリッククラウドベンダーが保護する対象を過剰に想定しています。実際は、アプリケーションのオーナーは、アプリケーション、データ、OS、その他のエンタープライズインフラストラクチャ、およびクラウドで実行されているその他の資産を保護する責任があります。

これらのクラウドのワークロードが増大するにつれて、特権アカウントの数が増加し、攻撃対象となる潜在的な領域も拡大し続けています。新しい取り組みを進めるたびに、確実に保護しなければならない新しい「扉」が生まれています。サードパーティベンダー（外部委託業者）を利用する機会が増加することも、デジタルトランスフォーメーションの特徴の 1 つです。これも、特権のある攻撃対象領域が増大し、その管理がより困難になる要因です。

現在の環境では、攻撃者が特権アカウントを乗っ取ることで、このアカウントのアクセス権限を使用して、クラウド管理コンソールのセキュリティを侵害して、いくつもの攻撃段階を省略できます。このような特権認証情報を乗っ取ることにより、攻撃者はクラウド環境を停止させることも可能になります。

クラウドやハイブリッド環境で最重要のデータと資産を保護するための原則は、オンプレミス環境と変わりはありません。データや資産へのアクセスにつながる特権を提供する経路を保護し、これらの資産を保護することが極めて重要となります。機密データを盗んだり、企業の IT 環境を破壊したり、顧客情報にアクセスしたりする最も簡単な方法は、特権認証情報を悪用したり、そのセキュリティを侵害したりすることです。

CyberArk は、クラウドおよびハイブリッド環境で一貫したセキュリティポリシーを企業横断的に実施するソリューションを提供しています。組織がデジタルトランスフォーメーションを推進できるように、適切なユーザーだけが、必要なアプリケーション、クラウドインフラストラクチャ、クラウドプラットフォームに、必要なときにのみアクセスできるようにします。

CyberArk は、伊藤忠テクノソリューションズ株式会社（CTC）とパートナーシップを締結し、日本企業がこれらの課題を克服できるように支援して参ります。

わずか1か月の間に、「通常どおりの働き方」が瞬く間に様相を変えてしまいました。何百万人もの人々がリモートで働き、激変するビジネス優先事項に重点を置くために再配置され、仕事に関する不確実性に向き合っています。ITチームが24時間体制でビジネスを継続させる計画を遂行している中、サイバー攻撃者も急変する環境の弱点を悪用することに血眼になり、電光石火で攻撃を仕掛けています。

テクノロジーリーダーとの定期的な対話を通じて明らかになったこと、それは新たな状況において既知、また新たな脅威に先回りするために、従来から複雑であった作業レベルの難易度がさらに増していることです。この課題に対処するために、世界中の組織のCIOやCISOは、従業員の安全と生産性を維持できる最善の方法を探し求めています。組織が「新しい常識」を舵取りする中で、重要な人員、プロセス、技術の側面全体にわたって、セキュリティリーダーにとって重要な優先事項として、3つの基本的な領域が明らかになっています。

人々の安全確保

リモートワークは、現状において必要不可欠になる以前から、すでに注目を集めていました。この動向は、これまでにリモートワークに縁のなかった政府、金融、教育機関など、多種の業界にわたって拡大しています。現在、以前とはまったく異なる働き方が余儀なくされていますが、それだけに留まりません。子供たちの「家庭学習」、高齢の親の介護、刻々と変わっていく最新情報のネット検索、食料品の配達の予約をしなければなりません。攻撃者は、言うまでもなく、あらゆることが考慮された後にようやくセキュリティが見直されると見込んでいます。攻撃者は、この混乱と無防備につけこんで、フィッシング詐欺、ランサムウェア、ソーシャルエンジニアリング攻撃の波状攻撃を仕掛け始めています。サイバー攻撃の中には、たとえばＩＴ部門からの偽メールでセットアッププロセスの一部としてリンクをクリックするように求めるなど、あたかも仕事関連のようにみせかけるものもあります。また、感情に訴える「崇高な目的」を呼び掛けて支援を求めたり、政府の支援金や金融機関からの有利な投資などを持ちかけるフッキングで罠がかけられる場合もあります。

デバイスおよびアプリケーションの保護

ITチームには、在宅勤務者の急増に備えて準備を整える時間がほとんどありません。一部の従業員は会社のコンピュータを自宅に持ち帰り、そうでない場合は自前で作業環境を立ち上げている人たちもいます。このように、個人のデバイスが新たに使用されることが急増しているため、特にBYOD（私物デバイスの業務利用）ポリシーを未導入の組織では、多くの新たな課題が生じています。接続が早急に必要な場合、設定ミスが多発します。また新しいデバイスを工場出荷時の（セキュアではない）初期設定のまま使用すると、企業がリスクにさらされる可能性が高まります。攻撃者は、このような状況を抜け目なく探し出し、企業ＩＴへ侵入する足がかりを狙っています。

さらに、人と人がつながるためにメッセージサービスや電話会議アプリケーションへの依存度がこれまで以上に増している中、これらのシステムの脆弱性も攻撃者によって悪用されています。「Zoombombing（会議乗っ取り）」で招待されていない参加者がZoom会議に割り込んで混乱を招いたり、悪意のある詐欺集団は、Webブラウザに組み込まれたアプリケーションの認証情報を標的にして、一般的なWebベースのアプリケーションを侵害しようとしています。

接続およびアクセスの保護

CNBCの調査によると、このような事態に備えたシステムのストレステストを未実施の組織が53%に上ります。何十万もの従業員がVPN（バーチャルプライベートネットワーク）を使用してデータを送受信している多くの組織が、セキュリティと可用性の両面で課題に直面しています。また、従業員が自宅のWiFiネットワークを使用してVPNにログインしていることが、この事態をさらに悪化させています。家庭内の複数人がリモートで仕事をしたり学習している場合、セキュリティ保護や監視がないがしろにされ、容量オーバーになることも多々あります。攻撃者は、マルウェアを家庭用のWiFiルーターにたやすく感染させることができます。つまり、テレビやスマート家電から携帯電話やコンピュータに至るまで、家庭内の接続デバイスはすべて脆弱であり、脅威にさらされるといえます。

サーバーやシステムへのアクセスが従業員に対して一律に提供されているわけではありません。各自の業務を遂行するためにaccess to sensitive information and data機密情報やデータへアクセスする必要があるユーザーも大勢います。特権アクセスを必要とするユーザーには、重要なシステムへのアクセスを必要とするIT管理者だけでなく、クラウドコンソール、RPAコンソール、オーケストレーションツールへアクセスする必要がある財務部や法務部の従業員もおり、特権ユーザーは増え続けています。

特権ユーザの定義が急速に拡大するにつれ、セキュリティチームは、リモートからのユーザーのアクセスの時間帯および所要時間などの可視性を保つことに苦労しています。一方、多くの組織は、人手が足りなくなる可能性のある部門をカバーするために、責任をシフトし、従業員の再配置を行い、様々な業務を行っています。この中には、これまで以上に高度な権限が与えられている従業員もいます。また認証情報の自動プロビジョニングやプロビジョニング解除など、必要なセキュリティポリシーが適切に設定されていないことが多々あります。このような状況は、攻撃者にとって重要な内部ユーザーに通常付与されるアクセス権を悪用しやすくなるため、すべてのインフラストラクチャの制御を奪取する攻撃が企てられて実行される可能性があります。

CISO（最高情報セキュリティ責任者）が現在直面しているセキュリティ上の課題は、新しいものではありませんが、かつてないほど緊急かつ深刻です。この「新しい常識」は通常、一過的なものと説明されていますが、現状が収束されてからも、長く継続される可能性が高いといえます。従業員は、これまで経験のなかった在宅勤務に慣れてくると、リモートワークが生活にもたらすメリットやバランスのとれた働き方を享受できるに違いありません。同様に、雇用主は、業務効率、生産性の向上、従業員の能力強化の機会を実現して、リモートワークの範囲をさらに拡張または奨励することもできます。

今後どのような状況になったとしても、今日組織が取る行動は、私たちの将来を形作ります。警戒を怠らずに、強力なサイバーセキュリティ対策を維持することが第一歩です。そして人、プロセス、テクノロジー全体にわたって、リスクに対するアプローチ手段を再考することで、長期戦に備えた計画に着手できます。

Covid-19の発生から3月末までに、Shodan（インターネットに接続されたデバイスをスキャンしてインデックスを作成するグローバル検索エンジン）により、リモートデスクトッププロトコル（RDP）使用率が41%急増していることが追跡されています。

このような不確実な状況の中で、リモートワーカーをサポートして業務を維持するために、RDPの使用が増加しています。RDPは、セッション全体を暗号化しないリモート接続ツールよりも安全ですが、過去1年間で公開された2つの重要なRDPの脆弱性BlueKeepおよびDejaBlueによる潜在的なセキュリティリスクが明らかになっています（詳細については、脅威調査ブログを参照してください）。

最近のSANSテクノロジーインスティテュートのポッドキャストで、研究学部長ヨハネス・B・ウルリッヒ博士は、RDPサーバー公開の急激な増加（20～30%）を報告し、この急増を現在在宅勤務中のシステム管理者の数に結び付けています。これらのシステム管理者は「パワーユーザー」であり、特権アクセスを使用して、現在リモートロケーションからサーバーを管理しています。

サイバー攻撃者は、リモートで作業するシステム管理者の特権アクセスを利用して、公開された内容を確認するために標準のRDPポート3389をスキャンすることにより多くのリソースを費やしています。また、自動化ツールを使用してブルートフォース攻撃を仕掛け、ユーザー名と認証情報の組み合わせを体系的にテストてコードを解読しています。

管理者の特権認証情報を取得した攻撃者は、IT環境に侵入して水平移動し、ドメインコントローラーやクラウドコンソールなどの重要なターゲットに到達するまで特権をエスカレートさせることができます。このアクセスにより、ネットワーク上のあらゆるサーバ、コントローラ、エンドポイント、またはデータを制御できます。これにより、コマンドの実行、ウイルス対策ソフトウェアの無効化、マルウェアのインストール、身代金目的のデータの暗号化、PIIなどの重要なデータの盗難などの犯罪が企てられます。

RDPセキュリティを強化し、データ侵害のリスクを軽減するために、組織が実行できるいくつかの手段があります。

5. 特権アクセスを制限。デフォルトでは、すべての管理者がRDPにログインできます。最小限の特権の原則を実施することで、これを管理者特権が絶対に必要なユーザーのみに制限できます。さらに、ディレクトリサービスに参加していないリモートベンダーに対してジャストインタイムプロビジョニングを適用することで、アクセス時間を制限することができます。特にドメインコントローラーやクラウドコンソールなどのティア0アセットの場合は、特権セッション中のすべてのユーザーアクセスとアクティビティを監視および追跡できます。
6. Windows 7ワークステーションを含む、インターネットに接続しているすべてのリモートWindowsマシンのソフトウェアを最新の状態に保ちます。
7. NLAを有効にする。ネットワークレベル認証（NLA）は、接続が確立される前に追加のレベル認証を提供します。
8. 公開を避ける。RDPサーバーをファイアウォールの背後に置きます。マシンとサーバーを公開する重要なデータと内部システムを危険にさらす可能性のあるインターネットに直接RDP接続を許可しないでください。
9. 強力なパスワードと多要素認証を使用。ブルートフォースツールは高度化しています。強力なパスワードポリシーに従う必要があり、多要素認証が必須です。加えて、パスワードやその他のネットワークベースのアクセス制御を完全に排除するツールを検討することを推奨します。

CyberArk Privileged Access Security Solutionなどの特権アクセス管理（PAM）ツールは、組織が安全なRDP接続を確立するのに役立ちます。特権資格情報をデジタルボールトで一元的に格納および管理し、ユーザーの権限に従ってアクセスを付与できます。Webブラウザー・セッションを分離および暗号化できます。特権ユーザーのアクティビティを厳重に監視および制御して、SOCチームが疑わしいアクティビティに即座に対応できるようにフラグを付けることができます。

作業、メンテナンスおよびその他の目的で重要なITシステムにアクセスするリモートワーカーは、必要な認証情報にエンドポイントを公開しないネイティブワークフローを使用できます。さらに、これらの強力なPAMコントロールをRDPを超えて拡張させて、Unix/LinuxへのSSH認証など、あらゆるWeb対応システムへのリモート接続を保護するのに役立てることができます。

詳細については、4月28日のウェビナー特権アクセス101：貴社のセキュリティ対策を変革にご登録ください。またウェビナーをオンデマンドでいつでもご覧いただけます。

世界中で予想もしなかった勢いでリモートワークへの移行が進んでいます。このような状況において、CISCO社では、従業員を迅速に稼働させ、不確実性に直面した場合に決定的なリーダーシップを発揮する能力を試行しています。

従業員の生産性をサポートし、リモートワークに慣れていない従業員からの問い合わせに忙殺されているITサポートチームの負担を軽減するために、多くの組織が利便性を最優先し、セキュリティがないがしろにされています。

これはおそらく、エンドポイントセキュリティに対する初期の行動・安全規範などにおける取り組みにおいて最も顕著です。たとえば、企業ポリシーに従っていないBYOD（私物デバイスの業務利用）が急増しています。さらには、多くの場合、ITチームとセキュリティチームが従業員のデバイスにローカル管理者権限を付与しているため、従業員がさまざまなプログラムを使用して、アプリケーションやソフトウェアのダウンロード、デバイスへの接続やインストール、企業システムや情報へ簡単にアクセスできるようになっています。

ローカル管理者権限は、従業員の業務に対する積極性を促進しますが、深刻なリスクをもたらす可能性もあります。自宅で日常業務を行っている従業員が、未承認のアプリケーションやライセンスされていないソフトウェアをセキュリティ監視なしでダウンロードしているかもしれません。

また、業務およびプライベートな用途に同じデバイスが使用される場合がよくあります。オンラインのニュースサイトを閲覧したり、バーチャル授業のためにアプリを起動したり、ゲームなどをダウンロードするときに、不正なソフトウェアが安易に（また無意識のうちに）実行される可能性があります

さらには、強力なローカル管理者権限を自由に使用できるため、サイバー攻撃者や悪意のあるリモート従業員がシステム構成の変更や強力な管理アカウントの変更など、さまざまな不正活動を実行できる状況になっています。

リモートワーカーのエンドポイントデバイスが攻撃対象となり、特権認証が標的になっています。

ローカル管理者権限がない場合も、従業員のデバイスは主な攻撃対象です。多数の攻撃者がデバイスの認証情報ストア（Chrome、Firefox、Chromiumなど）、チャットアプリケーション（Pidgin、Skypeなど）、電子メール（Outlook、Gmailなど）、さらにはシステム管理ツール（FileZilla、OpenSSH、VNC、WinSCPなど）に保存されているユーザーパスワードを狙っています。

攻撃者は、LaZagneなどの認証情報取得マルウェアを使用して、個人のWebアカウントや機密の企業資産のパスワードなどを取得しています。攻撃者は、パスワードを手間をかけずに最小限の労力ですばやく収集して、特権認証情報を見つけ出してアクセス権を昇格させます。デバイスを侵害して、企業のVPN接続を利用できるようになると、水平移動して特権をさらに昇格し続けて企業ネットワークの他の部分にも侵入して、重要な資産や情報にアクセスできます。

これは、以下のようにいとも容易く行われます。

従業員であるジョンは、外出禁止令に従って 3 月から在宅勤務を始めています。ヘルプデスクのサポートなしで自宅のプリンタをデバイスにリンクするなど、自由に操作できるように、ラップトップのローカル管理者権限が与えらています。このため、個人的なオンライン業務を実行するために、VPNに接続する必要はありません。

1. ジョンは個人のメールアカウントにログインして銀行の毎月の明細に関するメッセージを読み、いつものように「明細を表示」をクリックしてPDFファイルをダウンロードしました。
2. PDFを開くときにパスワード入力が求められました。ジョンは、「このような緊急事態のため銀行のセキュリティ対策が強化されているのだろう」と思い、銀行のパスワードを入力してリンクをクリックして銀行の明細書を開きました。
3. リンクをクリックすると、添付ファイルが破損しており、無効なWebリンクにリダイレクトされました。ジョンは、これが「ドライブバイダウンロード」攻撃とは気づかずにLaZagneをダウンロードしました。マルウェアはバックグラウンドで動作して、Webブラウザやアプリケーションに保存されている認証情報（企業のアプリケーションやシステムへの認証情報を含む）を収集します。マルウェアは、これらの認証情報をリモートの攻撃者またはコマンド＆コントロールサーバーに送信します。これはWindowsのコマンドプロンプトのように表示されます。ジョンはこれが不正行為であることに気づきませんでした。

広範囲にわたるローカル管理者権限、リモート従業員の注意散漫または無意識、および保護されていない認証情報が、エンドポイント攻撃に恰好の機会をもたらしています。リサーチャーたちは、現在の世界的な状況に関連して、最近数週間で脅威が急増していることを観測しています。「Kpot」infostealerと一緒に配布される>「Coronavirus」ランサムウェアや感染防止のヒントメールを偽った「など、APT攻撃グループがカスタムリモートアクセス型トロイの木馬（RAT）を拡散させて、デバイスのスクリーンショット取得、ファイルやディレクトリのリスト作成、ファイルのダウンロードなどを実行しています。

リモートワークステーション全体にわたって、最小限の特権、認証情報の盗難防止、アプリ制御を実施

私たちは、新しい常識と呼ばれる時代に足を踏み入れています。多くの人々が通常どおりの働き方が様変わりしていることを実感しています。状況認識を強化することで、ほんの数週間でリスク軽減を迅速に前進させることができます。この「アクション」フェーズにおける重要なステップは、ローカル管理者権限を排除して、最小権の特権（PoLP）の原則を実施することです。これにより、業務に必要な最低限のアクセスレベルのみをユーザーに付与して、マルウェア、ランサムウェア、その他の脅威をエンドポイントに封じ込めることができます。

CyberArk Endpoint Privilege Managerおよび類似のソリューションは、全体的な特権アクセス管理（PAM）戦略にとって非常に重要です。組織は、セキュリティ、エンドユーザー、ヘルプデスクの生産性のバランスを適切に保つ必要があります。CyberArkは、重要な保護レイヤーを追加することで、DLPやアンチウイルス/NGAVなどの既存のエンドポイントセキュリティツールを強化して、ライフサイクルの早期段階で攻撃をブロックおよび封じ込めてデータ侵害を防止できます。

ここでは、CyberArk Endpoint Privilege Managerを導入した場合に、ドライブバイダウンロード攻撃にどのように対応ができるのか見てみましょう。

1. CyberArkのソリューションを使用することで、ローカル管理者権限にアクセスせずに、標準のビジネスユーザーとしてデバイスにログインできす。続いて、上記のステップ 1 と 2 を実行します。CyberArkの認証情報盗難防止機能は、不正なアプリケーションやプロセスによるデバイスのソフトウェア認証情報ストアへのアクセスをブロックします。これにより、LaZagneマルウェアによる認証情報の収集を防止できます。標準ユーザーから認証情報が盗まれても、企業ITへのアクセスには実質的に利用できません。

2. 業務用または個人用に不明なアプリケーションをデバイスにダウンロードしようとすると、CyberArkはアプリケーションを安全な「制限モード」で実行し、企業リソース、機密データまたはインターネットへのアクセスを阻止します。CyberArk EPMにより、アプリケーションのリスクレベルを即座に特定して、「不正」に分類されている場合は、ポリシーを作成してアプリケーションの実行をブロックできます。

3. 従業員がリモートワーク中、セキュリティチームは最小限の特権を容易に適用できます。これを実行する2つの方法があります。1つ目は、CyberArk Endpoint Privileged Managerの権限昇格機能を活用して、ポリシーに基づいて承認されたアクティビティとアプリケーションを昇格させる方法です。これでユーザーの日常的な要件の80%をカバーできます。Endpoint Privileged Manager は、ジャストインタイムアクセスと昇格をより柔軟に提供するアドホックメカニズムも提供します。ユーザーを「特権グループ」に一時的に追加することで、一定の期間を通じてエンドポイントで監査証跡を提供し、必要に応じてアクセスを取り消して終了することもできます。これは、組織が従業員を再配置して、変化するビジネスの優先順位にフォーカスして、責任の移行に応じて特権認証情報を自動的にプロビジョニングおよびプロビジョニングを解除する必要がある場合に特に有益です。

CISO社は、将来を見据えて、今後数週間にとどまらず、今後数か月、数年先も視野に入れて、リスク低減への段階的なアプローチを計画しています。この新しい常識が浸透するにつれて、従業員のデバイスがビジネスの遂行においてさらに大きな役割を果たすことになるため、新たなセキュリティ課題がもたらされます。実際、デスクトップPC、ラップトップ、スマートフォン、タブレットの分散パッチワークは、外部の世界とつながるライフラインとなっています。これまで以上に、これらのデバイスとそのアクセスを保護することが不可欠となります。

CyberArk Endpoint Privileged Managerについてさらに詳しくは、今すぐ無料トライアルでご確認ください。

Salesforceなどの使いやすいWebアプリケーションから、Windows Remote Desktop Protocol (RDP)などのIT中心機能まで、今日のワークプレースツールは非常に強力です。最新および従来の両方のツールとテクノロジーを組み合わせることで、従業員の生産性と運用効率を向上させることができますが、セキュリティチームとコンプライアンスチームには特権アクセスの拡張という新たな課題が数多く発生します。

あらゆるところに存在する特権

特権ユーザーとは、ビジネスプロセスの運用サービスを変更でき、ビジネスに影響する権限を持つユーザーです。これには、システム管理者だけでなく、見た目には「特権」とはみなされないユーザも含まれます。特権アクセスは、他のシステムに接続するアプリケーション、マシン、サービスアカウント、およびロボテックプロセスオートメーション（RPA）ワークフローの一部であるソフトウェアロボットにも適用されます。

企業がより多くのワークロードをクラウドに移行する中、デジタルトランスフォーメーションのイニシアチブが倍増し、プロセスの自動化が進むにつれて、特権ユーザーとアカウントの数が増加し、潜在的な攻撃対象領域が拡大し続けています。各ステップを進めていくことで、ロックする必要のある新しい「扉」が追加されます。

しかし、ビジネスアジリティの促進が優先され、組織が急いで先に進むと、これらの「扉」をロックすることが見落とされされる場合がよくあります。RPAとアプリケーションの認証情報には、多くの場合、機密データやシステムへの広範なアクセスを提供する、高度な特権が付与されます。これらの認証情報が適切に保護されていないと、企業が不要なリスクにさらされる可能性があります。攻撃者はこれを理解しており、保護されていない入口を標的としつつあり、保護されていない強力な認証情報を探し求めて攻撃目標にたどり着こうとしています。

今日のデジタル環境で、革新と進化を安全に推進していくにはどうすればよいでしょうか？また、これらの「扉」をすべてロックして、生産性を低下させずに、安全性を維持するにはどうすればよいでしょうか？多くの組織とって達成が困難とみなされるかもしれない、このような課題をネイティブ特権セッション管理で克服できます。

ネイティブ特権セッション管理のベネフィット

特権アカウントのセキュリティをユーザーおよびシステムの両方のアクセスレベルで保護することで、外部の攻撃者や社内の脅威が認証情報を不正に使用して監視ソリューションやセキュリティ制御を迂回する活動を制限できます。オンプレミス、ハイブリッド、クラウドの環境全体にわたって効果的な保護を実現するには、リスクを軽減できると同時に、従業員が業務を行うために必要不可欠なツールを継続的に使用できる適切なツールを選定する必要があります。

特権セッション管理は、あらゆる特権アクセス管理（PAM）プログラムの基本コンポーネントであり、次の機能を組織にもたらします。

• 機密性の高い攻撃対象マシンからエンドユーザーを隔離することにより、サイバー攻撃を防止。
• ポリシー、ワークフロー、特権付きシングルサインオン機能により、特権セッションアクセスに対する説明責任を確立および管理。
• セッション記録により、攻撃対象マシンにフットプリントを残さずに、監視とコンプライアンスを継続。

高度な特権セッション管理機能を備えた CyberArk Privileged Access Securityソリューションは、エンドユーザーが使い慣れたネイティブツールやワークフローを自由に操作できると同時に、認証情報の漏洩を防止し、重要な資産を隔離し、リスク別にセッションを自動的に記録し、セッションを分類することで、監査担当者の生産性を向上させます。弊社が最近のデモで紹介している一連のネイティブデプロイオプションには以下が含まれます。

• CyberArk Webインターフェースからすべてのシステムおよびアプリケーションにアクセス
• SSHおよびWindows管理者向けのネイティブアクセス
• クラウド管理者および特権ビジネスユーザーのネイティブアクセス

以下はデモの主な内容です。その他のユースケースについては、オンデマンドウェビナーa href=”https://www.cyberark.com/resource/enable-secure-productivity-with-native-session-management/”>「ネイティブセッション管理で安全に生産性を確保」をご覧ください。

ワークフロー1：CyberArk Privileged Session Manager for Windows

Windowsのセキュアなセッション接続を確立するためのオプションとして、RDPファイル、ActiveX、HTML5ゲートウェイ、およびRDPプロキシによるネイティブアクセスをご利用いただけます。ユーザーの操作環境、セキュリティに関する考慮事項、業界の規制に基づいて、貴社の環境に最適なオプションを選択できます。

ここでは、RDPを介して安全なセッションを確立する方法について要約を説明します。

図1： CyberArk Privileged Session Manager for Windows 

ワークフロー2：CyberArk Privileged Session Manager for SSH

CyberArk Privileged Session Manager for SSHにより、ネットワークデバイスなどへの特権アクセスを保護、制御、監視、および監査できます。Microsoft Active Directory（AD）と統合して、UNIXおよびLinuxシステムでユーザを透過的にプロビジョニングしてユーザ管理を合理化し、ユーザワークフローを中断することなく、管理費を削減できます。

Privileged Session Manager for SSHは、ネットワークデバイスまたは任意のSSHベースの攻撃対象システムで特権ユーザーが実行する不正なコマンドも制限できます。

従来のPrivileged Session Managerと同様、このソリューションにより、エンドユーザーを攻撃対象マシンから隔離して、パスワードやキーワードを漏らさずに特権セッションを開始できます。Privileged Session Manager for SSHは、すべての特権アカウントで実行されるすべての活動の概要を表示することもできます。すべての活動を完全に監視して、厳格な監査基準をサポートします。最終的に、このソリューションを使用することで、リスクの高い特権セッションをリアルタイムで特定してセッションを自動的に中断または終了して、認証情報の自動ローテーションを実行できます。

機能説明。

図2： CyberArk Privileged Session Manager for SSH

ワークフロー3：CyberArk Privileged Session Manager for Web

CyberArk Privileged Session Manager for Webは、すべての主要なクラウドプラットフォームおよびWebアプリケーションに安全なネイティブアクセスを提供します。

クラウドコンソールの管理アカウント、business critical applicationsSalesforceなどのビジネスクリティカルなアプリケーション、DevOps toolsOpenShift などのDevOpsツールでの活動記録を作成することで、ユーザーのアクションを追跡できます。アクションは、個々の許可されたユーザーに直接トレースされます。これにより、説明責任が確実になります。また、セキュリティの脆弱な領域や悪意のある活動を行っている可能性のある不正な社内脅威を特定するのにも役立ちます。すべてのCyberArk Privileged Session Managerのユースケースと同様、組織はリスクスコアをクラウドコンソールセッションに割り当て、リスクの高い活動をセキュリティ運用チームに自動的に警告できます。

CyberArkソリューションは、すべての主要なクラウドコンソールをサポートしているため、Universal Connector Generatorを使用することで、他のプラットフォームやカスタム（独自仕様）アプリケーションをサポートするWebコネクタを容易に作成できます。

ワークフローをご覧ください。

図3： CyberArk Privileged Session Manager for Web

CyberArkを使用することで、Windows、UNIX、Linux、クラウド、SaaS、Webアプリケーション、ソーシャルメディアなどへのセキュアなネイティブアクセスを実装できます。ハイブリッド環境全体にわたってリスクベースのセッションレビュー、リスク軽減、監査を統合して、ユーザーの生産性を最大限に高める方法について、オンデマンドウェビナーをご覧いください。またはデモをご依頼ください。