Blog

Stay up to date on company and partner news, product tips, and industry trends.
Thumbnail

Mar 25, 2022

モバイルデバイスが制限される職場でのセキュリティ関連考慮事項上位8つ

企業や組織を見ると、安全な認証に取り組むときに存在し得る多くのビジネスシナリオがあります。 共有ワークステーションであれ、リモートワーカーであれ、特権アカウントであれ、問題となるものは、モバイルデバイスが制限された職場です。 デリケートな仕事を行うため、何らかの方法でモバイルを制限する職場は常に存在すると言っても過言ではありません。 これらの分野では、機密性の高いシステムやデータへのアクセスを許可するためのユーザー認証など、あらゆる目的で電話を使用することはできません。 「モバイル制限付きアクセス」とは、「安全な箱にスマートフォンをしまう」シナリオだけを指すのではありません。 ほとんどの場合、制限は少ないです。例えば、建物の一部のエリアでは電話を使用できますが、他のエリアでは使用できません。 セルラー接続に信頼性がない遠隔地はどうですか? あるいは、一部の企業向けアプリには電話が使用できるものの、ミッションクリティカルな機能に触れるアプリには使用できない場合があります。 こうした環境はすべて、モバイル認証を困難または完全に使用不可能にします。   この投稿では、最も一般的な制限付きワークスペースについて概要を示し、モバイルデバイスを使用せずにこれを保護する方法について説明します。  一般的なモバイルデバイス制限付きワークスペースの制限付きワークスペース  以下の種類の職場環境では、ユーザーの生産性を損なうことなく強力なセキュリティを実現するために、他のユーザー認証を検討する必要があります: コールセンター – 今日のほぼすべての電話には、カメラと音声録音機能で構成される「スパイパッケージ」が付属しています。 コールセンターでは多くの場合、個人情報(PII)またはその他の機密性の高い顧客情報に自由にアクセスできるため、モバイルデバイスが冗長になりがちです。 工場の作業場 – 産業の現場では、作業者の安全や環境的な制限のためにデバイスが制限されている場合や、その場所で機密データにアクセスできる場合があります。 石油掘削所のような屋外の場所では、標準のスマートフォンによる処理以上に頑丈なデバイスが必要となる場合があります。  高セキュリティ環境 – AAL3やFIPSで検証された認証コードなど、フィッシングに強いハードウェアセキュリティキーを使用する、高い認証保証が要求される職場。 これらは、政府機関や金融サービス会社でよく見られます。 さらに、管理者の認証情報は非常に価値のある標的です。認証情報が侵害されると重大な損害を引き起こす可能性があるため、モバイル認証はおそらく最善の方法ではありません。  研究開発ラボ – 言うまでもなく、最も気密性の高い企業IPが存在する可能性のある場所では、簡単にビデオ録画や写真撮影をしたり、それを公開したりできるモバイルデバイスは存在が許可されません。 ラボでスマートフォンをドアのそばに置いておく必要がある場合は、スマートカードまたはFIDOセキュリティキーを使うほうが良いでしょう。 遠隔ステーション – 気象観測所、観測データポスト、海洋掘削、または信頼できるセルサービスから遠い研究施設のことです。高価な緩和インフラがないと、ほとんどのデバイスは役立ちません。  飛行機– おなじみの場所です。 フライト時間は長く、認証システムへの準拠が不明なネットワークを介してのみ、インターネットに接続できます。 モバイルが機内システムで動作しない場合、空中で多くの時間を過ごす従業員には、代替のMFA認証プロセスが必要です。  組合または政府の規則により制限されるBYODの領域 – 「所有デバイスの持参」規制は、米国内でも、世界中の国々でも一般的になっています。 同規則では、個人デバイスを保証なしで仕事関連のタスクに使用することを許可しません。 企業が仕事専用のモバイルデバイスを用意する意思がない場合、モバイル認証は行えない場合があります。  顧客対応環境 – 特に接客および小売業界の企業は、顧客と対面して最高の体験を提供するよう努めています。  その結果、多くの人がスマートフォンの使用を制限されています。そうしないと、従業員が顧客と十分に関わっていないという認識を生むからです。 上記のモバイル制限に関する考慮事項に加え、フィッシング対策(スマートカードまたはFIDO/WebAuthnベース)のMFAをユーザーに展開する際には、以下の項目が重要です: 共有ワークステーションに適用可能– 多くの場合、これらのステーションはすでに物理的にセキュリティ制御された場所に設置されることが多いですが、より強化するために、ステーション自体にフィッシング対策認証を追加する必要があります。 ワークステーションを柔軟にすることにより、シフトを終了、開始するユーザー間で高速かつ安全なタスク切り替えが可能となります。 接続の必要がない堅牢なデバイス – 堅牢なデバイスは、セルラー接続がないなど、どのような状況でも動作し、オフラインまたはネットワーク接続状況の両方で動作する、さまざまなコンピューターやその他のコンポーネントを保護できます。  簡単なユーザーエクスペリエンス(UX) – ユーザーを忘れずに!

Thumbnail

Mar 25, 2022

数学的思考:すべての従業員に対して強力な認証をする意味

今では当然のルーチンです… ステップ 1:組織は費用がかかり、当惑させるセキュリティ違反の悪影響を受けています。  ステップ 2:組織は大急ぎで多要素認証を導入しているか、その使用を義務付ける取り組みを強化しています。  多くの場合、組織が強力な認証を完全に採用するきっかけは侵害です。 しかし、どうしてでしょうか? ユーザー名とパスワードだけでは十分なセキュリティとならないこと、およびSMSの2要素認証(2FA)が何度も非推奨になっていることがわかっています。 それでも、多くの企業は、とにかくこうした安全性の低い方法への依存を続けています。  多要素認証の実装コストを考慮する 広範囲にわたる強力な多要素認証(MFA)を実装するには、コストと導入の複雑さへの理解が必要です。 セキュリティは通常、コストセンターと見なされており、CISOは、強靭なセキュリティ対策とそのコストとの間で慎重なバランスを取ることに慣れています。 しかし、侵害の影響と頻度の変化に伴い、認証戦略を決定する際にCISOが行う計算も変化する必要があります。  強力なMFAを企業全体に展開する際に計算する必要なセキュリティ、使いやすさ、スケーラビリティの3要素と関連コストが影響を受けます。 セキュリティ:間違ったMFAは800万ドルの損失になりえる  最初に考慮すべきことは、組織がセキュリティ違反を受けることによるコストと確率です。 2020年のデータ漏洩による平均被害額は米国で864万ドル(世界全体では386万ドル)でした。 それは評判が失われたことによる損失の費用が入っていません。  Forresterは、ほとんどの組織にとって、サイバー攻撃に直面する可能性は30%と推定しています。 これらの確率は、ハッカーがリモートワーキングへの移行や、クラウド採用の加速に便乗することで、フィッシング攻撃が急増した場合にのみ増加しました。 パンデミック、選挙、不況、社会不安がからまりあって引き起こされる状況は、ハッカーにとって得意分野である恐怖、不確実性、疑いを生み出しました。 政治団体、政府機関、メディア、医療従事者などの組織では、リスクはさらに増大します。 潜在的な侵害コストだけでは十分な動機とならない場合、侵害リスクへの露出を削減できないと、サイバー保険の保険料にも影響を与える可能性があります。 30%の確率で800万ドル以上のセキュリティ侵害が発生するため、MFA実装に投資するコストは、議論の余地がないようです。 しかし、どの種類の認証が「十分」に強力なのでしょうか? GoogleとNYUの調査では、パスワード認証の標準値を、FIDOセキュリティキー、スマートフォンベースのワンタイムパスワード(OTP)ジェネレーター、SMSなどの2FA方式と比較しました。 Googleによると、YubiKeyのようなハードウェアベースのセキュリティキーが最強のセキュリティをもたらします。フィッシング攻撃から100%保護する唯一の方法であり、使いやすさと展開性を併せ持ちます。 強力なハードウェアに基づく多要素認証は、あらゆるセキュリティ侵害の約80%を占めるフィッシング攻撃やアカウント乗っ取りの脅威を排除し、企業に安心感を与えることができます。  使いやすさ:ユーザーエクスペリエンスが低いと、サポートコストが月額1200万ドル以上になる可能性があります CISOへの多要素認証実装コストの次の考慮事項は、多くの場合、使いやすさの追及です。 強力なハードウェアに基づくMFAが最も安全な選択肢であるなら、ユーザーエクスペリエンスについてはどうですか? これに答えるには、ユーザーの観点から認証に代わるもの、具体的には単純なユーザー名とパスワードとモバイルベースの2FAを検討する必要があります。  しかし実際、パスワードや1回限りのパスコードをいつも入力しなければいけないのは面倒です。 そして、ご存じの通り、低いエクスペリエンスに不満を感じる従業員は、生産性とエンゲージメントが低下するだけではなく、プロセスを回避する可能性が高くなります。これらはすべて、コストとなります。 これにより、組織は振り出しに戻ります。ユーザーがセキュリティソリューションの採用に失敗したために、データ侵害のリスクに晒されます。あるいは、生産性を損なう破壊的なワークフローを生み出します。 例えそのツールが自身を守るためにあるのだとしても、ユーザーにとって仕事に使いにくいツールを我慢する時代は終わりました。 使いやすさはもはやその効力を失っていることを、ほとんどのCISOは知っています。  手始めに、組織全体でパスワードベースの認証を制御および維持するために必要なITサポートのコストを見てみましょう。 パスワードのリセットだけで、サポートへの問い合わせやメールが大半を占めることはよく知られています。 Gartnerの統計によると、ITヘルプデスクへのコール全体の20~50%がパスワードのリセットに関するものであり、Forresterは一件のパスワードリセットにかかる平均コストは70ドルと見積もっています。 実際、Microsoft Ignite 2017でAlex Simonsが行ったプレゼンテーションによると、パスワードリセットには1カ月あたり1200万ドル以上の費用がかかっています。 モバイルベースの2FAを導入し、従業員に追加アプリを提供して管理させ、IT部門に追加ライセンスとソフトウェアを提供して使えるようにすると、そのサポートの負担はさらに重くなります。  Googleのケーススタディによると、YubiKeyを世界的に導入後、パスワードリセットにかかるコストを92%削減できました。 さらに、SMSを介したワンタイムパスワード(OTP)を使用する場合と比べ、YubiKeyを使用した認証の時間は、約50%まで短縮されました。 YubiKeyをGoogle Authenticatorと比較すると、ログイン時間は約4倍高速になりました。  スケーラビリティ:すべての従業員がアクセスできるため、コストと時間を節約できます CISOの計算における3番目の、そして最も複雑な考慮事項は、スケーラビリティです。 これには誤解や仮定が多くあります。 YubiKeyのようなハードウェアベースの多要素認証ソリューション(明らかに最も安全で使用可能なオプション)を、数千人の従業員と数百件のエンタープライズシステムでスケーラブルにするにはどうすればいいですか? 少数の特権ユーザーのために取っておくべきではありませんか?  違います。

Thumbnail

Mar 25, 2022

パスワードレス認証への道のりで事実をフィクションと切り離す

セキュリティの専門家たちに「パスワードレス」と言うと、苦笑いから否定まで、さまざまな反応が返ってきます。 情報セキュリティのコミュニティは「パスワードレス」という言葉が使われていることを知っています。同時に業界では、このトピックに関し、さまざまな矛盾した立場が存在するのです。  このブログの目的は、パスワードがもたらす課題、「パスワードレス」の意味、パスワードレス認証が成熟するにつれて企業の受ける恩恵を理解するための客観的なアプローチをとることです。 パスワードレスについて話し合うためには、まずパスワードについて話し合う必要があります。 パスワードのパラドックス パスワードはユーザー認証の最も一般的な形式です。セキュリティが弱く、ユーザーエクスペリエンスが低いため、敬遠されがちです。 パスワードは共通の秘密と定義されます。 秘密はユーザーと検証サービスにより認識され、さまざまなコンピューティングデバイス間で保存されることが多いです。メッセージや付箋の形で共有されることもあります。 その秘密を知るサービス、デバイス、ユーザーは、サイバー攻撃の標的になる可能性があります。  セキュリティを向上させるための最善の方法は、そのパスワードを固有で複雑なものにすることです。 ただし、これらの方法は、最近のフィッシング攻撃に対してますます効果が低くなっており、パスワードを使用するのを難しくしています。 「パスワード忘れ」を回避するために、複数のサービス間でパスワードを同じものに設定したくなります(これもセキュリティリスクを高めます)。 セキュリティと使いやすさはパスワードと相容れないものです。 セキュリティが向上するとユーザーエクスペリエンスが低下します。その逆も然りです。  ということは、パスワードとお別れする時が来たようですね。 それほど速い別れではありません。 パスワードにも、良い面はたくさんあります。 何もかも一緒くたにして捨てるのはやめましょう。 パスワードはセキュリティと使いやすさの点で劣りますが、それでも以下のような理由で広く使われています。 移植性 – パスワードまたは共有の秘密は、デバイス、ドキュメント、アカウント、サービス、さらには子どものツリーハウスへのアクセスなど、ほとんどすべてのことに適用できます。 この形式の認証を実装するために多くのインフラや依存関係は必要ないため、非常に簡単に目的にアクセスできます。 互換性 – ほとんど例外なく、使用するすべてのアプリとサービスにパスワードがあります。 もちろん、追加で2番目の認証が必要になる場合がありますが、パスワードは基本的で普遍的です。 実際、サービスにパスワードの概念との互換性があるかどうかを考える必要はありません。 パスワードの入力は、毎日行うデフォルトの行動です。 相互運用性 – コンピューター、スマートフォン、任天堂、Apple TVのいずれで認証を行う場合でも、パスワードを簡単に入力できます。 パスワードは広く普及しており、パスワードを使用するために最新のモバイルデバイスにアップグレードしたり、クライアントソフトウェアをインストールしたりする必要はありません。 それはただ機能するだけです。 なぜ、これが大切なのでしょうか? パスワード認証を廃止する場合、移植の互換性と相互運用性のニーズを損なうことなく、他の方法でセキュリティと使いやすさの両方,を, 大幅に改善する必要があります。 この概念を理解するために、「パスワードレス」という用語を定義しましょう。 パスワードレス認証とは何でしょうか? 過去数年間で、「パスワードレス」という用語が使われることが多くなりました。今では多くのセキュリティ、認証、IDソリューションプロバイダーによって使用されています。それぞれ、ニュアンスに違いがあります。 明確にするために、より広く定義すると良いでしょう。 Yubicoでは、以下を採用しています: “パスワードレス認証は、ユーザーがログイン時にパスワードを入力する必要がないあらゆる形式の認証」 簡単に思えるかもしれませんが、ここで少し、考えておくことがあります。 パスワードレス認証にはさまざまな実装方法があり、それらはすべてトレードオフとなっています。  パスワードレスの実装は、ユーザビリティに対応するために特別に設計されていることがあります。 SMS – SMSの検証は、パスワードを覚えておく必要がないため、多くの人にパスワードレスと呼ばれています。 通常、ユーザーが自身を認証するための、短期間有効なOTPコードが送信されます。 (そして、皮肉なことに、「OTP」は「ワンタイムパスワード」の略であり、これは一般的な使用法の共有に過ぎません。) メールマジックリンク– トークンを使用した固有のリンクがユーザー用に作成され、メールで送られます。 リンクをクリックすると、その特定のサービスのユーザーだと証明されます。 

Thumbnail

Mar 23, 2022

2022年のサプライチェーンセキュリティ

SolarWindsおよびColonial Pipelineにおけるサプライチェーンのセキュリティ侵害は、ソフトウェアへのサプライチェーン攻撃を主流にした2つの(多くの)インシデントです。世界的に、病院および燃料輸送が最近の目標となっています。途中で監視する必要のあるエントリポイントが数千とは言わないまでも、数百はあることを考えると、サプライチェーンの防御は容易ではないということが、企業にとっての主な課題となっています。ただし、ベンダーとデータをやり取りまたは交換するための、十分に計画された戦略と組み合わせれば、サプライチェーン攻撃リスクを軽減するベストプラクティスとなります。  サプライチェーンの広い視野を持つ サプライチェーンには幅広い関係が含まれます。一般に考えられる物理的な商品や構成要素をA地点からB地点に輸送することだけではありません。サプライチェーンには企業が持つ可能性のあるパートナーシップと事業関係も含まれているため、あらゆる企業は、そこに荷札がついていなくても、サプライチェーンを持っています。実際、企業独自の製品またはサービスを開発するために使用される任意の製品(ソフトウェアまたはハードウェア)およびサービスを、サプライチェーンと呼ぶ場合があります。パートナーのシステムと貴社のネットワークにアクセスするシステムが適切に保護されていることを確認して、侵害や停止のリスクを軽減する必要があります。  ソフトウェアをサプライチェーンの一部として考えると、それは貴社のシステムにコードを提出するサードパーティーと協力するソフトウェア開発チームを意味するかもしれません。また、コードベースに統合されているサードパーティーのソースからIT製品またはコードを購入することも意味します。 サプライチェーンの「全体像」を確認したら、ターゲットを絞ったサプライチェーンのセキュリティ目標を設定できます。購入して使用するソフトウェア、他者が開発したコード、使用するサービスなど、取り扱うすべての製品が安全で、優れたセキュリティ対策に従っているようにします。  コード管理 自社開発コードを使用する場合でも、社外で開発されたコードを使用する場合でも、コード管理プロセスが検証されていることが重要です。外部ソースと連携する場合は、信頼性を確保するために署名キーと証明書の安全性を保つことが特に重要です。  ソースコードとソフトウェア製品の管理についての3つの重要な質問があります(先に答えを教えておくと、3つはすべて「はい」でないといけません)。これらの回答を注意深く確認することで、展開後、ソースコードに脆弱性が発生するのを防ぐことができます。 ソースコード管理システム(SCM)はありますか?適切なSCMがあれば、コードバージョンは適切に管理され、システムにログインするすべての人が適切な権限で認証されます。SCMは、コードにタイムスタンプを付けてその動きをログに記録するため、いかなる場合でも悪意ある第三者が検出されずに操作することはなくなります。SCMは、コードに信頼感をもたらすCoCを確立するために、適切に管理される必要があります。  コードコミットとコードは適切に署名されていますか? 署名は、ソフトウェアドライバ、アプリケーション、インストールファイル、スクリプト、車両や産業用システムのファームウェアモジュールを含む、すべての種類のソフトウェアモジュールと実行可能ファイルを保護するために使用する必要があります。コード署名とコードコミット署名は、SCMシステムに必要な機能である必要があります。システムを導入したら、すべての開発者がコードコミットに署名するように適切に設定します。一例としてGithubでコミットに署名する方法に関する簡単なチュートリアルを参照してみてください。    コンポーネントとその出所を特定するソフトウェアの「部品表」(SBOM)はありますか?開発者が非常に忙しく、利用可能なオープンソースコードが非常に多い場合、コードの出所を知ることが重要です。すべてのオープンソースコードが同じように作成されているわけではなく、攻撃者は既知の脆弱性を利用します。オープンソースコードを使用する場合は、開示する必要があります。オープンソースのコンポーネントを特定することで、自社管理するコードでも、購入したソフトウェアでも、将来発生する可能性のある脆弱性に迅速に対応できるようになります。このような背景から、政府の新しいソフトウェア開発要件では、セキュリティリスクを軽減するために特にSBOMに注目しています。 米国は2022年の来たる規制に備えている 上記の質問のほとんどに詳細な回答ができるなら、米国政府にソフトウェアを提供する企業に向けたバイデン政権の大統領命令に応じて、新しいセキュアソフトウェアサプライチェーンガイドラインを満たす準備をすぐに開始できます。それは、あらゆる形式のコードを不正アクセスや改ざんから保護することを求めています。フィッシングに強いMFAとコードコミットへの署名は、サプライチェーンのセキュリティ体制を改善し、コンプライアンスの要求を満たすための重要なセキュリティ制御です。使用するコンポーネントとコードの安全な管理方法をより詳細に把握することで、全体的なセキュリティは向上し、ユーザーからの信頼が向上します。 

Thumbnail

Feb 24, 2022

デューク大学、重要なITシステムをYubikeyで保護

SSH、RDP、およびVPNアクセスには2要素認証が必要です。 ✅導入の簡単さ    ✅迅速なユーザーログイン ✅ クロスシステム対応 お客様であるデューク大学について デューク大学は、米国トップレベルの研究大学として、ビジネス、神学、工学、環境科学、法学、医学、看護学、公共政策の各分野で、常に最高の教育機関のひとつに数えられています。 デューク大学は、ノースカロライナ州ダーラムに位置し、世界各地で研究・教育プログラムを展開しています。 主な成果: 導入の簡単さ 迅速なユーザーログイン クロスシステム対応 お問い合わせ先 簡単に導入でき、マルチプロトコルに対応した信頼性の高い2要素認証の必要性 2012年、デューク大学のIT部門は、重要なITシステムとユーザーアカウントをフィッシングやキーロガー、パスワードの脆弱性や盗難などの脅威から守るための強力なセキュリティ手法を模索し始めました。 デューク大学では、多くのユーザーグループに簡単に導入できる強力な2要素認証(2FA)ソリューションを見つけることが重要な要件のひとつでした。 複数のシステムやアプリケーションを毎日使用し、SSH、RDP、またはShibbolethを使って1日に40回もログインするグループもあります。 これらのグループにとって、モバイルアプリから毎回ワンタイムパスワード(OTP)を入力するのは全く現実的ではありませんでした。 そのため、さまざまなセキュリティプロトコルを持つ多様なアプリケーションをサポートするだけでなく、2要素認証ソリューションは、高速で非常に使いやすいものでなければなりませんでした。 YubiKeyはセキュリティチームのために安全な認証を簡素化 デューク大学では、2012年後半にセキュリティチームとアイデンティティ管理チームで最初の2要素認証パイロットを実装しました。 ユーザーがボタンにタッチするだけで安全に認証できるため、YubiKeyはデューク大学の2要素認証戦略の重要なコンポーネントとしてすぐに選択されました。 また、導入のしやすさも大きな要因でした。 「YubiKeyを使い始めた当初は、Yubicoのウェブストアから直接購入していました。 YubiKeyのユーザーが増え続けていたので、まとめて購入するようになり、時間が経つにつれて追加していきました。 2要素アクセスにYubiKeyを使っている人たちは、迅速なログイン機能を高く評価しています」とデューク大学の最高情報セキュリティ責任者であるリチャード・ビーバー氏は述べています。 「Yubicoチームは私たちのニーズに非常に敏感で、私たちの実装のために優れたサポートを提供し続けてくれています。」  リチャード・ビーバー デューク大学の最高情報セキュリティ責任者 デューク大学はYubiKeyで完全に統合された2要素セキュリティを維持しています YubiKeyはデューク大学の主要な2要素サービスと完全に統合され、Shibbolethのインフラを利用できるようになりました。 さらに、デューク大学は、YubiKey認証を重要なITシステムにも拡大し、SSH、RDP、特定のVPN経由時の2要素アクセスを義務付けました。 ビーバー氏によれば、全体的に成功しているとのことです。 「Yubicoチームは私たちのニーズに非常に敏感で、私たちの実装のために優れたサポートを提供し続けてくれています。」 出典 デューク大学、重要なITシステムをYubiKeyで保護pdf

Thumbnail

Feb 23, 2022

CISOは誰を信頼すればよいのでしょうか? 情報の共有は不可欠であると同時に、専門家としてのリスクもあります

バイデン大統領が最近発表したサイバーセキュリティに関する大統領令では、公共部門が民間企業と協力してより安全な環境を構築することを求め、ベストプラクティスとして情報共有の重要性を強調しています。 情報共有には多くの注意が必要なため、多くの人は「情報共有」をリスクや責任と同義語で捉えているかもしれません。 誤った方法で情報を共有すると、エクスポージャーといった脆弱性のリスクを高めることになりかねません。 Yubicoでは、情報共有は慎重に行う必要があると考えています。 当社は日常的に機密性の高い情報を扱っており、企業のセキュリティやリスク管理に対する責任を担っています。 また、企業構造は、株主に対する受託者責任を負っており、いかなる情報共有もその責任が侵害されるリスクを考慮しなければなりません。  官民一体となってこのテーマに取り組むには、さらに多くの議論が必要です。 代わりにここでは、情報共有に関連するリスクについて私がどのように考え、個人としてこれらの懸念を緩和するためにどのようにアプローチしてきたかを共有したいと思います。  コントロールの喪失 情報が共有されると、その情報を保護する責任が拡大・分散されます。 ツイートで誤って共有してしまったパスワードのように、いったん情報が公開されると、もはや自分ではコントロールできません。 最悪の場合でも、情報にアクセスできる各個人が、その情報を内密にすることを信じられる必要があります。  シアトルには有名なバーがあり、多くのセキュリティ専門家が毎週のように集まり、リラックスして話を交わしています。 シアトルは、新製品のソフトウェアやハードウェアの脆弱性を発見することに特化したセキュリティ専門家のメッカです。 これはまさに情報流出のための組み合わせです。 飲み放題のアルコールと、機密性の高い情報を頭に入れている人たち! 必ず、飲み過ぎる人がいます。 アルコールというものは、ただでさえ話してはいけない話をしてしまいがちな人たちの口をさらに軽くしてしまいます。 なぜそのような話をしてしまうのでしょうか? 多くの場合、それは賞賛されたい、組織や集団で成功していると見られたいという気持ち、あるいは個人的な自信喪失や不安などの理由からです。 その結果、リモートコード実行のバグの処理を誤り、たとえそれ以上の影響がなかったとしても、契約を解除されてしまっていたかもしれません。 このような光景を見たことがあるなら、それはあなたにとって教訓となるでしょう。 誰かが口を滑らせてしまった内容を、それによって利益を得る可能性のある他の人と共有することを望まないなら、注意深く行動するようにしましょう。  では、共有することには大きなリスクがあることは誰もが知っていますが、共有しない場合のリスクは何でしょうか?  マイナス面は、堀を作ると組織が島のように孤立した存在になってしまうことです。 仲間と連絡を取り合い助言を求めたり、互いに情報交換したりすることを躊躇し、後で自分がキャッチアップしておくべき重要な情報を見落としてしまうことは、外の世界と共有しすぎることと同じくらいの損害を被る可能性があります。  誰を信頼しますか? セキュリティ侵害が発生した場合、跳ね橋を上げて島への通行を制限するように外の世界を遮断したくなりがちです。 しかし、仲間に連絡をして、問題を発見しているかどうか、問題を抱えているかどうか、あるいは問題に対応しているかどうかを確認することは有益なことです。 こうして追加情報を早い段階で入手することは、侵害に対する組織の対応に大きく役立ち、損害を与える可能性のある誤った対応を修正できます。 これは軽視すべきではない予測されたリスクです。 双方向の情報共有で信頼できるのは誰ですか? 私が何十年もの間、有益だと考えているベストプラクティスをいくつかご紹介します。  まずは、インナーサークルの信頼できる人たちとの関係を、あらかじめ構築しておくことから始めましょう。彼らとは、長年の付き合いがあり過去の情報共有の場面での行動をあなたが観察してきた人たちのことです。 私は、キャリアをスタートさせたときから知っているセキュリティリーダーと定期的に会っています。 長い歴史と経験を共有することで、快適で比較的安全な双方向の会話が可能になります。 特定の業界向けに設立された情報共有分析センター(ISAC)など、セキュリティ情報の共有を促進する共同事業体または協会にも精通しておきましょう。 また、Infraguardは、特に地方自治体や連邦政府に関わりのある個人や企業にとって優れたリソースです。 インナーサークルで1対1またはグループでの会話を始めるのに役立つ安全なメッセージングシステムを見つけましょう。 私は、より機密性の高い会話には、SignalとKeybase(現在はZoomに買収されています)を使用しています。 連絡を取り合うには、Slackやお気に入りのビデオ会議ソリューションを使います。 失敗や後悔している情報開示から学びましょう。 私はこれまでのキャリアの中で、情報開示に関するミスをしたことがあります。 ある事例としては、印象的な面接候補者についてのミスがあります。 リスクは報われず、このミスは危うく私のキャリアを破壊するような情報公開につながるところでした。  共有して問題が起こる前に、社内で幹部の賛同を得ましょう。 機密情報を持つ会社の担当者として、自分が何をしているのかを適切な幹部に知らせ、自由に業務を行うための承認を得ることは当然のことです。 共有できるものとできないものについて、法律上または規制上のガイドラインを法務チームが提供できるように、法務チームに情報を提供しても問題はありません。 そうすることで、将来的に何かミスがあったときに、責任を押し付けられるのではなく、会社のリーダーからサポートしてもらえる可能性が高くなります。 このような社内の人間関係やコミュニケーションラインを早期に確立しておくことが大切です。 恐怖に日々を支配させないようにしましょう この業界では年を取ることもリスクのひとつです。 年を重ねるごとに、貴重な「学んだ教訓」によって、自然と慎重になっていくものです。 CISOは、技術を理解し、信頼できる友人のネットワークを形成する必要がありますが、それには何年もかかります。 このプロセスは、情報の流通を助けるいくつかの団体を加えることで強化することができます。しかし最終的には、詳細を話し合える友人がどうしても必要です。

Thumbnail

Feb 22, 2022

Yubicoが2022年に向けて推奨する重要な情報セキュリティ

先週は 2021年を振り返って、私たちが経験した多くの壊滅的な被害をもたらしたランサムウェアによる注目すべきセキュリティ侵害の増加についてお伝えしました。 攻撃者は、サプライチェーンへの継続的な注力に加え、病院、学校、地方自治体など、従来から、より狙いやすいとされる標的が餌食にされました。 これらのサイバー攻撃の多くの根本的な原因は様々ですが、いずれも一要素認証、弱い多要素認証(例:OTP)、秘密の漏洩(例:SAML署名キー)を利用したものです。 これらの攻撃が重要インフラに与えた影響は、連邦政府機関によるMFAの使用を含む強固な実践的セキュリティ対策の採用を義務付ける大統領令を発令するなど、アメリカ政府の対策に拍車をかけました。 2022年は、主に2021年のランサムウェアグループの成功から、ランサムウェアによる被害者を恐喝する流れが見られると予想されます。 また、脆弱な業界における情報セキュリティの実践と原則の成熟を加速させるために、規制がさらに重要視されることも予想されます。  こちらは2022年に向けて推奨する 重要な情報セキュリティです 企業はゼロトラスト・アーキテクチャを優先的に主導する必要があります SolarWinds事件と最近のLog4jの脆弱性は、最小特権と分離の原則を何十年も提唱してきたにもかかわらず、一部の企業の基幹システムがインターネットや信頼されないシステムへのアクセスを許容していることを浮き彫りにしました。  情報セキュリティへのアプローチを根本的に変えることで、ゼロトラスト・セキュリティモデルの議論が深まります。 ゼロトラストは、内部環境が信頼できると仮定するのではなく、内部環境が敵対的であると仮定するところから始まります。 信頼は検査と強力な認証によって確立されますが、定期的に信頼を再構築する必要があるという点では一時的です。 理論的には、侵入の機会が限定され、隔離性が高まるため、侵入が成功した場合の影響が限定されるはずです。 ゼロトラストへの注目は、バイデン政権が連邦政府のMFAに利用されるプロフィールの近代化を求めた昨年5月にさらに強まりました。 政府が9月に発表した「ゼロトラスト成熟度モデル」は、ゼロトラストの7つの信条を概説し、2022年にますます巧妙化・広範囲化するサイバー攻撃から安全を確保するために、企業がこれらの柱を遵守するために行動しなければならないことに疑いの余地はないとしています。  企業はフィッシングに強い MFA を導入する必要があります フィッシング、クレデンシャルスタッフィング、その他のパスワードベースの認証が抱える脅威は、今後も企業にとって大きなリスクとなります。 攻撃者は、未だ一要素認証や脆弱な MFA が普及している内部ネットワークのアクセスを得ることが可能であることを実証しました。 盗んだ認証情報を使用することで、攻撃者は、脆弱性を悪用したり、その他の検知される可能性が高まる行動をする必要が無く、環境に留まることができます。  複数の認証プロトコルをサポートするYubiKeyは、一要素認証やOTPなどのレガシーな MFA から、フィッシングなどの一般的な攻撃に強い最新のFIDOベースのプロトコルへの段階的移行に関心を持つ企業との橋渡し役となることができます。  企業はクラウドへの恐怖を克服する必要があります 一部の企業や業界では、クラウドを脅威と見なし続けていますが、その理由の大部分は、制御を維持する方がセキュリティ上のメリットがあると認識されているためです。 事実かどうかは別として、クラウドは強固なセキュリティ機能とプロトコルを提供します。 適切に使用すれば、ランサムウェアやビジネスメールのハッキングなど、現在大企業が苦労している脅威の多くは、大きく緩和されます。 統合ID、強力な多要素認証、クラウドベースのファイルストレージの組み合わせは、規模の大小を問わず企業にとって強力です。 相互のTLSベースの認証と暗号化は、通常、PKIの複雑さをバックエンドで管理し、自動化するチェックボックスにチェックするだけで有効にすることができます。 また、自社の機密情報の管理に関心を持ち、これを行うことに成熟した方は、さらなる監視と管理を利用することが出来ます。 統合IDや強力な多要素認証のメリットを得るために、クラウドを完全導入する必要はありません。 最近のIDプロバイダは、FIDOプロトコル、SAML、OpenID Connectに対応しており、オンプレミスおよびオフプレミスのアプリケーションの統合を支援しています。 FIDO2/WebAuthnをサポートしているIDプロバイダの総合的なリストについては、Works with YubiKey カタログをご覧ください.  ランサムウェアへの対策 従来の境界防御モデルやActive Directoryなどの技術に基づくレガシーインフラを持つ組織は、ランサムウェア攻撃に対応するための強固な対応策を用意しておく必要があります。 この対策は、保険の適用範囲、顧問弁護士、復旧に失敗した場合の身代金の支払い計画など、検知と復旧以外の議題も考慮されたものである必要があります。 保険プランでは、第三者に依頼した場合の費用のみが補償される場合がありますが、認可された業者を利用した場合に限ります。 また、補償内容に制限がある場合もあります。 最近では、攻撃者が民族国家であるかどうかで適用範囲が変わる事例もありました。 対策を立てたら、テストする必要があり、特にバックアップをテストする必要があります。 サプライチェーンのセキュリティについては、より一層の配慮が必要です 2021年、SolarWinds事件とLog4jの脆弱性は、我々のサプライチェーンがいかに脆弱であるかを思い知らされただけでなく、基幹となる非常に機密性の高いシステムが、依然としてインターネット上の信頼できないシステムに自由に接続できる状態を維持していることを浮き彫りにしました。 私たちは、技術の安全な設計、開発、運用を確保する上で、相互に責任を負っていることを再認識する必要があります。 非標準的な質問事項が散乱しているベンダー保証プロセスだけでは、サプライチェーンの安全性を確保することはできません。  サプライチェーンに関わる企業は相互の信頼を確立する必要があり、これを対外的に示す能力も必要です。これは、開発プロセスを通じて優れた情報セキュリティを実践することで確立するものです。