見せかけだけのセキュリティ対策を脱却しリスクを軽減するために
Google Cloud Japan Team
クラウドにおける見せかけだけのセキュリティ対策は大きなリスクとなります、今回はいかにそれを断ち切るかについて紹介します。
※この投稿は米国時間 2023 年 9 月 23 日に、Google Cloud blog に投稿されたものの抄訳です。
注射を打つ前の皮膚消毒とパスワードには多くの共通点があります。私たちは、感染リスクの軽減やサイバー犯罪者によるデータ アクセスなどの危険から自分の身を守るには、皮膚消毒やパスワードだけで十分に防げると信じ込んでいます。しかし、ある医学研究によると、消毒していない部位への注射による感染は稀だと考えています。また、サイバー セキュリティの専門家は、パスワードのみの ID 認証を過信すべきでないと考えています。
ID 認証の単一要素であるパスワードは、何十年もの間、脆弱で突破されやすいことが知られてきました。重要なことは、セキュリティを破られたことのある組織では、こうした脆弱なパスワードが蔓延していたということです。
Google が 4 月に発行した Threat Horizons Report では、「クラウド インスタンスを含むネットワークを侵害する目的で使用される最も一般的なベクトルは、アカウントの認証情報を直接乗っ取ることです。これが起こるのは、デフォルトでパスワードが設定されていない、認証情報が漏洩している、認証情報が再利用されている、一般的に推測可能なほどパスワードが脆弱であるといったことが理由として挙げられる」と結論付けています。
Google Cloud の研究者が 2022 年以降に調査したセキュリティ侵害の 41% は脆弱なパスワードに起因していることがわかりました。Mandiant の研究者チームも、M-Trends 2023 レポートで同様の結論を下しています。また、2022 年に実施したサイバーセキュリティ インシデントの調査でも、同チームは、パスワードが組織やデータを保護できていないことを指摘しています。
この調査において、同チームは以下のように述べています。「最初の感染経路が特定されている調査において、盗まれた認証情報が攻撃者に利用された頻度は高くなっており、2021 年の 9% から 2022 年は 14% にまで増加しています。多くの場合、認証情報は組織の環境外で盗まれた可能性が高く、その後、組織に対して使用されたことが調査で確認されました。パスワードを再利用したり、企業デバイスで個人アカウントを使用したりした可能性があります。」
見せかけだけの対策を施したところで、セキュリティ対策が強化されたり、リスクが軽減されることはありません。
このように、ID 認証の手段としてパスワードだけに依存することは、見せかけだけのセキュリティ対策の典型的な悪い例です。見せかけだけのセキュリティ対策とは、「実際にセキュリティを強化することはせずに、人々に安心感を感じさせるためだけの対策」のことです。見せかけだけで実用的ではないセキュリティ対策を施すことは、益よりも害の方が多くなる可能性があります。
見せかけだけのセキュリティ対策を見つける
セキュリティ チームは、「リモートで照会ベースのベンダー監査を完了できた」「パスワードの最小文字数を 6 文字から 7 文字に増やした」ことで満足しているかもしれません。しかし、そのように何かを施した満足感によって、セキュリティ対策が強化されたり、リスクが軽減されるをことはないのです。
多くのケースでは、デジタル トランスフォーメーションやクラウドへの移行を、見せかけだけのセキュリティ対策から抜け出す機会として活用できていません。同様に、人々の命と暮らしは、(各組織の)セキュリティ対策を施したという誤った満足感に依存することになってしまっています。
演劇に喩えるなら、舞台の上に立って、セキュリティ劇を演じる(見せかけのセキュリティ対策を施す)のではなく、実践的なセキュリティを「実行」することは、勇気のいることです。多くの場合、組織がセキュリティ劇(見せかけだけのセキュリティ対策)に参加する理由には、論理的な正当性が見られません。多くの組織がセキュリティ対策に取り組んでいるからといって、必ずしもあなたの組織がそうすべきとも限らないのです。
「利害関係者の反応が怖いから」という理由でセキュリティ対策を導入するのは、理由としては不十分です。それは、脆弱なセキュリティ活動やツール使用を停止したり、実際には組織の漏洩リスクを軽減しないコンプライアンス演習に参加したりするのと同様に、セキュリティ劇に参加する理由としては不十分なのです。
見せかけだけのセキュリティ対策は、多くの場合、無駄な時間と労力を要します。一般的なサードパーティのセキュリティ評価プログラムで使用されているセキュリティのアンケートについて考えてみましょう。この設計には何時間も要する上、管理や回答にも多くの時間を要します。これらの作業には、メールやスプレッドシート間でやり取りされるデジタルの事務処理が必要となり、費やした労力に見合う価値はほとんどありません。結局のところ、これによって誰かの安全を確保できるわけではないのです。
見せかけだけのセキュリティ対策に関する良い知らせとしては、それらが見せかけだけのものかどうかを探りはじめると、すぐにそれが明白になることです。セキュリティ制御が実際に価値を生み出すかどうかを確認したいとき、利用できる優れたリトマス試験紙として、組織が次の 5 つの項目のいずれかに当てはまるかどうかを確認してみてください。
1. そのセキュリティ制御は、あなたの懸念する脅威を軽減していると証明できますか?
2. そのセキュリティ制御は、攻撃者が少ない労力で突破できてしまうものではありませんか?
3. そのセキュリティ制御を実施するために、人的なマニュアル対応が必要となるようなことはありませんか?
4. この弱点は攻撃者に気づかれないだろうという確信がある場合でもそのセキュリティ制御が効果的だと思いますか?
5. 「コンプライアンス要件を満たすため」という理由だけでセキュリティ制御を行っていませんか?
多くのコンプライアンス プログラムは、セキュリティ制御が決して下回ってはいけない基準レベルを設定するためにあります。しかし、そのセキュリティ制御がコンプライアンス要件を満たすためだけにあると言うことは、一般的に、組織がその要件の存在理由を熟慮した上で取り組んでいないことを意味しています。このような状況については、よくよく評価する必要があります。また、顧客や営業利益、レジリエンスの向上などの目的もなく、単純にコンプライアンスのためだけに何かを実施するのは、まさに見せかけだけのセキュリティ対策であり、組織のリスクを増大させる可能性をはらんでいます。
見せかけだけのセキュリティ対策は根拠のないまま進められるものです。セキュリティ制御は、価値を提供し、リスクを確実に軽減するものでなければなりません(そのための 1 つの方法がレッドチームです)。次にセキュリティ制御の評価や監査を行う際に、ここで示した 5 つの質問を加えることを検討してみてください。そうすることでセキュリティ リスクが軽減することにつながり、さらに、見せかけだけのセキュリティ対策の解消へと進むことができます。
見せかけだけのセキュリティ対策の対極にある実践的なセキュリティの採用
パスワード利用における見せかけだけのセキュリティ対策を回避するには、Google の Titan キーやパスキーのようなハードウェア セキュリティ キーを使用する 2 要素認証などのツールを活用することが有効です。これらの代替手段は、「パスワードレス」な方法として人気が高まっています。
クラウド ファーストでクラウドに特化した最新のセキュリティに投資する組織が増えれば増えるほど、見せかけだけのセキュリティ対策をなくすことができます。
パスワードと同じように、セキュリティ制御をクラウド上に新たに構築する代わりに、従来のセキュリティ制御やセキュリティ システムをクラウド上に移植することは、見せかけだけのセキュリティ対策をさらに拡大させることになりかねません。クラウド セキュリティの専門家は、何年も前から「リフト&シフト」の後にセキュリティの変革を中止しないようアドバイスしてきました。その主な理由は、その取り組みによって実際にシステムの安全性が向上したり、リスクが軽減たりしていないにも関わらず、クラウド データやシステムが安全になったと錯覚してしまうからです。基本的な手順で保護されていなければ、オンプレミスのデータセンターに置かれた安全ではないサーバーは、クラウドでも同様に安全でない可能性があります。
実際、「リフト&シフト」は、多くの場合、今日直面する脅威リスクを容易に高めてしまいます。それが、費用の増加、ユーザー エクスペリエンスの停滞、時間のかかる義務化されたレポート作成につながることが多いためです。クラウドに移植されたレガシー システムは、データの障害となり、規制要件への準拠を難しくすることが知られています。これらのシステムの多くが、現在の規制が施行される前に設計されているためです。セキュリティの大部分が組み込まれているサーバーレス プラットフォームなどのクラウド ファースト サービスを利用できるようにすることで、システムのリファクタリングが進み、セキュリティは強化されます。
より効果的なセキュリティへの移行
見せかけだけのセキュリティ対策とそれに伴うリスクの増大に関する良い知らせは、その対策がクラウドのテクノロジーに組み込まれつつあるということです。クラウド ファーストでクラウドに特化した最新のセキュリティへ投資する組織が増えれば増えるほど、クラウドに重点を置いたセキュリティが実現されればされるほど、見せかけだけのクラウド セキュリティ対策をなくすことができるようになります。
このことは、現在の IT モダナイゼーションの時代によく見られる現象です。デジタル トランスフォーメーションを推進している組織は、クラウド ファーストのサービスに技術をアップグレードしています。そのようなサービスは、安全性を重視した設計によりデフォルトでセキュリティを確保しており、基盤レベルでセキュリティが組み込まれています。
クラウドベースのソフトウェア定義インフラストラクチャに依拠るテクノロジーに移行することで、継続的なセキュリティ アップデートと、より広範なクラウド セキュリティ エコシステムを活用できます。基礎レベルで強固なセキュリティを備えた目的特化型のシステムの採用は、Google が数十年前から最優先で実践してきたアプローチと同じです。これによって実用的なセキュリティが注目されるようになり、見せかけだけのセキュリティ対策が一変、日の目を浴びなくなることを意味するのです。
- Google Cloud、CISO オフィス ディレクター Taylor Lehmann
- Google Cloud、セキュリティ編集者 Seth Rosenblatt