CyberArk https://www.cyberark.com/ja/ Thu, 06 Oct 2022 16:37:28 +0000 ja hourly 1 https://wordpress.org/?v=6.5.3 Uberへのサイバー攻撃を考察 https://www.cyberark.com/ja/blog/unpacking-the-uber-breach/ Thu, 06 Oct 2022 16:37:28 +0000 https://www.cyberark.com/blog/uber%e3%81%b8%e3%81%ae%e3%82%b5%e3%82%a4%e3%83%90%e3%83%bc%e6%94%bb%e6%92%83%e3%82%92%e8%80%83%e5%af%9f/ Unpacking the Uber breach, a deconstruction

9月15日に発覚したUberへのサイバー攻撃後、自ら18歳と名乗る人物が、ライドシェア最大手UberのIT環境に侵入した手口が数多くの記事を通じて伝えられています。
今回の侵害では、多要素認証メルトダウンやその他のアイデンティティセキュリティ健全性の課題など、人的要素が大きな注目を集めています。

Uberは、9月19日のセキュリティに関する声明により、いくつかの質疑に応答する一方で、Lapsus$と呼ばれるハッカー集団が関与しているとの見方を示しました。

CyberArkも今回の侵害を追及し続けていますが、「攻撃の主犯格や手口を解明することだけが、本当に重要なことなのか」という疑問を抱いています。
「侵害を想定」している場合、攻撃を受けた事実のみならず、侵害後に起こっていることに注目すべきです。

攻撃者は、組織の特権アクセス管理(PAM)ソリューション(ベンダーが提供)への管理レベルのアクセス権を獲得して、さらに高レベルなアクセスに昇格させたと報じられています。そこでCyberArk Red Teamは、自己分析および入手可能なレポートに基づき、この攻撃の発端となったハードコード化された認証情報に注目して、Uberへのサイバー攻撃を考察しています。

またCyberArkでは、多層防御がどのように連動して同様の攻撃を遅らせたり、またブロックしたりできるか、それらの手法についてもご説明しています。

「Uberへのサイバー攻撃に関する分析の多くが、ソーシャルエンジニアリングと複数のMFAが標的になったことを重視していますが、初回の侵入後の攻撃で何が行われたのかが重要なポイントと考えています。
設定ミスのネットワーク共有に組み込まれた認証情報が、この攻撃を解明する重要な手がかりです。
攻撃者は、PowerShellスクリプトに組込まれたPAMソリューションの認証情報を入手後に高レベルのアクセス許可を獲得し、特権を昇格させてUberのIT環境内を移動しています。
プロアクティブ(能動的)な保護は、多層防御のセキュリティ導入に基づきますが、今回の攻撃で特に明らかになったのは、侵害を想定することが最大の防御であるということです。」

– Shay Nahari、CyberArk、Red Teamサービス、バイスプレジデント

Uberへのサイバー攻撃を解明:
報告されている経緯

Uber Breach Deconstructionフェーズ1:
初回の侵入。
CyberArkは、攻撃者がUberのVPNインフラにアクセスする認証情報を取得し、UberのIT環境に侵入。

フェーズ2:
情報収集と
機密性の高いリソースに対する特権または特権の昇格がVPNベンダーに適用されていなかった可能性が高く、Uberの従業員と同じように、ネットワーク共有にアクセスすることができました。
このネットワーク共有は、誰でもアクセスできる状態、または設定ミスにより、ACLを広範に読み取ることができました。
このネットワーク共有内で、攻撃者がUberのPAMソリューションへのハードコード化された特権認証情報を含むPowerShellスクリプトを発見。

補足:
ITチームと開発者の両方が、認証を行うために何らかの形式の認証情報を必要とするスクリプトを作成して、タスクを自動化することはよくあることです(例: 手動バックアップ、またはデータベースからデータを取得してカスタムレポートを作成するなど)。
このような認証情報として、SSHキーやAPIトークン、その他のタイプのパスワードや特権トークンなどが考えられます。
自動化して時間を節約するために、開発者がこれらの認証情報をコードに組み込むこと(ハードコード化)が一般的になっています。
これにより、コードにアクセスするすべてのユーザーが認証情報を見ることができ、これを管理およびローテーションすることは困難です。
Uberへのサイバー攻撃では、ハードコード化された認証情報が悪用されました。これにより、特権アクセス管理ソリューションへの管理レベルのアクセス許可を攻撃者が獲得しています。
これらの認証情報はしばらくの間ローテーションされていなかったとみられ、悪用されやすい状態でした。

フェーズ3:
特権昇格、PAMシステムへのアクセス。
攻撃者が、特権アクセス管理ソリューションにアクセス可能なハードコード化された管理者認証情報を入手して、さらに特権を昇格。

フェーズ4:
PAMシステムからシークレットにアクセスして、重要な企業システムに到達。
Uberの最新発表によると、攻撃者は、「権限を昇格させて最終的にいくつかのツール」にアクセスしています。
特権アクセス管理ソリューションからシークレットにアクセスして、深刻な被害を引き起こす可能性が高まりました:
報告によると、攻撃者は、SSOやコンソールのほか、Uberが顧客や財務の機密データを保管しているクラウド管理コンソールへのアクセスも侵害。

フェーズ5:
データ流出。
Uberは今回の侵害を調査中ですが、攻撃者が「いくつかの内部Slackメッセージのほか、財務チームが請求書の管理に使用している社内ツールから情報にもアクセスまたはダウンロードした 」ことをCyberArkでは確認しています。

徹底的な防御戦略の一環として、組み込まれた認証情報に対処するためのアドバイス

CyberArkの見解は、多層防御(補完的なセキュリティ層の組み合わせ)および強力な最小特権制御を適用するゼロトラスト戦略をサポートする、プロアクティブ(能動的)な保護の必要性です。

サイバーリスクを軽減するために、おそらく最も重要なのは、
まず組み込まれた認証情報の排除に注力することです。環境のインベントリを作成して、コード、PaaS設定、DevOpsツール、社内開発アプリケーションのハードコード化された認証情報を見つけ出して削除することを推奨します。
実際にこれを行うことは容易なことではありませんが、まずはお客様の最重要な認証情報とシークレットに重点を置き、次にシークレット管理のベストプラクティスを拡張していくことで、リスクを段階的に大幅に軽減できます。

ハードコード化された認証情報に対処する計画を立てた後、防御を強化する以下の追加ステップを検討してください:

  • 認証情報の盗難が依然として最大のリスク要因です。
    また最近見られるように、攻撃者はさまざまな経路や手口を使用して、MFAをバイパスすることにますます長けています – 今回のサーバー攻撃では、複数のMFAが回避されています。
    従業員は会社のゲートキーパーでもあります。従って、定期的な従業員教育などを通じて、フィッシング攻撃を受けた場合は即座に報告することを徹底することで、ID漏洩を防ぐことができます。
    進化し続けている攻撃に対する完璧な防御はあり得ません。
  • 認証情報を一貫性のある最小特権の原則をまずエンドポイントから開始して、従業員および外部ベンダーに対して、業務に必要な最低限の特権レベルのみを付与。
    所定の最小特権による、特権アクセス管理ソリューションを構成。
    管理者が各自の業務に絶対必要な特権アカウントへのアクセス権のみを許可。
    特権アカウントを使用するすべてのアクセスを隔離して認証。

  • 今回の攻撃は、セキュリティ実務者が長年取り組んでいる「シークレットゼロ」の課題を浮き彫りにしています:
    他のすべての認証情報を保護している究極の認証情報へのアクセス権を何者かが手に入れた場合、極めて深刻な事態が生じます。
    これを回避するには、強力な事前対応型ならびに事後対応型の徹底的な防御が不可欠です。
    これにより、MFAが回避された場合でも(事前対応)、攻撃者が認証情報に到達する前に攻撃を特定および阻止するメカニズム(事後対応)を補強できます。
  • 常時特権アクセスを最小限に抑える。
    機密性の高いインフラやWebまたはクラウドコンソールへの常時アクセスを削除することで、攻撃者の横方向の移動を阻止して、重要なセキュリティソリューションの侵害を防止できます。
    特に強力な認証と組み合わせた、ジャストインタイムの特権昇格により、侵害されたIDを悪用する、不正アクセスを大幅に減らし、攻撃対象範囲を制限できます。

今回の侵害は、単独の個人またはベンダーの過失によるものではありません。また単一の技術ソリューションのみでは防止できなかったといえます。
これが多層防御が非常に重要な理由です:
徹底的な防御により、攻撃者が容易に活動および移動して最終的な目標を達成することを食い止めることができます。

]]>
水道システムと重要なOT環境を保護するためのセキュアなサードパーティ・アクセス https://www.cyberark.com/ja/blog/secure-third-party-access-to-protect-water-systems-and-critical-operational-technology/ Thu, 28 Apr 2022 15:18:48 +0000 https://www.cyberark.com/blog/%e6%b0%b4%e9%81%93%e3%82%b7%e3%82%b9%e3%83%86%e3%83%a0%e3%81%a8%e9%87%8d%e8%a6%81%e3%81%aaot%e7%92%b0%e5%a2%83%e3%82%92%e4%bf%9d%e8%ad%b7%e3%81%99%e3%82%8b%e3%81%9f%e3%82%81%e3%81%ae%e3%82%bb%e3%82%ad/ Water System Cybersecurity

82ガロン(英語):平均的なアメリカ人が1日に使う水の量です。朝一番のコーヒーを淹れるときや、一日の終わりにシャワーを浴びるときなど、水の消費量を最小限に抑えたいとは思うものの、清潔で安全な水を利用できることは、ごく当たり前のことだと思いがちです。しかし、現代の生活を支える他の重要なシステムと同様に、水処理プラントや関連システムが依存するITインフラも老朽化しているだけでなく、自動化やリモート接続によるメンテナンスなど、より接続性を高める必要性に迫られています。このような理由から、過去数年間に明らかになったように、このインフラはサイバー攻撃の魅力的な標的にもなっています。

先週、バイデン政権は、米国の水道事業者のための100日間のサイバーセキュリティ計画(英語)を発表し、最近の相次ぐ攻撃を受け、産業制御システム(ICS)サイバーセキュリティ・イニシアティブ(英語) をこの分野にも拡大しました。この計画では、水道事業者のリーダーによるタスクフォースの設置、セキュリティ事故の監視能力の強化、情報共有とデータ分析の改善、水道事業者への技術支援に重点を置いています。

攻撃される世界の水道システム

2021年2月、フロリダ州の浄水場にフロリダ州の浄水場に攻撃者が侵入し(英語)SCADAシステムを制御し、水中の水酸化ナトリウムを100倍に増やして猛毒化することに成功しました。その後、米国連邦政府機関は、カリフォルニア州、メイン州、ネバダ州などの施設を狙った複数のフィッシングやランサムウェア攻撃を挙げ、上下水道システムへの脅威が続いていると警告する共同アドバイザリー(英語) を発表しました。

脆弱な水道システムは世界的な問題です。2020年にはイスラエルで水道インフラに対する大規模な攻撃未遂が発生し(英語)、英国では水道分野を含む重要インフラに対する「信頼できる脅威」があると警告(英語)しています。2021年のSANS Institute(英語)の調査では、下水処理場の10か所に1か所は、現在、重要なセキュリティの脆弱性を抱えているという厄介な結果が示されています。

運用技術(OT)資産(英語)のITネットワークへの接続が進むにつれ、これらの重要なシステムへのリモートアクセスは今や常識となっています。パンデミックが始まって以来、浄水場から石油パイプラインに至るまで、重要インフラの運用者は、このインフラを稼働させ続ける役割を担うアプリケーションやシステムへの特権的アクセスの保護に注力しなければなりません。

接続されているが、十分な保護がなされていないOT環境

従来、産業用制御システムやプロセス・生産設備は、ネットワークに接続されていませんでした。OT環境に対する変更は、システム制御に対する対面での物理的なインタラクション(レバーを引く、スイッチを入れる、ダイヤルを回す)を通じてのみ行うことができました。そのため、セキュリティリスクは、設備に直接アクセスできる人に限られていたのです。しかし、デジタル化とIoTの導入が加速するにつれ、数十年前の技術でいっぱいの多くのOT環境がオンライン化されました。現在では、OTとITのネットワークはますます相互接続(英語)が進んでいます。 れにより、オンラインになる機密システムの数が増えることで、産業組織の攻撃対象が増加します。これらのシステムへのすべてのアクセスは、特権アクセスとして扱われなければなりませんが、攻撃者は計画を実行するために一貫してこれを求めています。

一方、ビジネス上の要求やパンデミックによる安全への懸念から、多くの組織が従来は施設に物理的に立ち会う必要があった仕事をリモートモデルに変更せざるを得なくなっています。その結果、機器の操作、トラブルシューティング、アップグレード、保守を担当する社内外の担当者は、遠隔操作で作業を行うことが多くなっています。

米国国土安全保障省(DHS)は、制御システムへのリモートアクセスを合法的に必要とする可能性のあるアイデンティティの例(英語)を挙げています。これには、システムオペレーター、メンテナンスエンジニア、現場技術者などの社内社員や、ベンダー、ビジネスパートナー、システムインテグレーター、MSP、規制機関などの社外関係者が含まれますが、これらに限定されるものではありません。上水道や下水道などの公共施設の安全かつ継続的な運用を支援するため、こうしたすべてのアイデンティティは、システムへの安全なリモートアクセスを必要とします。しかし、OT環境において重要なデバイスやシステムへの特権的アクセスを常時提供することは、クレデンシャル盗難のリスクを増大させる可能性があります。

「SANS 2021年調査(英語)」。OT/ICS Cybersecurityでは、 OT/制御システムのインシデントに関与する最も頻繁な攻撃ベクトルとして外部リモートサービスを挙げています。同様に、米国のCISA(Cyber and Infrastructure Security Agency)は、最も一般的なITおよびOTの弱点とリスクの1つとして、アクセスを挙げています。

安全でないリモートアクセスは、OTシステムを危険にさらす

水処理施設のようなオフィス環境において、サイバー侵入がいかに破壊的であるかを考えると、リモートアクセスするすべてのベンダーと従業員を特権的なアイデンティティとして扱い、それに応じて彼らのアクセスを保護することの重要性は、過大評価されることはないでしょう。しかし、残念ながら、次のような危険なセキュリティ対策があまりにも一般的になっています。

  • SCADAなどの重要なシステムの管理者認証情報の共有
  • 企業内ディレクトリの常時アクセス権を第三者に付与
  • 認証情報の安全な保管、管理、配布の失敗(エアギャップ・システム用を含む)
  • 複数のアカウントで同じパスワードを使用(使いまわし)
  • オペレーターやメンテナンス担当者が、普段アクセスしない重要なシステムの管理者レベルのアクセス権を付与
  • 機密性の高いリソースにいつでも自由にアクセス可能
  • システムの不適切なエアギャップ、不必要なインターネットへの露出、安全でないローカルエリアネットワークの使用
  • 古くパッチの適用されていないオペレーティングシステムやソフトウェアの実行

2021年にフロリダ州で発生した水道施設の攻撃は、こうした問題のいくつかを浮き彫りにしました。特に、リモートアクセスの弱点についてです。報道によると、水処理用のSCADAシステムにアクセスするために工場職員が使用するすべてのコンピュータは、要求される操作の機密性にもかかわらず、リモートアクセスと共有パスワードを持っていたそうです。

多くの情報通信施設や水処理施設では、セキュリティのためにdシステムをインターネットから切り離す、つまり「エアギャップ」しています。しかし、そのような環境であっても、リモートアクセスのセキュリティは重要です。プラント機器、HMI、DCS、PLC、その他のOTシステムでは、社内スタッフや、場合によっては外部の請負業者によるメンテナンスやアップグレードが依然として必要です。このような場合、重要なシステムにアクセスするための特権的な認証情報は、安全にプロビジョニングされ、慎重に監視される必要があります。しかし、あまりにも多くの組織が、Excelファイルのような時代遅れのシステムでパスワードを共有化しています。

特権的なアクセスを保護し、最も一般的なOTの弱点に対処

特権アクセス管理を中心としたFortunately, アイデンティティ・セキュリティのソリューション(英語)オフラインでの特権アクセスを実現し、環境を問わずクレデンシャル・スプロールの問題を解消することが可能です。内部管理者やサードパーティの請負業者は、モバイルアプリを介して特権クレデンシャルを取得し、セッション監査を行うことができます。これにより、組織は監査とコンプライアンスを満たしながら、クレデンシャル盗難を狙った攻撃から身を守ることができます。

セキュリティに対するゼロトラスト・アプローチの一環として安全なサードパーティ・アクセスを可能にすることで、産業用制御機器はCISAが特定した(英語)最も一般的なアイデンティティ関連の弱点とリスクに対応することができます。

Identity Related IT and OT Weaknesses

もちろん、リモートアクセスの管理を強化することは、サイバーレジリエンスを高めるための重要なステップの一つです。今日の電力会社は、多くの場合、リソースが不足しています。OTシステムは老朽化し、何十年にもわたって使用されてきたため負担がかかっています。熟練したサイバーセキュリティの専門家を見つけるのはますます難しくなっています。また、業界の規制は(せいぜい)一貫性がないままです。水道をはじめとする重要なインフラストラクチャに、サイバーセキュリティへの関心が高まっていることは喜ばしいことですが、まだまだ道は長いのです。

CyberArk Vendor Privileged Access Managerのインタラクティブツアーでは、interactive tour of CyberArk Vendor Privileged Access Manager安全なリモートアクセスやOTおよびIT環境におけるPrivileged Access Management(英語)の詳細について学ぶことができます。

]]>
MITRE ATT&CKフレームワークによる、ランサムウェア攻撃への対策方法 https://www.cyberark.com/ja/blog/how-to-use-the-mitre-attck-framework-to-fight-ransomware-attacks/ Thu, 28 Apr 2022 15:14:04 +0000 https://www.cyberark.com/blog/how-to-use-the-mitre-attck-framework-to-fight-ransomware-attacks/ Use the MITRE ATT&CK Framework to Fight Ransomware Attacks

孫子の兵法は、何百万人もの自己啓発の達人や企業戦略のコンサルタントによって引用され、さらに100万枚以上のパワーポイントのスライドに誤引用されている。しかし、ある種のものは、常に適切であるために決まり文句になる。孫子は「すべての戦争は欺瞞に基づいている」と主張しましたが、この真理は5世紀の戦場にも、21世紀のサイバーセキュリティにも当てはまります。 私たちは、悪意のあるエージェントがサイバー世界の影でこそこそと動き回り、欠陥が明らかになった瞬間に攻撃しようと待ち構えていると考えていますが、防御側も同様に、狡猾さと欺瞞の訓練を受けなければならないのです。

この考え方は、人気の高い「MITRE ATT&CK™」フレームワークの基礎となっています。Adversarial Tactics, Techniques and Common Knowledgeの略で、サイバーセキュリティチーム、脅威ハンター、レッドチームが攻撃者の思考と行動を監視するために、既知の敵対的戦術と技術を分類したデータベースです。この情報は、組織が緩和策とコントロールの優先順位を決め、侵害から迅速に回復するのに役立ち、時には敵を騙して罠にはめることさえあります。

CyberArkのグローバルセールスエンジニアであるホワイトハットハッカーのLen Noeは、「サイバー攻撃は単発ではなく、積み重ねである」「そこにないものはハックできない」といった格言のような話を、まるで孫子のように語っています。

今回は、Noeが随時ガイダンスを行い、MITRE ATT&CKフレームワークを活用し、2021年に米国最大級の燃料パイプラインを狙ったランサムウェア攻撃で使われたとされる具体的な戦術やテクニックのいくつかを検証します。この攻撃に関する公表された情報に基づくNoeの完全な分析は、このオンデマンドのAttack & Defendガイド体験で見ることができます。

過去に何が行われたかを理解することは、組織が次の侵入経路や最新の攻撃手段に対してより良い準備をするのに役立ちます。Noeが言うように、「ツールではなく、テクニックに対処する必要がある」のですから。

MITRE ATT&CKフレームワークを用いたランサムウェア攻撃の実態解明

攻撃フェーズ1 – 偵察

この初期段階において、攻撃者は攻撃目標に関する一般に入手可能な情報を調べ、Metasploitリスナーを起動して外部からの接続をモニタリングしました。攻撃者は、組織のIT管理者からの偽の電子メールで、ユーザーにPuTTYのバージョンをアップグレードするよう要求するアップデートを要求するなど、単純なフィッシング技術を採用しました。この「アップグレード」は、悪意のあるペイロードジェネレータ「MSFvenom」に感染し、標的となるマシンと攻撃者の間に「Call Home」を作り出しました。

攻撃フェーズ 2 – 初期アクセス

そこからユーザーのデスクトップに移動し、「AD Recon」ツールをアップロードしてActive Directoryの状況を把握し、企業の内部インフラをより深く理解することができたのです。高度なデータ偵察レポートを実行し、必要な情報を流出させた後、攻撃者は自分たちの活動の痕跡を削除し、発見されないようにしました。

このシナリオでは、攻撃者は最初の足がかりを得るために、MITREが定義したいくつかの異なるテクニックを使用しています。ソーシャルエンジニアリングやその他の技術によって得られた有効なアカウントへのアクセスを悪用し、IDを危険にさらしてより多くのアクセスを得るために認証情報をターゲットとした活発なフィッシングキャンペーンを行い、一般公開されているアプリケーションを悪用したのです。

攻撃フェーズ3 – 実行

最初の足がかりができると、攻撃者は出力ディレクトリを調べ、ドメインコントローラーの場所、IPアドレスとホスト名に関する情報を得ました。

ドメインコントローラは、攻撃者にとっての宝の山であり、適切に保護されていない場合、不正アクセスは組織に壊滅的な打撃を与える可能性があります。攻撃者は、Microsoft Windowsのデフォルト認証プロトコルであるKerberosの脆弱性を利用して、正当なユーザーを装い、ネットワークを通過し、ホストからホストに移動してデータを盗み、ランサムウェアを拡散し、様々な方法で大混乱を引き起こすことが可能です。

ドメインコントローラーにアクセスすることで、これらの攻撃者はOS標準ツールを実行してデュアルセッションをセットアップし、実質的に自分のコンピュータをシステム管理者と並行してセットアップすることが非常に簡単にできるようになりました。

Noe氏が指摘するように、Kerberosの実装プログラムを保護することは、権限のないユーザーがアクセスし、「ゴールデンチケット」や「パスザハッシュ」といった破壊的な攻撃を実行することを防ぐために重要です。それは、「違反を前提とする」考え方の重要性に帰結します。

攻撃フェーズ 4 – 粘り強さ

忍耐力や持続力は美徳とされることが多いですが、ランサムウェアの攻撃でも重要な鍵を握っているのです。攻撃者は、パラレル・アドミニストレータを確立すると、悪意のあるエージェントを使用してスケジュール・タスクを作成し、それが実行されると、自動的にコマンド&コントロール・サーバに連絡し、そのホストへの攻撃者のポータルを開いたままにしておくのです。

そこから、エクスプロイトやハッシュダンプ(基本的に、Hashcatのようなプログラムで読み取り可能な情報の塊)を実行することができました。その情報が読み取れ、並べ替えられるようになると(それには時間と粘り強さが必要ですが)、攻撃者はミッションに不可欠な管理者パスワードを特定することができました。

Noeはここで、システムロックを解除するための1つのキーセットを持つことを避け、システム間でのパスワードの再使用や複製を防ぐために、自動再生パスワードシステムの利用を推奨しています。ここでも、水平方向と垂直方向の移動をできるだけ制限することが重要です。

攻撃フェーズ5 – エスカレーション

このゲームの名前は、ほとんどの場合、特権の昇格です。攻撃者は、システムを操作するために、ハッシュダンプをクラックし、クレデンシャルを取り出し続けました。彼らは、様々なタイプのクレデンシャルに関する操作を行い、最終的に、この昇格したアクセス権を使用して、ランサムウェアのペイロードをダンプ(正確には、アップロード)する場所に移動しました。

攻撃フェーズ 6 – 回避

Noeが言うように、「最初のアクセスの後、攻撃者の第二の優先順位は防御回避だ」。検知されないようにすることが重要なのです。このあたりから、スパイ対スパイの様相を呈してきます。侵害されたシステムには(うまくいけば)秘密の防御メカニズムがあるが、敵対者は最善を尽くして忍び寄ろうとしているのだ。例えば、攻撃者は「クリーン」な状態を保つために、出力ディレクトリ、CSVファイル(カンマ区切り値)、パワースクリプトを削除し、侵害の兆候を削除する。このような回避的なテクニックは、ランサムウェア対策に重層的で深層的な防御のアプローチが必要であることを強調すると、Noeは指摘します。

攻撃フェーズ7 – クレデンシャルアクセス

このランサムウェアの攻撃は、これまでの多くの攻撃と同様、デスクトップのミラーリングやパスワードのハッシュダンプダイブをはるかに超えています。この攻撃は、機密データやシステムへの広範囲な管理アクセスを可能にする特権的な認証情報をターゲットとしていました。

だからこそ、最低限の権限をユーザーに付与する特権アクセス管理は、 レイヤードセキュリティのアプローチに不可欠であり、「何も信用せず、すべてを検証する」ゼロトラストの哲学に貢献するのだとNoeは強調する。

次の大規模な攻撃は、おそらくこのような形ではない

While the MITRE ATT&CKのフレームワークは確かに有用ですが、それは流動的なリソース、つまり出発点でなければなりません。攻撃者は常に革新的であり、それぞれの攻撃は独自の道を歩んでいます。バイオハッキングからランサムウェア・アズ・ア・サービスの革新的な技術まで、常に新しい技術が生まれていますが、時折、古い手口が復活することもあるのです。Noe氏は、「解凍時に実行されるJavascriptを含むファイルをZip圧縮する全く新しい方法を目にすることがあります。以前にもこのような手口はありましたが、攻撃者がこのような方法で圧縮ファイルを狙うのは久しぶりです」。

サイバーセキュリティの哲学者であるLen Noeの言葉を借りれば、プロアクティブであること、クリエイティブであること、攻撃者のように考えることが、サイバーセキュリティに必要なアプローチなのです。しかし、既知の事柄への取り組みと 未知の事柄への備えのバランスをどうとるかによって、攻撃者との戦いに勝つだけでなく、戦争に勝つこともできるのです。

]]>
2022年1月に発生したOkta社のデータ漏洩とCyberArkからの提言 https://www.cyberark.com/ja/blog/cyberarks-perspective-on-the-january-2022-okta-compromise/ Mon, 04 Apr 2022 14:58:02 +0000 https://www.cyberark.com/blog/2022%e5%b9%b41%e6%9c%88%e3%81%ab%e7%99%ba%e7%94%9f%e3%81%97%e3%81%9fokta%e7%a4%be%e3%81%ae%e3%83%87%e3%83%bc%e3%82%bf%e6%bc%8f%e6%b4%a9%e3%81%a8cyberark%e3%81%8b%e3%82%89%e3%81%ae%e6%8f%90%e8%a8%80/ CyberArk Perspectives on Okta Breach

IDおよびアクセス管理を提供する大手企業、Okta社が、2022年1月に委託先のサポートエンジニアのマシンがサイバー攻撃を受け、データが侵害されたことを公式声明で発表しました。この声明は、サイバー犯罪グループLapsus$により、同社のロゴがオンライン投稿されたことを受け、3月22日に発表されました。2021年以降、同犯罪グループによる攻撃が急増しています。

Okta社の侵害は、例外なくどの企業も攻撃対象となる可能性があり、絶対的な防御手段は存在しないことを改めて指摘しています。進化し続けているサイバー攻撃を、単独で阻止できる企業またはソリューションや技術は存在しません。サイバー攻撃を防御する関連者は、何らかの事態が発生した場合、オープンかつ迅速に連絡を取り合い、セキュリティは「チームプレー」であることを肝に銘じて、使命を共有してセキュリティを最優先するという考え方を、一丸となって推進する必要があります。

この侵害についてこれまでに判明していること、およびIDプロバイダー(IdP)が侵害された場合に講ずるべきいくつかの実際的なステップについて、以下をご覧ください。

Okta社侵害の概要

2022年1月、攻撃者がOkta社の委託先のサポートエンジニアのエンドポイントを侵害し、同社の顧客データにアクセスしました。侵害が直ちに認められたにもかかわらず、2022年3月22日にLapsus$が同社のロゴをオンライン投稿するまで、本件に関する公式声明は行われませんでした。この侵害により、シングルサインオンやID管理にOkta社を利用している顧客が影響を受けた可能性があります。

Lapsus$は、大企業への攻撃や意表な手口により、にわかに注目を集めているサイバー攻撃グループです。
犯罪動機や被害の全容はまだ明らかになっていませんが、2つのことが明らかです。つまり、ID漏洩が主な発端であること、および意図された標的が関連の主要なテクノロジー企業だけがではないことです。
Okta社の侵害に関して、Lapsus$は、実際には同社の顧客が標的であったことを明言しています

お客様のIDプロバイダーが侵害されている、またはその疑いがある場合、直ぐに講じるべき4つのステップ

サイバー攻撃が急増し続ける中、すべての組織が事前に侵害を想定してシステムを強化し、攻撃の可能性に備えることが急務となっています。お客様の会社組織が直接攻撃を受ける、あるいは委託先のプロバイダーが第一の標的になる可能性があります。

IDプロバイダーをTier0アセットとして扱い、適切な保護を講じる必要があります。
お客様の会社組織のIDプロバイダーが侵害された場合またはその疑いがある場合、以下の4つのステップを直ちに実行して、データ漏洩と影響を最低限に抑える必要があります。

ステップ 1:報告された攻撃日以降に行われた設定変更を精査。設定変更を行い、認証フロー全体を切り替えるだけでは、攻撃者のアクセスを完全に阻止することはできません。
以下のような変更には注意が必要です:

  • MFAデバイスの新規導入やデバイス変更
  • MFAの設定変更:例えば、攻撃者がIDとユーザーパスワードを侵害して、特定のアプリのMFAを無効化して、アプリにフルアクセスしている可能性があります。
  • IDプロバイダー(IdP)の設定変更:攻撃者がURI(SSOソリューションとIdP間の接続)および関連する設定が変更されている場合、ユーザーパスワードを変更しても、攻撃者が自由にアプリケーションやサービスにアクセスしている可能性があります。
  • 特に特権アカウントや管理者アカウントのパスワードおよびMFAのリセット試行。
    すべてのパスワードのリセット試行が疑わしいと想定して、すべてのパスワードをリセット。
  • アクセス許可とロール変更および新規ユーザーの作成。
    IdPのソリューションが、例外的なアクセスに基づいてリスクベースのアクセスおよびリスクスコアリングを提供している場合、システムの高リスクなイベントと高リスクなユーザを査定してください。例外的なアクセスにより、これらのイベントが引き起こされる可能性があります。例えば、普段とは異なるIP、ロケーション、デバイスによるアクセスなどです。
    また、アプリケーション自体の変更にも注意することが重要です。アプリに直接ログインできるアプリケーションにシャドウ管理者が作成されている場合、それを見つけ出すことは極めて困難といえます。お客様の会社組織でIGA(IDガバナンス・管理)プラットフォームが使用されている場合、その認証性能をチェックする絶好の機会です。

ステップ2:認識されていないまたは不正なアプリケーションを突き止める。SSOプラットフォームにアクセスできる攻撃者が、正規のアプリケーションのように見せかけて、悪意のあるアプリを追加または既存のアプリを置き換える可能性があります。
新しいアプリケーションが追加されている場合、ガバナンスプロセスを有効にする必要があります(承認プロセスや複数の管理者への通知など)。
悪意のあるアプリが、ユーザー同意後に割り当てられたアクセス許可を悪用する可能性があります。
例えば、悪意のあるアプリケーションが、Outlookメールの読み取りやクラウドベースのストレージへのアクセスを要求してくる場合があります。

ステップ3:犯罪者がアプリやサービスへのアクセストークンを獲得して、アクセス許可を悪用および被害を与える可能性を、最小特を適用することで、最小限に抑えことができます。ジャストインタイムアクセスや動的な特権昇格機能の導入を検討し、常時アクセスを排除およびエンドポイントからローカル管理者を削除するなど、基本的な最小特権を見直してください。またこれには、重要なアプリへのアクセスに関して、最高レベルの認証保証レベル(AAL3)に準拠したMFAポリシーの導入が含まれます。

ステップ4:特定のデバイスおよびマネージドデバイスにのみ機密アプリケーションへのアクセスを許可して、未知のデバイスからのアプリケーションへのアクセスを制限できます。
また、最小特権管理プラクティスを順守する必要があります。これには、RDPやリモートアクセスをヘルプデスクのみに制限、特権アクセス管理ソリューション(PAM)、ベンダー特権アクセス、管理サブネットなどが含まれます。

セキュリティ最優先を推進

今日の脅威の状況において必要なのは、セキュリティ最優先のマインドセットを共有し、一丸となって取り組むことです。CyberArkは、セキュリティパートナーや関係者と連携して、最も重要な資産を攻撃から保護する使命を果たしていきます。

CyberArkは、脅威の状況の変化を常に監視し、新たな情報が明らかになり次第、皆様にお知らせしています。
詳細については、4月6日に開催されるウェビナー(英語)にご参加ください。

CyberArkは、サイバーセキュリティ体制を継続的に強化しています。詳しくは、CyberArk Trust Centerをご覧ください。

]]>
SSOがIDセキュリティを強化する4つの理由 https://www.cyberark.com/ja/blog/four-reasons-to-strengthen-identity-security-with-sso/ Mon, 14 Jun 2021 14:42:41 +0000 https://www.cyberark.com/blog/four-reasons-to-strengthen-identity-security-with-sso/ Strengthen Identity Security with SSO

従来のセキュリティ境界線が消失している」ことは、今や広く認知されています。このため、計画を前倒ししてより早くセキュリティアプローチを展開することが、多くの企業にとって急務となっています。

従来のファイアウォールやVPNベースのセキュリティモデルは、現在の極度に分散化されたIT環境を保護するために構築されたものではありません。クラウドおよびハイブリッドインフラの導入に伴い、SaaSアプリケーションの数や種類が増え、従業員のリモートワークも促進されているため、IDが唯一の真の境界であることは明らかです。ネットワーク境界の内外を問わず、すべての人、アプリケーション、マシンに紐付けられているIDの安全な管理および認証により、特権アクセスを制御することで、有効なサイバーセキュリティがもたらされます。今日のIT環境では、アクセスするシステム、環境、アプリケーション、データ、または実行するオペレーションの種類に関して、一定の条件を満たせば、どのようなIDにも特権が付与されます。

パスワードの問題点

組織の最も重要なデータやインフラへ広範にアクセスできる、特権ユーザーの認証情報が、何よりもまずサイバー犯罪者に狙われているのは当然のことといえます。2020 Verizon DBIRレポートによると、紛失または盗まれた認証情報の悪用およびブルートフォース攻撃が、ハッキングやデータ侵害の80%以上を占めています。攻撃者は、漏えいした特権認証情報を基にして、社内のリソースへアクセスして機密データを手に入れて、ビジネスを混乱させています。しかしながら、多くの組織がユーザー認証情報の保護を未だにパスワードに頼り続けています。パスワードには、さまざまな理由で問題点があります。

毎日3億を超える不正なサインインがMicrosoftのサービスに試みられているにもかかわらず、53%のユーザーが過去12ヵ月間にパスワードを変更していません。たとえ変更されていても、新しいパスワードが脆弱であったり、同じパスワードが複数のサイトで使用されている可能性が高いです。実際、Googleの調査により、52%のユーザーが同じパスワードを複数のアカウントで使用していることがわかっています。

多くの組織が、各アカウントに対して異なるパスワードの使用を義務化し、パスワード変更の頻繁な変更を要求し、複雑なパスワードポリシーを実施するなど、ID保護対策を講じていますが、このような対策は、リスクのあるパスワード利用(パスワードをメモ書きしてファイルに保存するなど)をエンドユーザに促したり、ITチームに余計な手間がかかるアクセス管理を強いるため、実際には良い結果をもたらさず逆効果になる可能性があります。

パスワードを覚えて毎回入力したり、忘れた場合にリセットすることを何回も繰り返していると、それが大きな負担となり生産性の低下につながります。特にリモートワークが一般化している今、従業員やサードパーティベンダーは、共同作業や企業リソースへのアクセスにアプリケーションを多用しています。今日の典型的な従業員は、パスワードの入力やリセットに毎週約12.6分の時間を費やしています。PwCの調査によると、ヘルプデスクへの問い合わせのおよそ30%がパスワードに関連しており、貴重なITリソースがより戦略的な取り組みに費やす時間を削られていることがわかっています。パスワード使用に伴う生産性コストを単純計算すると、従業員1人当たり年間約725ドルとなります。

SSOをセキュリティツールキットに今すぐ追加すべき4つの理由

シングルサインオン(SSO)により、以下を実施することで、まん延しているパスワード問題を解決して、攻撃対象を減らすことができます。

1. より強力なパスワードポリシーの一貫した適用により、個々のパスワードの必要性を完全に排除して、不適切なパスワード利用によるリスクを軽減。SSOにより、すべてのアプリケーション、エンドポイント、リソースに対して、単一の安全なIDを利用できます。

2. エンドユーザー環境の強化により、ローカルおよびリモートユーザーの両方が割り当てられたクラウドやオンプレミスのアプリケーションにワンクリックでアクセス。従業員の生産性を維持して、ビジネスのスピードに合わせて業務を進めるために、高リスクの特権アクセス要求に対してのみ追加のセキュリティ制御が必要なSSOソリューションもあります。

3. サイロを解消してユーザーおよびアカウント管理を簡素化する、シームレスなディレクトリ統合。

4. ユーザーのアクセス活動を包括的に可視化– アクセスに関するコンプライアンス要件を満たし、レポート作成を簡素化し、全体的なセキュリティ体制の改善をサポート。

SSOソリューションはそれぞれ異なる

SSOがもたらす即効的なメリットは明らかです。IDセキュリティ管理を強化することで、リスクを軽減してユーザー環境を強化し、企業リソースへのアクセスを簡素化すると同時に、IT部門の負担を緩和できます。

SSOソリューションの初期検討中にはしばしば見落とされがちですが、導入後にその他多くの付加的な長期にわたるメリットを実現できます。例えば、セルフサービスツールを適切に構成することで、パスワード関連のヘルプデスクチケットや問い合わせを減らして、ITコストを大幅に削減できます。またSSOにより、従業員の異動や退職後もアカウントがアクティブな状態で放置される可能性をなくせます。適切なSSOソリューションを選定することで、セキュリティ機能をパスワードだけでなく、多要素認証(MFA)やパスワードレス認証方法にまで拡張させることができます。

オンデマンドウェビナー「シングルサインオンソリューションによるメリットの拡大」にご参加ください。最新のSSOのメリットおよび最適なソリューション選定に役立つ重要な検討事項をご確認いただけます。

 

 

 

 

]]>
パスワードによる板挟み:パスワードがITヘルプデスク管理者のジレンマに https://www.cyberark.com/ja/blog/between-a-rock-and-a-hard-place-the-it-help-desk-managers-password-dilemma/ Thu, 10 Jun 2021 16:52:46 +0000 https://www.cyberark.com/blog/%e3%83%91%e3%82%b9%e3%83%af%e3%83%bc%e3%83%89%e3%81%ab%e3%82%88%e3%82%8b%e6%9d%bf%e6%8c%9f%e3%81%bf%ef%bc%9a%e3%83%91%e3%82%b9%e3%83%af%e3%83%bc%e3%83%89%e3%81%8cit%e3%83%98%e3%83%ab%e3%83%97%e3%83%87/ IT Help Desk Password Support

サタデーナイトライブの往年のファンであれば、2000年代の初めにジミー・ファロンが演じた人気キャラクター、ニック・バーンズ(貴社のコンピュータ担当者」)を覚えているに違いありません。

いくつものポケベルを腰にぶら下げたたニックが、トラブル解決に駆けつけて、コンピュータにまつわるジョークを飛ばしながら、些細な問題を解決できない社員を皮肉り、「モォー」というお決まりの一言を発して、社員のトラブルに割って入り、あっという間に問題を解決して、「これって難しいこと?」という決め台詞で笑いを誘いました。

ニックの仕事は、今日のITヘルプデスク管理者のビジネスクリティカルな任務とはかけ離れているものの、サポートの要求に奔走する姿に共感するITヘルプデスク管理者は多いはずです。また、どんなに冷静な性格であっても、同じ問題が何回も繰り返し起これば、苛立ちを隠せないはずです。ほとんどの場合、パスワードが今日の問題の発端といえます。

「一度には無理、僕の頭は外付けハードにつながれていないからね!」


Outlook 6.0や32ビットプロセッサ搭載LC-475 Macの時代はとうに過ぎ去りましたが、パスワードは20年経った今でもユーザー認証に利用され続けています。

デジタルイノベーションが加速する中、多くの企業が目まぐるしいスピードで新しい技術を採用しています。新たなアプリケーションやツールを導入すると、それぞれに固有のパスワード管理が必要となり、また複雑さやローテションの頻度が増すため、新しいIDのサイロ化が助長されます。

ユーザー側は新しいシステムに対する認証が繰り返し求められ、また多くの複雑な個別のパスワードを覚えて使用することに課題が生じています。これにより、ヘルプデスク担当者の頭痛の種が増します。ユーザーのプロビジョニングだけでなく、何百、何千もの企業アカウントを担当して、常時パスワードのリセット要求に対応し、アカウントをロックアウトする必要があります。

このようなパスワード問題を、いくつかの業界の推定値と簡単な式で数値化できます。

  • パスワードのリセットに要するヘルプデスクの「全体」コストは、40~50米ドルです。ここでは平均値45米ドルをあてはめます。
  • コロナ禍による在宅勤務が普及する以前、各企業のユーザーは、パスワード関連のトラブルをヘルプデスクに年間6~10回は問い合わせていたと推定されます。261日×8時間作業日(2,088時間)中に8回(平均値)の問い合わせがあったとすると、261時間作業日内に1回の割合で、パスワードのトラブルをヘルプデスクが受け付けていたことになります。
  • リモートワークへのシフトが一般化して以来、米国のナレッジワーカーの典型的な1日の勤務時間が8時間から11時間に増えているとみなされています。つまり、261日×11時間作業日=合計2,871時間(勤務時間)となり、以前の「通常」の勤務時間(2,088時間)よりも783時間増えているといえます。つまり、パスワード関連のヘルプデスクへの問い合わせが1人あたり3件増えていることになります。
  • CyberArkは、このデータに基づき、従業員1,000人の大企業の場合、年間495,000米ドルがパスワードの課題解決に費やされていると推定しています(1人あたり11件のパスワード関連のヘルプデスクへの問い合わせ x 1件あたり45米ドルのコスト x 1,000ユーザー)

ITヘルプデスク管理者は、戦略的なビジネスへの取り組みに注力するどころではありません。時間とリソースがすでに制約されている中、パスワード問題に対処してサービスレベルアグリーメント(SLA)を満たし、エンドユーザーの不満に対処するために、さらに長時間のシフトを組む必要に追い込まれています。

「パスワードがワンちゃんの名前って…..モオー!」


強力なパスワードを避ける傾向は、今も昔も変わりません。多くの場合、極めてシンプルで一般的なパスワードが使いまわしされています。実際、従業員は平均して16の業務アカウントに同じパスワードを利用しています。この問題を解決するのに、パスワード管理ソフトが役立つように思われますが、このアプローチにはリスクがあります。パスワード管理ソフトは、機密リソースおよびアクセスするユーザーを特定して、アクセス時間を管理することはできません。

攻撃者は、多くの企業がさまざまなシステムやツールへのアクセス保護を、単独の検証方法(単一の認証情報セットなど)に頼り続けていることを見抜いています。これがシングルサインオンと組み合わせて使用されている場合、多くのシステムやアプリケーションへの広範なアクセスが許可されるため、特に危険です。

攻撃者は、たったひとつの企業IDの認証情報を盗み取るだけで、価値の高いリソースに向けて特権を昇格させていく、足がかりを築くことができます。今日、すべての侵害の67%が、認証情報の盗難(盗み出したパスワードや脆弱なパスワードを利用)およびソーシャル攻撃によって引き起こされています。

また、ITチームがセキュリティを目的として、より強力な認証手段を導入しても、従業員がアクセス制御を回避する巧みな方法を探し出したり、生産性を維持するために企業が承認したシステムやアプリケーションをまったく使用していないといったケースもしばしば見かけられます。

ITサービス管理専門家の84%が、今後3年間のうちにIT業界で働くことがさらに難しくなると考えています。これには納得できる理由があります。つまり、「石(すべてのシステムおよびデータを可能な限り安全に維持すること)」と「堅い場所(チームの生産性を維持すること)」の板挟みで身動きが取れなくなっています。

パスワードのリセットではなく……パスワードの排除を検討

パスワードレス認証方法などのソリューションを統合したゼロトラストセキュリティモデルを採用することで、ITセキュリティとヘルプデスクのチームが、先を見据えて、適切なバランスを取りながら、アクセス制御を軌道に戻すことができます。

クラウドベースのシングルサインオン(SSO)アダプティブ多要素認証(MFA)を組み合わせることで、まん延しているパスワード問題を解決して、ユーザーの本人確認を行いながら、アクセスを合理化して、必要なすべてのリソースへの対応を迅速に行うことができます。

リスクベースのアクセスには、多少のインテリジェンスとコンテキストが必要です。機械学習およびコンテキストシグナル(ユーザーデータ、デバイスデータ、アクティビティデータなど)を使用することで、過去のパターンに照らして合わせてアクセス要求を自動的に分析して、各ログイン試行にリスクを割り当て、異常な行動でトリガーするアクセスポリシーを作成するなどです。

これに加えて、セルフサービス機能を従業員に提供して、ヘルプデスクの作業負荷を軽減し、時間のかかるタスクを自動化することで、ITチームがビジネスオペレーションや収益を維持する作業に取り組み直して効率を高めることができます。

ニック・バーンズのお決まりのセリフを拝借して最後に一言、「みなさん…どういたしまして!」

]]>
2021年サイバーセキュリティ動向:パーソナライズ攻撃チェーンに要注意 https://www.cyberark.com/ja/blog/2021-cybersecurity-trends-the-emergence-of-the-personalized-attack-chain/ Thu, 17 Dec 2020 03:44:21 +0000 https://www.cyberark.com/blog/2021%e5%b9%b4%e3%82%b5%e3%82%a4%e3%83%90%e3%83%bc%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3%e5%8b%95%e5%90%91%ef%bc%9a%e3%83%91%e3%83%bc%e3%82%bd%e3%83%8a%e3%83%a9%e3%82%a4%e3%82%ba/ Cybersecurity Trends 2021

不遇の年といえる2020年を顧みずに、2012年を予想することは難しいことです。歴史に記される2020年の主な出来事は、言うまでもなく、新型コロナウイルスの世界的な大流行および米国大統領選です。ビジネスの観点からは、感染拡大が組織の運営手段をほぼ全面的に変容させています。リモートワークへの急速なシフトにより、ビジネス界は顧客動向のあらゆる側面を完全に見直して方向変換することを余儀なくされています。

また、これらの変化は、全業界にわたって、デジタル・イニシアチブを劇的に加速させています。生産性と事業の継続性を向上させる技術を多くの企業がいち早く採用し、5年分にあたるビジネス・トランスフォーメーションがわずか5ヶ月で成されています。新しいコラボレーション・ツールの導入、重要なインフラやアプリケーションのクラウドへの移行など、あらゆるものがさらに分散化され、その結果として、サイバー攻撃にさらされるリスクも大幅に高まっています。

2021年を展望するにあたり、想定をはるかに上回る外力や事象がどのように収束して、今後12ヶ月のサイバーセキュリティにどのような影響を及ぼすのか見てみましょう。

弊社の社内専門家は、以下を指摘しています。

攻撃者の標的がセキュリティの孤立化にシフト

さらに長期的なリモートワーク方針を検討する企業が増える中、IT環境の分散化が引き続き拡大していきます。多くの在宅勤務者が、安全とはいえないホームネットワークや個人のデバイスを介して、企業のシステムやリソースに日々アクセスしています。各々のユーザーが孤立化されている現在の環境では、従来のセキュリティ管理は効果を発揮しません。企業セキュリティにおいて、個人の行動がこれまで以上に脅威となっています。

セキュリティの孤立化に伴い、攻撃サイクルに変化がみられます。つまり、広範な「運任せで乱射する」ソーシャルエンジニアリング攻撃から、機密性の高いシステム、データ、インフラストラクチャの特権的なアクセスを持つユーザーを標的とした、より高度なパーソナライズ攻撃へのシフトが考えられます。

攻撃者は一般的に水平移動してデータを侵害します。つまり、何らかの足場を作ってアクセス権を昇格させて、ネットワーク全体にわたって移動しながら標的に到達します。しかし、ネットワークの孤立化により、高レベルのアクセス権が許可されている特定の標的に対する攻撃が限られてきています。その結果、攻撃が個人を標的とした垂直移動へシフトするものと予想されます。標的に含まれるのは、管理コンソールや財務記録および競合データへのアクセス権を持つビジネス・ユーザーなどです。

この新しい「パーソナライズ攻撃チェーン」は、攻撃対象を適確に特定してプロファイリングする必要があるため、より多くの時間とコストが必要ですが、攻撃サイクルが短くなるため、ビジネスに影響が及ぼされる前に攻撃を特定して阻止することがさらに難しくなります。

-レッドチームサービス責任者、シェイ・ナハリ

ディープフェイクを利用したサイバー攻撃

合成メディアが新たな脅威になる可能性はあるのでしょうか? ディープフェイク動画は、パーソナル攻撃に今後も使われる手段の一例です。

ディープフェイクとは、既存の動画に偽物を重ね合わせて本物そっくりに合成したニセ動画です。世間一般的には、世論に影響を及ぼしたり、評判を傷つけるなど、ディープフェイクの悪い面がニュースで話題となっています。ディープフェイク動画による攻撃は大げさに取り上げられますが、それほど多くの成果はみられていません。

しかしながら、パーソナル攻撃チェーンの傾向が進むことに従って、ディープフェイクの悪用はさらに増すと予想されます。ただし、大きな混乱を引き起こすことではなく、ソーシャルエンジニアリング攻撃に拍車をかけることが目的といえます。

例えば、経営陣やビジネスリーダーのビデオや録画は、マーケティング資料やソーシャルメディアのチャンネルなどから容易に入手できます。攻撃者は、これらのメディアを合成しています。ニセ動画はフィッシング詐欺に続く攻撃戦略です。つまり、メールによる詐欺の手口がチャットやコラボレーション・アプリなどの他のプラットフォームへシフトしています。特に、上級管理者とリモート従業員のコミュニケーション手段として、ビデオを利用する組織が増えている現在、攻撃者がニセ動画を信じ込ませて不正リンクをクリックさせる手口が増えています。

例えば、IT部門になりすまして、パスワードを要求するフィッシングメールはよくある手口ですが、そのメールにCEOの緊急メッセージへのWhatsAppリンクが貼り付けられていたらどうでしょう。攻撃者がソーシャルチャネルの経営幹部の動画を合成して、ニセ動画を得意先、従業員、パートナーなどに送り付けて不正リンクをクリックさせるなど、新たな攻撃手段が広がっています。

-CyberArkラボ、Cyberリサーチ・チーム・リーダー、ニール・チャコ

5Gがこれまでに最大規模のDDoS攻撃の引き金になる

5G、IoT、クラウドなどの技術採用が、ビジネスの新天地を切り拓いていくことは明らかであり、このトレンドは2021年になっても変わりません。特に5Gについては、企業がデジタルトランスフォーメーションをスピードアップし、ダイナミックなカスタマー・エクスペリエンスを創出できる一方で、攻撃対象範囲を急激に拡大させます。より多くの相互接続デバイスをオンラインで利用できるようにすることで、組織は新たなリスクにさらされます。

Google社は先般、2017年に2.5Tbpsの大規模なDDoS攻撃を受けたことを明らかにしました。これは過去最大規模の攻撃であり、2018年にAmazonを標的にした2.3Tbpsの攻撃をさらに上回っています。これらの攻撃は、60万を超えるIoTデバイスとエンドポイントを侵害した2016年の大規模なMiraiボットネット攻撃の4倍の規模でした。

5Gが世界中で普及すると、これらの攻撃をさらに凌駕する、より大規模でより頻繁なDDoS攻撃が現実となります。5Gが利用可能な帯域幅をさらに広げることで、大量のIoTデバイスの接続が可能になりますが、IoTのセキュリティ標準はまだ存在しておらず、多くの場合、ボットネット攻撃の脅威に安易にさらされます。

このような状況において、今後1年以内にかつてない5Tbps DDoS攻撃が仕掛けられることが予想されます。GoogleやAmazonを襲った2Tbps攻撃がより一般的なものになると、オンラインやコネクテッドビジネスに大規模な混乱が引き起されます。

-コンサルティングサービス担当ディレクター、ブライアン・マーフィー

コロナ禍における圧力が内部脅威を生み出す

今般のコロナウイルス感染拡大により、従業員やその家族は多大な負担を強いられています。不確実な経済状況、リモートワーク、オンライン授業など、多くの人たちがかつてなかったストレスや不安を抱えています。この新たな苦難は、従業員がサイバーセキュリティを悪用する引き金となる要因を生み出しており、新たな内部脅威につながる可能性があります。

前述のように2020年には、攻撃者が特権アクセスを持つ従業員を金銭面で誘惑して認証情報と引き換えに賄賂を渡したり、「偶発を装って」漏洩させるケースが増え、また特権アクセスがこれまで以上に闇ウェブに出回ることが予想されます。攻撃者が企業のネットワーク、VPN、ワークステーションへの特権アクセスを特別料金で買い取っているという情報を明らかにしているレポートもあります。

経済的な不安が高まる中、金銭的な見返りで誘惑する新たな脅威にさらされる可能性があります。

-テクニカルディレクター デビッド・ヒギンズ

]]>
VPNをリモートワーカーが利用する場合の5つのシンプルなルール https://www.cyberark.com/ja/blog/five-simple-rules-for-implementing-vpn-for-the-remote-workforce/ Fri, 16 Oct 2020 19:37:51 +0000 https://www.cyberark.com/blog/vpn%e3%82%92%e3%83%aa%e3%83%a2%e3%83%bc%e3%83%88%e3%83%af%e3%83%bc%e3%82%ab%e3%83%bc%e3%81%8c%e5%88%a9%e7%94%a8%e3%81%99%e3%82%8b%e5%a0%b4%e5%90%88%e3%81%ae5%e3%81%a4%e3%81%ae%e3%82%b7%e3%83%b3/

多くの従業員の日常業務が、以前とは大きく様変わりしています。コーヒーを片手に自宅のワークスペースから仮想プライベートネットワーク(VPN)に接続して企業のリソースやアプリケーションにアクセスすることから1日の仕事がスタートします。

VPNは、安全なリモートアクセスを提供するために、最も時間をかけて試行錯誤されてきた手段の1つです。しかしながら、適切に実装および保守されていなければ、攻撃のリスクにさらされます。攻撃者が脆弱性を見つけ出し、機密システムやデータへの特権アクセスを盗み取る可能性があります。実際、一部の組織では、VPNやエージェントを必要としないリモートワーカーの新しい接続方法を採用して、操作やユーザーワークフローの合理化に役立てています。

VPNを使用している場合、VPNスタックの適切なパッチ適用、適切な暗号化の使用、継続的なトラフィックパターンと使用状況の監視が必要です。さらに重要なのは、VPNにログオンするユーザーの高度なレベルでの保護、デバイスの検証、および関連する特権やアクセス権が最小特権の原則に沿ったものであることを確認することです……これは、信頼せずにすべてを検証するゼロトラストセキュリティのコンセプトと似通っている部分があります。

image 1

ここでは、ゼロトラストセキュリティの3つの柱に基づいて、VPNをリモートワーカーが利用する際に考慮すべき5つのベストプラクティス(原則)を紹介します。

原則 1:ユーザーの検証VPNソリューションがRADIUSおよび/またはSAMLによる多要素認証(MFA)をサポートしていることを確認してください。

大半のVPNソリューションが、VPNのタイプ(サイト間、リモートユーザ)に応じて、さまざまなタイプの認証メカニズムをサポートしています。RADIUSは、MFAをサポートする1つのタイプです。VPNサーバがRADIUSサーバに対するRADIUSクライアントとなり、これにより多要素認証を実行できます。例えば、CyberArk Idaptiveコネクタソフトウェアは、RADIUSサーバならびにADプロキシの機能を果たすことができます。これにより、AD認証ならびにモバイル認証機能、OATH OTP、メール形式の二次認証要素が実行されます。

下の図は、RADIUSクライアントとRADIUSサーバとして機能するCyberArk Idaptive Connector間のRADIUSベースの認証に関連するステップを示しています。

image 3

認証のためにVPNを外部IDPと統合するもう1つの方法として、SAMLが使用さます。すべてのVPNベンダーがサポートしているわけではありませんが、サポートされている場合は、デスクトップVPNクライアントをエンドポイントにインストールする必要はありません。下の図は、これがPalo Alto NetworkのGlobal Protectソリューションでどのように機能するのかを示しています。

image 4

VPNソリューションをお探しの場合、以下を改めて確認してください:

  1. MFAに対応しているか否か?
  2. エンドポイントにVPNクライアントをインストールする必要があるか否か?インストールが必要な場合、どのような認証メカニズムをサポートしているのか?例えば、一部の認証メカニズムでは、検証のために認証プロバイダー(AP)に直接プッシュされます。また、エンドユーザーがVPNライアントに接続してコード(例: OATH OTPコード)を入力して検証のためにAPに送信する場合もあります。
  3. SAMLなどのクライアントレスVPN認証メカニズムをサポートしているか否か?サポートされている場合、IT管理者が各クライアントに適正バージョンがインストールされていることを確認する必要がなく、安全な方法で幅広い範囲のエンドポイントを網羅できます。一部のクライアント(CiscoのAnyconnectが一例)は、組み込みブラウザをサポートしているため、SAMLをサポートできます。

原則 2:アクセス制限:RADIUSサーバーが特定の属性でアクセスと認証を制限できることを確認。

複数のタイプのアクセスに対してユーザーを許可する場合、ベンダー固有の属性が必要です。例えば、ユーザーのロールに基づいて、特定の権限レベルを付与してアクセスを制限できます。VSAは、RADIUSで定義された属性と組み合わせて使用できます。例えば、このリンクには、CiscosのVSAが示されています。

原則 3:ユーザーの検証:認証プロバイダー(弊社の場合は、CyberArk Idaptive)のソリューションは、異種のVPN環境をサポートすることができます。

認証とアクセス制御のプロトコルサポートが組み合わされた、複数のVPNベンダーが使用されている場合が多いはずです。RADIUSサーバ/IDPは、異なる認証プロファイルをサポートする必要があります(すなわち、異なるVPNサーバ/RADIUSクライアント)。例えば、VPNサーバーからより機密性の高いタイプのリソースにアクセスする場合、重要度の低いリソースを扱う別のVPNサーバーの認証プロファイルに比べて、より強力な認証を備えた認証プロファイルを適用できます。

原則 4インテリジェントなアクセス制限:IDPは、適応性のある、リスク指向のソリューションを提供します。

単一のVPNサーバであっても、認証プロバイダーは、ユーザの異常な行動を検出する方法を提供し、ユーザのリスクに基づいて、異なる課題に対応する必要があります。これは、すべてではないにしてもほとんどの従業員が将来的にリモートで働く可能性があるという現在のシナリオでは特に重要です。

原則 5デバイスの検証:エンドポイント自体はMFAと条件付きアクセスで保護されます。

ユーザーがリモートで私物デバイスを使用(BYOD)していると考えられる場合、デバイスへのログインの一部として、MFAによって検証されたユーザーにのみデバイスへのアクセスを許可することが重要です。

image 5

リモートワークの保護について詳しくは、リスクディスタンシングリソースセンターをご覧ください。.

]]>
エンドポイントの保護にデスクトップMFAが不可欠な理由 https://www.cyberark.com/ja/blog/why-desktop-mfa-is-essential-to-your-endpoint-security/ Fri, 16 Oct 2020 19:37:39 +0000 https://www.cyberark.com/blog/%e3%82%a8%e3%83%b3%e3%83%89%e3%83%9d%e3%82%a4%e3%83%b3%e3%83%88%e3%81%ae%e4%bf%9d%e8%ad%b7%e3%81%ab%e3%83%87%e3%82%b9%e3%82%af%e3%83%88%e3%83%83%e3%83%97mfa%e3%81%8c%e4%b8%8d%e5%8f%af%e6%ac%a0/ 従業員の業務用ノートパソコンは、攻撃者にとって宝の山になる可能性があります。

特に強力な多要素認証(MFA)ポリシーが実装されていない場合、ノートパソコンで使用するアプリの多くが、認証情報の入力を必要としません。アプリのパスワードが自動的にブラウザにキャッシュされている場合もあります。これもまた、認証情報盗難の格好のターゲットになります。貴社が利便性のために証明書ベースの認証やiIWAを利用している場合、信頼できるデバイスから、認証入力なしで、ほとんどのアプリを直接利用できます。中規模の企業でも100以上のSaaSアプリケーションが使用されている可能性を考慮すると、これらのアプリケーションのいくつかに不正アクセスされた場合に大きな被害が引き起こされます。

世界中でクラウドストレージへの移行が進んでいます。一部の従業員は、重要な機密ファイルのコピーをOne Drive、Box、Dropboxに保存しているはずです。移動中にクラウドにアクセスできない営業担当者などは、セールス候補者、財務情報、パートナー情報、コード、企業秘密などの重要な情報を私物デバイスに保管している場合があります。この中には、パスワードが保存されているスプレッドシートも含まれている可能性があります。

機密性の高い企業データの他にも、住所、電話番号、電子メール、SSN、銀行口座情報、クレジットカードの詳細など、所有者の個人情報を含むファイルがノートパソコンに含まれている場合があります。これらの重要な財務記録が犯罪者の手に渡ると、個人情報の盗難に使用される可能性があります。

またOutlookなどのメーラーは、パソコン起動中は「常にネットワーク接続」されているため、常時危険にさらされています。各種サービスのパスワードリセット時に従業員のメールアドレスが使用されている場合が多く、雇用主に関する機密情報がメール内に含まれている場合がよくあります。ソーシャルエンジニアリング攻撃により、従業員のメールが盗み出されると、他の従業員の機密情報を入手するために悪用される可能性もあります。

つまり、たった1人の従業員のノートパソコン紛失により、重大な被害が引き起こされる可能性があります。強力な企業パスワードポリシーがない限り、パスワードは脆弱であり、基本的なブルートフォース攻撃さえも防止できない可能性が高いです。

社内の脅威もまた、保護されていないノートパソコンから、他の社員や上級管理職の重要な情報を盗み出したり、企業のシステムやデータへの特権アクセスを入手する隙を伺っています。社内の脅威による不正が多発しています。社内での悪用が特に危険なのは、数週間、数ヶ月、あるいは数年にわたって被害が発覚しないことです。
このため、業務用(および個人用)ノートパソコンには、起動画面およびロック画面で強力なMFAによる保護が絶対不可欠です。これを怠ると、貴社のデジタルセキュリティの危険な落とし穴となります。

このようなリスクを回避するために、CyberArk Idaptiveクラウドエージェントは、WindowsやmacOSデバイスの起動画面やロック画面で強力なMFAをサポートしています。

  • リスクベースのアダプティブMFA
  • WindowsサーバーへのRDP/RDSアクセスのMFAサポート
  • 認証入力に基づくセルフサービスのパスワード再設定により、ITヘルプデスクのサポートやコストを最小限に抑制
  • オフラインデバイスのMFAにより、WindowsやmacOSのデバイスが盗難された場合にデバイスの機能をロックおよび取り消し
  • OTP、SMS、メール、モバイルプッシュ、FIDO2キー(Yubikeyなど)などによる柔軟な認証要素。

今日のデジタルビジネス、特に多数の従業員がリモートワークに従事している現在、エンドポイントは重大なセキュリティリスクにさらされています。精通した攻撃者がエンドポイントの脆弱性を見つけ出し、機密情報を盗んだり、ITサービスに混乱を引き起こす可能性があります。徹底したエンドポイントセキュリティの防御アプローチにより、MFAから特権アクセス管理に至るまで、セキュリティ制御の強力な組み合わせを導入することで、全体的なセキュリティ体制を強化して、データ漏洩のリスクを減らすことができます。

リモートユーザー、エンドポイントおよび重要な資産の保護について、詳しくはリスクディスタンシングリソースセンターをご覧ください。

]]>
注意が必要な上位5のリモートユーザーのタイプ https://www.cyberark.com/ja/blog/5-types-of-remote-users-you-need-to-take-into-account/ Fri, 16 Oct 2020 19:37:28 +0000 https://www.cyberark.com/blog/%e6%b3%a8%e6%84%8f%e3%81%8c%e5%bf%85%e8%a6%81%e3%81%aa%e4%b8%8a%e4%bd%8d5%e3%81%ae%e3%83%aa%e3%83%a2%e3%83%bc%e3%83%88%e3%83%a6%e3%83%bc%e3%82%b6%e3%83%bc%e3%81%ae%e3%82%bf%e3%82%a4%e3%83%97/

ビジネス遂行において、ユーザーの物理的な居場所の重要性が薄れてきています。2019年の調査では、調査対象者の62%が、少なくとも一定の時間自宅で仕事を行っていることが判明しました。また、同調査では、少なくとも一定の時間リモートで仕事を行っている82%が、現状のリモートワークのレベルを維持するか、さらに増やすことを予定していると報告されています。さらに、リモートワークを行っていない半数以上(51%)が、今後リモートワークを始めることを希望しています。

ここで注意が必要なのは、これらの数字には、従業員と同じように業務に取り組んでいる外部委託業者の数が含まれていないことです。外部委託業者は、多くの場合、従業員と同じように重要なシステムへアクセスする必要があります。アクセスの柔軟性が増すと、その一方でセキュリティリスクが高まります。安全ではない非効率なアクセスプロビジョニングに頼っている企業も多く、また一般的には安全なアクセス提供をVPNに依存しています

また、各リモートワーカーに必要なアクセス権はそれぞれ異なります。メールやごく一部のビジネスアプリケーションへのアクセスのみが必要なユーザーいる一方で、給与計算、人事、営業マーケティングンのデータなど、重要なビジネスアプリケーションへのアクセスが必要なユーザーもいます。ヘルプデスクサポートが委託される外部のITサービスプロバイダーには、社内のITプロバイダーと同じように広範なアクセスが必要です。

ここでは、高度なアクセス権を必要とすることが多い上位5のリモートワーカーのタイプを例示します。CyberArk Aleroを特権アクセス管理(PAM)に利用することで、CyberArkが管理するクリティカルシステムへ安全かつ容易にアクセスしてプロビジョニングを実行できます。

1. リモートITまたはセキュリティ企業の従業員

これらのユーザーには、ドメインやネットワークの管理者など、通常は職場から重要な社内システムにアクセスしているが、現在はリモートでアクセスする必要がある従業員が含まれます。ITやセキュリティ担当者が企業のファイヤーウォールの外で作業すると、セキュリティ管理者の日常業務に支障をきたします。

IT部門やセキュリティ部門のリモート従業員に必要なアクセスレベルを正確に特定し、最小特権の原則に沿って、必要なアクセス権のみを許可することが重要です。これを効果的に行うには、アプリケーションへの細密なレベルでのアクセスが必要ですが、VPNなどの従来のソリューションは、これに対応できません。アクセス権の綿密な割り当ては、Windows管理者のルートアカウントへのアクセスなどの状況を避けることができるため重要です。

セキュリティツールとディレクトリサービスを統合して特定のアクセスを自動化するには、事前にセキュリティツールを設定しておく必要があります。

2. サードパーティのハードウェア/ソフトウェアベンダー

ITサービスプロバイダーやヘルプデスクサポート委託先を含む、ハードウェアやソフトウェアのサードパーティベンダーは、高度な権限を必要とするリモートサービスやメンテナンスを提供していることが多々あります。これらのタイプのベンダーは通常、WindowsやLinuxのサーバーやデータベース上で、パッチやシステム更新などのタスクを実行するために、管理者レベルのアクセスを必要とします。

このようなユーザーには実質上、ドメインレベルの管理者としてのアクセス権が与えられるため、適切な監視およびプロビジョニングを怠ると、IT環境に極めて多大な被害が引き起こされる可能性があります。しかし、これらのユーザを特定して、リモートベンダーアクセスを個々のレベルで管理するには通常、膨大な時間がかかるため、管理者がその場に応じて行っています。これらのユーザーをすべて特定して、適切なアクセス権が提供されていることを確認することが重要です。

3. サプライチェーンベンダー

製品の生産や配送のサポートが組織の主な業務ではない場合、それらをサプライチェーンベンダーに依頼するのが一般的です。このようなリモートユーザーは、小売業や製造業部門の在庫を監視するために、ネットワークにアクセスすることが多々あります。また、予測生産量、品質管理、その他の重要なシステムに関連する機密データへアクセスすることもできます。これらは、産業用制御システムや運用技術(ICS/OT)、またオンサイトのサプライチェーンプロセスに関連している可能性があります。

これらのベンダーには管理者の権限がないため、注意を怠っている場合があります。しかし、攻撃者によって悪用される可能性のあるアクセス権をサプライチェーンベンダーが使用していたり、不注意による誤用が深刻な問題につながる場合もあります。

4. サービス会社

法務、広報、給与計算など、部門別の業務を委託されているサービス会社は、効率的に業務を遂行するために、特定の業務アプリケーションへのアクセスが必要となる場合があります。このようなタイプのユーザーを特定して、最小特権の原則に沿って、不必要なアクセスや必要以上に長いアクセス時間を避けることが重要です。例えば、法務サービスを提供している会社に給与情報へのアクセス権が付与されているなど、実際には必要のないことが、リスクを高めている可能性があります。

カスタマーリレーションシップマネジメント(CRM)、エンタープライズリソースプランニング(ERP)、クラウドコンソールなどのビジネスクリティカルなアプリケーションは、ビジネスの継続性や運用にとって重要ですが、これらのアプリケーションに保存されているデータが悪用されると、極めて危険です。これらのアプリケーションへのアクセス権があるユーザーを特定することは非常に重要です。1つのビジネスアプリケーションから別のビジネスアプリケーションへの水平方向への移動を最小限に抑えることで、大規模なデータ侵害を阻止できます。

5. 外部コンサルタント

ビジネスコンサルタントやITコンサルタントは、請負プロジェクトの生産性を高めるために、特権アクセスを必要とする場合があります。ただし、アクセス権は契約期間中のみに限定する必要があります。このタイプのベンダーに付与されるアクセス権は、その性質上、一時的なものであり、多くの場合、業務遂行のために数日、数週間または数ヶ月間のみアクセスが必要です。しかし、その期間中、外部コンサルタントは業務の特定の領域へ広範囲にアクセスできる場合が多いです。

リスクを軽減し、ビジネスを保護するには、これらのコンサルタントの身元、必要なアクセスのタイプを早期に特定することが重要です。さらに、外部コンサルタントのアクセスが有効な期間中は、きめ細かな監視により、セキュリティを確保し、契約期間が終了すればすぐに自動的にデプロビジョニングする必要があります。

例えば、3週間のプロジェクトに参画したコンサルタントが、あまり良くない評判を受け、報酬が冷遇されたと感じていたとします。このコンサルタントが自動的にデプロビジョニングされていなければ、契約終了後も高レベルのアクセス権を使用できます。それが、逆恨み的な犯行に利用された場合、取り返しのつかない損害を被る可能性があります。あり得ないシナリオのように思われるかもしれませんが、これはアクセス昇格が定期的に監視および更新さていない場合に起こり得る被害を示す一例です。

日々のビジネス計画の一環として、リモートユーザーに依存する企業が増えている中、職場以外の場所でシステムにログインしている、さまざまなタイプのユーザーを把握しておくことが重要です。さらに重要なのは、そのアクセスを管理、監視、保護することです。

膨大な作業のように思われるかもしれませんが、SaaSベースのソリューションCyberArk Aleroは、CyberArkが管理するクリティカルシステムにアクセスするリモートユーザーに対して、安全なアクセスおよびプロビジョニングを提供します。VPN、エージェント、パスワードは不要で、多くのリモートユーザーに対して容易に展開することができます。

]]>
安全なリモートワークを実現するための7つのベストプラクティス https://www.cyberark.com/ja/blog/7-best-practices-for-securely-enabling-remote-work/ Tue, 06 Oct 2020 18:46:52 +0000 https://www.cyberark.com/blog/%e5%ae%89%e5%85%a8%e3%81%aa%e3%83%aa%e3%83%a2%e3%83%bc%e3%83%88%e3%83%af%e3%83%bc%e3%82%af%e3%82%92%e5%ae%9f%e7%8f%be%e3%81%99%e3%82%8b%e3%81%9f%e3%82%81%e3%81%ae7%e3%81%a4%e3%81%ae%e3%83%99%e3%82%b9/ Remote Work

Impact Live 2020では、リモートワークの時代に、強力なサイバーセキュリティ体制を維持するための戦略について、多くの時間を費やして意見を交わすことができました。今日の従業員ユーザーには、いつでもどこからでもビジネスシステムにアクセスして、効率的に業務を遂行する柔軟性が必要です。しかし、このような新しい働き方には、新たなセキュリティ上の課題が伴います。

ここでは、貴社の業務や確立されたビジネスプラクティスに悪影響を及ぼすことなく、リモートワーカーが生産性と安全性を維持できるようにするための7つのベストプラクティスを紹介します。

  1. シングルサインオン(SSO)および多要素認証(MFA.)の導入 SSOを使用することで、中心となるIDプロバイダーを活用して、ユーザー認証を管理し、単一のログイン認証情報セットにより、アプリケーションやリソースへのアクセスを許可することができます。これにより、より強力なパスワードポリシーでセキュリティを向上させ、従業員が業務に必要なすべてのリソースへシンプルにアクセスできるようにして、生産性を高めることができます。また、IT部門は、アクセスに関するコンプライアンス要件をより容易に満たすことができます。MFAにより、企業リソースを保護するレイヤーを追加できます。また、複数の認証入力をユーザーに要求して、確実な本人確認を行うことができます。例えば、ユーザーにパスワード(本人だけが知っている情報)の入力を要求したり、モバイルデバイスに送信されるワンタイムコード(本人だけが持っている情報)を返信してもらうことができます。MFAにより、アプリケーション、ワークステーション、仮想デスクトップ、VPNなどへのアクセスを保護できます。ユーザーが企業ネットワーク内から直接接続していない場合、盗まれた認証情報が保護されたリソースへのアクセスに悪用されないようにするために、MFAは不可欠です。.
  2. エンドポイントに最小特権の原則を適用して、重要なデータやアプリケーションを保護。エンドユーザや管理者に対して、必要最低限の特権アクセス(最小特権の原則)のみを提供することで、攻撃対象となる範囲を大幅に減らすことができます。ワークステーションから不要なローカル管理者権限を排除することが、これを実現する1つの方法です。これにより、エンドポイントを保護して、認証情報の漏洩を防ぎ、攻撃者の水平方向への移動を阻止できます。また、マルウェアやランサムウェアがIT環境に侵入して拡散されるリスクを減らすことができます。
  3. ワークステーションのRDPを狙った攻撃を阻止。リモート・デスクトップ・プロトコル(RDP)攻撃が多くの注目すべきデータ侵害の手段となっています(特にリモートワーカーが急増しているため)。セッションを分離することで、エンドポイント(従来ネットワークアクセスが最も脆弱なリンク)から重要なシステムが漏洩するリスクを減らすことができます。さらに、リアルタイムで分析される行動を含む、各セッションの自動記録を組み合わせることで、疑わしい行動が発生した場合、迅速に検出して対処することができます。
  4. VPNへの全体的な依存度を減らす。リモートワークの急増により、VPNの利用が大幅に増加しています。最近のCyberArkによる調査では、従業員の63%がVPNを使用して重要なビジネスシステムにアクセスしていると報告されています。VPNを介すことで、社内ネットワーク全体へアクセスできるため、VPNは以前から攻撃者の標的になっています。VPNには、重要なシステムやアプリケーションへのきめ細かなアクセスは設計されていません。また、設定に長時間要する場合があります。多くの場合、ツールのセットアップおよび運用に非常に多くの手作業が必要です。このため、セキュリティチームの本来の目的である、リスク軽減に対する取り組むがおろそかになります。
  5. アプリケーションの許可、ブロック、制限のいずれかのポリシーを設定。リモートワークの時代に突入した今現在、ヘルプデスクへの不要な問い合わせが急増しています。許可/ブロック/制限ポリシーを設定することで、管理者はリモートユーザーが余分な手間をかけずに、仕事に必要なシステムにアクセスできるようにすることができます。ヘルプデスクへの問い合わせを減らすもう一つの方法は、ユーザーがヘルプデスクに問い合わせることなく、信頼できるアプリにアクセスできるようにすることです。これにより、ITリソースの不要な手間を減らし、エンドユーザーがより効率的かつ効果的に仕事をこなして、より戦略的な取り組みに集中できるようになります。
  6. 必要に応じて、セルフサービスの取り組みを実施。上記の他にも、ヘルプデスクへの不要な問い合わせを減らして、組織が時間と労力を大幅に節約できる方法があります。例えば、セルフサービスのパスワードリセットやアカウントロック解除をMFAで保護することで、エンドユーザー自身が社内パスワードをリセットしたりアカウントロックを解除できるようになります。さらに、セルフサービスによるアプリケーション/サーバーへのアクセス要求により、アプリケーション、サーバー、その他の重要な内部システムへのアクセス要求をエンドユーザーやリモートベンダーが直接行うことができます。また、IT部門や管理者は、ヘルプデスクにチケットを提出することなく、アクセスを承認することができます。セルフサービスのMFA登録/変更機能により、新しい認証情報の登録やパスワード変更/リセットを、エンドユーザーが直接行うことができます。また、エンドユーザーが忘れたり盗まれたパスワードを、チケットを提出する必要なく、変更できる機能も提供します。セルフサービスには、ヘルプデスクに負担をかけることなく、アプリケーションやサーバーへのアクセスを要求できる機能も含まれています。
  7. サードパーティユーザーにジャストインタイムのプロビジョニングを提供。従業員のモバイル化推進は、組織が依存している多数のサードパーティベンダーにも明らかな影響を及ぼしています。企業ディレクトリの一部ではないユーザーの場合、管理や追跡が困難な可能性があるため、新たな課題になっています。1回限りのオンボードプロセスでアクセスを自動的にプロビジョニングおよびプロビジョニング解除できるソリューションを導入することで、攻撃対象範囲を大幅に減らすことができます。ジャストインタイムアクセスで必要なアクセスを必要な時間のみベンダーに提供することで、セキュリティまたはIT管理者は手作業で攻撃対象領域へのアクセスをプロビジョニングおよび取り消す必要がなくなります。

リモートワークの時代において、安全性と利便性のバランスをとることは、組織にとって大きな課題です。多くの従業員がいつになれば終わるのか見当もつかないリモートワークを続けている中、この課題に応えることが、これまで以上に重要になっています。7つのベストプラクティスに従うことで、リモートワーカーの生産性やビジネスプラクティスを妨げずに、安全なアクセスを提供することができます。

Impact Liveをお見逃しの場合、Impact Liveオンデマンドで、ご都合の良いときにすべてのセッションをご覧いただけます。

]]>
富士通SSLとの提携により、日本企業のデジタル化を支援 https://www.cyberark.com/ja/blog/%e5%af%8c%e5%a3%ab%e9%80%9assl%e3%81%a8%e3%81%ae%e6%8f%90%e6%90%ba%e3%81%ab%e3%82%88%e3%82%8a%e3%80%81%e6%97%a5%e6%9c%ac%e4%bc%81%e6%a5%ad%e3%81%ae%e3%83%87%e3%82%b8%e3%82%bf%e3%83%ab%e5%8c%96/ Thu, 03 Sep 2020 12:45:37 +0000 https://www.cyberark.com/?p=98187 CyberArk-Fujitsu

日本企業のデジタルトランスフォーメーション(DX)が加速し、IT環境は数年前とはすっかり様変わりしました。多様な環境のセキュリティ対策に最も顕著な影響を与えているのが、特権アクセス管理対象の急激な増加です。かつて、特権アクセスはシステム管理者の関心事でしたが、今ではDX促進施策全体に深く関わっています。現在、コンピュータを利用するほぼすべての従業員が、それぞれの役割を果たすために何らかの特権I Dによるアクセスを必要としており、また、ターゲットシステムとなるアプリケーション、ロボット、サービス、およびシステムの数も爆発的に増加しています。

IT セキュリティチームは、このような状況下で特権アクセス管理を最も効果的かつシンプルな方法で実施する方法を模索しています。ほぼ全ての攻撃で特権資格情報が標的となる中、特権アクセス管理(PAM)は多くの組織にとって優先事項となっています。現在、企業が従業員のテレワークのための新しいツールの導入を継続する一方でサイバー攻撃は続いており、多くのセキュリティリーダーは、既存の予算をどのように最大限に活用するか、そして新規予算の優先順位付けに悩んでいます。

そこで役立つのが、特権アクセス管理をサービスとして利用可能なPAM-as-a-Service(PAMaaS)です。PAMaaSの導入により、企業の機密データ、システム、アプリケーションへのアクセスを厳格化することで、リスクを軽減すると同時に、本番運用を開始するまでの時間を最短化します。また、オンプレミスのインフラ管理やアップグレード、パッチ適用などの、PAM基盤の運用に関わる追加のITリソースを必要としません。

富士通SSL社は先日、すでに販売しているCyberArkのオンプレミスむけソリューションに加え、CyberArk Privilege Cloudの販売を開始することを発表しました。

CyberArk Privilege Cloudは、特権アクセス管理の運用工数を最小限に抑え、企業全体の的確な特権アクセス管理を実現可能な、国内データセンターより提供されるサービスです。本サービスは、特権ユーザの使い勝手を損なわずに、オンプレミス、クラウド、アプリケーションに埋め込まれた認証情報など、企業全体の特権IDに関わるすべての認証情報を、要塞化された金庫に安全に格納できます。また、パスワードの定期的な変更を自動化し、すべての特権アクセスを制御した上で録画することで、アクセスの不正使用がビジネスに悪影響を及ぼすことを防止します。本サービスを企業横断的な特権アクセスのプラットフォームとすることで、新規テクノロジーの導入や、従業員の追加や削除に関わる特権アクセス管理を安全かつシンプルに運用することができるようになります。

]]>
ソーシャルディスタンスが身近になっている今、お客様の業務に必要なのはリスクディスタンスです。 https://www.cyberark.com/ja/blog/%e3%82%bd%e3%83%bc%e3%82%b7%e3%83%a3%e3%83%ab%e3%83%87%e3%82%a3%e3%82%b9%e3%82%bf%e3%83%b3%e3%82%b9%e3%81%8c%e8%ba%ab%e8%bf%91%e3%81%ab%e3%81%aa%e3%81%a3%e3%81%a6%e3%81%84%e3%82%8b%e4%bb%8a%e3%80%81/ Tue, 30 Jun 2020 18:31:45 +0000 https://www.cyberark.com/?p=95009

ここ数か月間、ソーシャルディスタンスが日々の暮らしや職場におけるあらゆる場面で重要な役割を果たしています。大勢の人たちが在宅勤務を行っています。この数カ月間で、普段の仕事に加えて、子供たちの学習、高齢な親の介護など、新たな役割を果たすことが必要となりました。ちょっとした外出も慎重に行わなければなりません:マスクを忘れていませんか?手指の消毒を欠かしていませんか?社会とバーチャルに関わることも当たり前になっています。

生活が「正常」な状態にいつ戻るのか、また戻ることができるのか、誰も予想が付きません。このような状況の中で、ソーシャルディスタンスが日常生活の一部になっています。一方で、リスクディスタンスはどうでしょうか?ソーシャルディスタンスは、COVID-19の感染や拡散を抑えるための最善策です。リスクディスタンスは、セキュリティのリスクを軽減するベストプラクティスです。

新型コロナウイルスの影響でリスクの状況も劇的に変化しています。
リモートワークに対応できる新しいアプリケーションとサービスを導入することが、企業にとって急務となりました。
在宅勤務の環境には、多くのリスクが潜んでいます。このため、重要なビジネスシステムや機密情報が危険にさらされています。
たとえば、最近の調査によると、リモート従業員の77%が管理されていない安全性の低い「私物デバイス」を業務に利用して、企業システムにアクセスしてます。リモート従業員の66%がセキュリティの脆弱性が指摘されている、Microsoft TeamsやZoomなどのコミュニケーションツールやコラボレーションツールを利用しています。一方で、サイバー犯罪者は、この機に便乗して、RDP(リモートデスクトッププロトコル)サーバーを標的にしたり、高度なランサムウェアを仕掛けるなど、攻撃の機会を増やしています

組織は、インフラストラクチャと生産性のニーズに迅速かつ適切に対処し、リスクを分散する必要性を認識するために、最善の方法に取り組んでいます。これに特に当てはまるのが、分散された企業のエンドポイントでのリモートワーカーの特権アクセス保護です。

ニューノーマルにおけるリスク分散の実践

CNBCによると、技術や金融サービス、保険関連などの業界におけるリモートワークツールへの投資が活発になっており、ビジネスを以前のやり方に戻す兆しは見当たりません。在宅勤務ポリシーを長期にわたって拡張する組織が増える中、セキュリティチームは既存のサイバーセキュリティプログラムと優先事項を十分に検討し、変化する状況に対応できるかどうかを判断する必要があります。

Cyberarkは、組織がセキュリティと生産性のバランスを効果的に取り、将来の業務により適切に備えることができる、新しい戦略を策定するために役立つリソースを収集および精選しています。これにより、お客様の組織は、安全で責任あるリスク分散を推進できます。

特権アクセス管理(PAM)が重要な資産、ワークステーション、およびリモートユーザーアクセスを保護する最も効果的な方法のひとつである理由を、CyberarkのRisk Distancing Resource Centerでご確認いただけます。「専門家に対する質問」ビデオの有益な情報でベストプラクティスをご確認いただけます。また、CyberArkの無料のトライアルとツールを活用して、お客様の環境内の特権関連の脆弱性を特定および軽減するのにお役立ていただけます。

リスク分散を実践する準備は万全ですか?Cyberarkの最新のブログ投稿をご覧いただき、お客様の次のステップにお役立てください。:

 

 

 

 

]]>
社員の声: 染谷 浩子 https://www.cyberark.com/ja/blog/%e7%a4%be%e5%93%a1%e3%81%ae%e5%a3%b0-%e6%9f%93%e8%b0%b7-%e6%b5%a9%e5%ad%90/ Wed, 24 Jun 2020 00:39:53 +0000 https://www.cyberark.com/?p=94735

染谷 浩子
ソリューションズ・エンジニア(CISSP)

  • これまでの経歴と現在の業務内容を教えて下さい。

主に外資系IT企業にてエンジニアとして従事してきました。ソフトウェア・ベンダーでは、サポート・エンジニア、セールス・エンジニアの両方を経験し、プリセールスとポストセールスの両方の立場それぞれの難しさを経験しましたし、また、インターネット・プロバイダーでのUNIXシステム管理者として、インフラやソフトウェアの利用者の立場も経験しました。現在CyberArkでは、プリセールスのエンジニアとして、ソリューションのご紹介やデモンストレーション、技術的なQA対応などを行っています。

  • 何故、CyberArkを選びましたか?

私の経歴上特にセキュリティ業界での経験が長く、この分野での自身の経験を活かしつつ、自分にとって新しい技術領域のスキルを身に着けたいと思っていました。セキュリティの分野は、テクノロジーだけではなくリスク管理やガバナンスも含めた大変広いものですが、その中でも「特権アクセスセキュリティ」という特定分野において専門の知見と技術力を持ち、かつ、実績があるCyberArkを選びました。

  • 実際に入社してみて印象はどうでしたか?

入社してみて、過去に勤務歴のあるセキュリティベンダーと似た雰囲気を感じました。国内・海外を問わず、エンジニア同士がナレッジを共有する機会が多く、質問もしやすい雰囲気だったため、気後れすることなくスムーズに溶け込むことができました。「特権アクセスセキュリティ」という領域については、過去の経験からある程度は知っておりましたが、勉強しなければいけないことがたくさんあります。技術知識やスキルの習得は当然のこと、実際にどのように使われているのか、導入プロジェクトにはどのような課題があるのか等、お客様との会話の中で得られる知見も多く、今後の業務に活かしていきたいと思っています。

  • CyberArkのいいところはどこですか?

各人がそれぞれの役割を明確に持ち、それを果たしながらも、個の力が及ばないときにはお互いに協力して知恵を出し合う、という意識が浸透しているところが良いところです。外部環境の変化に合わせたソリューションの進化も継続的に行われており、エンジニアとして楽しめる部分もおおいですし、また、働く環境の整備にも力を入れてくれています。

]]>
社員の声: 岡 拓磨 https://www.cyberark.com/ja/blog/%e7%a4%be%e5%93%a1%e3%81%ae%e5%a3%b0-%e5%b2%a1%e3%80%80%e6%8b%93%e7%a3%a8/ Tue, 23 Jun 2020 16:33:25 +0000 https://www.cyberark.com/?p=94724

岡 拓磨

アカウント・エグゼクティブ

  • これまでの経歴と現在の業務内容を教えて下さい

お客様の本質的な課題を発掘し、課題解決を実現することを心掛け、新卒から過去4社(旅行業・損害保険業・IT業・IT業)にて新規開拓営業に従事してきました。お客様としては、旅行業時代は学校団体向けに、損害保険業時代は売上高500憶円以上の法人向けに、IT業時代は売上高1,300憶円以上の法人向けに、インサイドセールスからフィールドセールスまで経験をしてきました。
現在のCyberArkでは、ハイタッチセールスとして、主に電力・エネルギー業界、商社業界、運輸・交通業界を担当させていただき、新規開拓営業に従事しています。弊社のミッションである、重要なセキュリティーレイヤーである「特権セキュリティ」で高度なサイバー攻撃から日本のお客様を守り抜くこと。このミッション実現のために、1社でも多くの企業の事業継続とDX含めたビジネス成長スピードを支えることのできる、セキュリティ基盤の実現に向け日々営業活動をしています。

  • 何故、CyberArkを選びましたか?

営業としての商品価値を伸ばしたいと考えており、①より多くの企業が必要としていること②成長市場であること③過去、未経験の営業経験を積めること。上記3点を満たすことが出来る環境且つ、IT業界のことを仕事の中でより深く(アプリケーションからインフラまで)学べる環境を探していました。その中で、サイバーセキュリティ領域に注目をし、その中でもCyberArkが全ての面で条件が揃っていたことが決めてです。また、企業規模の観点でも、過去全て大手企業で働いた経験しかなく、日本法人の拡大期というタイミングで会社の成長スピードを社の一員として感じれること、微力ながら拡大のために貢献できることも非常に魅力を感じました。

  • 実際に入社してみて印象はどうでしたか?

会社の置かれている立場、働く環境共に、当初の想定以上の経験が出来ています。何よりも、特権セキュリティに関して多くの企業が課題を抱えていると感じています。IT環境が大きく変化していること、働き方の変化等、多くの理由からお引き合いを多くいただいています。その中で試行錯誤しながらですが、ハイタッチセールスとして多くのお客様とお会いさせていただき、課題解決に向けた営業活動をさせていただいています。また大きなギャップを感じた点として、海外拠点の社員の協力体制が非常に積極的であることに驚きました。国は跨いでいますが、お客様の課題解決のためのサポートを主体的に取り組んでくれている場面を多く見ています。

]]>
CyberArk日本法人は、CTC とのパートナーシップによって、日本企業のデジタルトランスフォーメーションを成功へと導く https://www.cyberark.com/ja/blog/cyberark-japan-ltd-leads-digital-transformation-of-japanese-companies-to-success-through-partnership-with-ctc/ Tue, 28 Apr 2020 19:58:26 +0000 https://www.cyberark.com/?p=90137

日本企業は、デジタルトランスフォーメーションを積極的に推進しています。インフラストラクチャとプロセスをモダナイズし、サービスデリバリ、サプライチェーンコラボレーション、顧客対応、アプリケーション開発などを向上しています。これらの多くのプロジェクトは全社的に展開されていますが、企業はこれらの取り組みを支えながら、生産性を高め、収益機会を増やし、コストを削減するため、マルチクラウドを初めとして、DevOps やRPAなどの新しいイニシアチブをすべて取り入れようとしています。

しかし、これらの新しいテクノロジーやプロセスによって、無視することができない新たなリスクと、運用面での課題も生まれています。ハイブリッド環境とマルチクラウド環境の普及が進む中で、これらの動的な環境で発生するセキュリティの問題に対応することが必要となっています。

日本企業におけるクラウドの導入は、多くの場合、異なる部署や地域で同時に進められています。たとえば、複数のビジネス部門や地域をサポートするなど、特定の要件を満たすために、別々の事業部門が異なるパブリッククラウドを選択している場合もあります。結果として、いくつものパブリッククラウド、プライベートクラウド、オンプレミスを利用するハイブリッド環境で、サービスがホスティングされる状況となっています。2019 年に RightScale 社がアジア太平洋および日本企業などを対象に実施した調査では、企業や組織は、平均して 5つの異なるクラウドサービスを利用していることが明らかになりました。

これらのマルチクラウド環境でのセキュリティ保護の責任は、一般にはよく理解されていません。経験豊富なセキュリティチームであっても、パブリッククラウドプロバイダーが保護すべきものと、クライアントとして保護すべきものを明確に把握できていない場合もあります。多くの組織が、パブリッククラウドベンダーが保護する対象を過剰に想定しています。実際は、アプリケーションのオーナーは、アプリケーション、データ、OS、その他のエンタープライズインフラストラクチャ、およびクラウドで実行されているその他の資産を保護する責任があります。

これらのクラウドのワークロードが増大するにつれて、特権アカウントの数が増加し、攻撃対象となる潜在的な領域も拡大し続けています。新しい取り組みを進めるたびに、確実に保護しなければならない新しい「扉」が生まれています。サードパーティベンダー(外部委託業者)を利用する機会が増加することも、デジタルトランスフォーメーションの特徴の 1 つです。これも、特権のある攻撃対象領域が増大し、その管理がより困難になる要因です。

現在の環境では、攻撃者が特権アカウントを乗っ取ることで、このアカウントのアクセス権限を使用して、クラウド管理コンソールのセキュリティを侵害して、いくつもの攻撃段階を省略できます。このような特権認証情報を乗っ取ることにより、攻撃者はクラウド環境を停止させることも可能になります。

クラウドやハイブリッド環境で最重要のデータと資産を保護するための原則は、オンプレミス環境と変わりはありません。データや資産へのアクセスにつながる特権を提供する経路を保護し、これらの資産を保護することが極めて重要となります。機密データを盗んだり、企業の IT 環境を破壊したり、顧客情報にアクセスしたりする最も簡単な方法は、特権認証情報を悪用したり、そのセキュリティを侵害したりすることです。

CyberArk は、クラウドおよびハイブリッド環境で一貫したセキュリティポリシーを企業横断的に実施するソリューションを提供しています。組織がデジタルトランスフォーメーションを推進できるように、適切なユーザーだけが、必要なアプリケーション、クラウドインフラストラクチャ、クラウドプラットフォームに、必要なときにのみアクセスできるようにします。

CyberArk は、伊藤忠テクノソリューションズ株式会社(CTC)とパートナーシップを締結し、日本企業がこれらの課題を克服できるように支援して参ります。

]]>
「新しい常識」のサイバーセキュリティの課題への取り組み https://www.cyberark.com/ja/blog/tackling-the-cybersecurity-challenges-of-our-new-normal/ Tue, 28 Apr 2020 18:08:30 +0000 https://www.cyberark.com/blog/%e3%80%8c%e6%96%b0%e3%81%97%e3%81%84%e5%b8%b8%e8%ad%98%e3%80%8d%e3%81%ae%e3%82%b5%e3%82%a4%e3%83%90%e3%83%bc%e3%82%bb%e3%82%ad%e3%83%a5%e3%83%aa%e3%83%86%e3%82%a3%e3%81%ae%e8%aa%b2%e9%a1%8c%e3%81%b8/

わずか1か月の間に、「通常どおりの働き方」が瞬く間に様相を変えてしまいました。何百万人もの人々がリモートで働き、激変するビジネス優先事項に重点を置くために再配置され、仕事に関する不確実性に向き合っています。ITチームが24時間体制でビジネスを継続させる計画を遂行している中、サイバー攻撃者も急変する環境の弱点を悪用することに血眼になり、電光石火で攻撃を仕掛けています。

テクノロジーリーダーとの定期的な対話を通じて明らかになったこと、それは新たな状況において既知、また新たな脅威に先回りするために、従来から複雑であった作業レベルの難易度がさらに増していることです。この課題に対処するために、世界中の組織のCIOやCISOは、従業員の安全と生産性を維持できる最善の方法を探し求めています。組織が「新しい常識」を舵取りする中で、重要な人員、プロセス、技術の側面全体にわたって、セキュリティリーダーにとって重要な優先事項として、3つの基本的な領域が明らかになっています。

人々の安全確保

リモートワークは、現状において必要不可欠になる以前から、すでに注目を集めていました。この動向は、これまでにリモートワークに縁のなかった政府、金融、教育機関など、多種の業界にわたって拡大しています。現在、以前とはまったく異なる働き方が余儀なくされていますが、それだけに留まりません。子供たちの「家庭学習」、高齢の親の介護、刻々と変わっていく最新情報のネット検索、食料品の配達の予約をしなければなりません。攻撃者は、言うまでもなく、あらゆることが考慮された後にようやくセキュリティが見直されると見込んでいます。攻撃者は、この混乱と無防備につけこんで、フィッシング詐欺、ランサムウェア、ソーシャルエンジニアリング攻撃の波状攻撃を仕掛け始めています。サイバー攻撃の中には、たとえばIT部門からの偽メールでセットアッププロセスの一部としてリンクをクリックするように求めるなど、あたかも仕事関連のようにみせかけるものもあります。また、感情に訴える「崇高な目的」を呼び掛けて支援を求めたり、政府の支援金や金融機関からの有利な投資などを持ちかけるフッキングで罠がかけられる場合もあります。

デバイスおよびアプリケーションの保護

ITチームには、在宅勤務者の急増に備えて準備を整える時間がほとんどありません。一部の従業員は会社のコンピュータを自宅に持ち帰り、そうでない場合は自前で作業環境を立ち上げている人たちもいます。このように、個人のデバイスが新たに使用されることが急増しているため、特にBYOD(私物デバイスの業務利用)ポリシーを未導入の組織では、多くの新たな課題が生じています。接続が早急に必要な場合、設定ミスが多発します。また新しいデバイスを工場出荷時の(セキュアではない)初期設定のまま使用すると、企業がリスクにさらされる可能性が高まります。攻撃者は、このような状況を抜け目なく探し出し、企業ITへ侵入する足がかりを狙っています。

さらに、人と人がつながるためにメッセージサービスや電話会議アプリケーションへの依存度がこれまで以上に増している中、これらのシステムの脆弱性も攻撃者によって悪用されています。「Zoombombing(会議乗っ取り)」で招待されていない参加者がZoom会議に割り込んで混乱を招いたり、悪意のある詐欺集団は、Webブラウザに組み込まれたアプリケーションの認証情報を標的にして、一般的なWebベースのアプリケーションを侵害しようとしています。

接続およびアクセスの保護

CNBCの調査によると、このような事態に備えたシステムのストレステストを未実施の組織が53%に上ります。何十万もの従業員がVPN(バーチャルプライベートネットワーク)を使用してデータを送受信している多くの組織が、セキュリティと可用性の両面で課題に直面しています。また、従業員が自宅のWiFiネットワークを使用してVPNにログインしていることが、この事態をさらに悪化させています。家庭内の複数人がリモートで仕事をしたり学習している場合、セキュリティ保護や監視がないがしろにされ、容量オーバーになることも多々あります。攻撃者は、マルウェアを家庭用のWiFiルーターにたやすく感染させることができます。つまり、テレビやスマート家電から携帯電話やコンピュータに至るまで、家庭内の接続デバイスはすべて脆弱であり、脅威にさらされるといえます。

サーバーやシステムへのアクセスが従業員に対して一律に提供されているわけではありません。各自の業務を遂行するためにaccess to sensitive information and data機密情報やデータへアクセスする必要があるユーザーも大勢います。特権アクセスを必要とするユーザーには、重要なシステムへのアクセスを必要とするIT管理者だけでなく、クラウドコンソール、RPAコンソール、オーケストレーションツールへアクセスする必要がある財務部や法務部の従業員もおり、特権ユーザーは増え続けています。

特権ユーザの定義が急速に拡大するにつれ、セキュリティチームは、リモートからのユーザーのアクセスの時間帯および所要時間などの可視性を保つことに苦労しています。一方、多くの組織は、人手が足りなくなる可能性のある部門をカバーするために、責任をシフトし、従業員の再配置を行い、様々な業務を行っています。この中には、これまで以上に高度な権限が与えられている従業員もいます。また認証情報の自動プロビジョニングやプロビジョニング解除など、必要なセキュリティポリシーが適切に設定されていないことが多々あります。このような状況は、攻撃者にとって重要な内部ユーザーに通常付与されるアクセス権を悪用しやすくなるため、すべてのインフラストラクチャの制御を奪取する攻撃が企てられて実行される可能性があります。

CISO(最高情報セキュリティ責任者)が現在直面しているセキュリティ上の課題は、新しいものではありませんが、かつてないほど緊急かつ深刻です。この「新しい常識」は通常、一過的なものと説明されていますが、現状が収束されてからも、長く継続される可能性が高いといえます。従業員は、これまで経験のなかった在宅勤務に慣れてくると、リモートワークが生活にもたらすメリットやバランスのとれた働き方を享受できるに違いありません。同様に、雇用主は、業務効率、生産性の向上、従業員の能力強化の機会を実現して、リモートワークの範囲をさらに拡張または奨励することもできます。

今後どのような状況になったとしても、今日組織が取る行動は、私たちの将来を形作ります。警戒を怠らずに、強力なサイバーセキュリティ対策を維持することが第一歩です。そして人、プロセス、テクノロジー全体にわたって、リスクに対するアプローチ手段を再考することで、長期戦に備えた計画に着手できます。

]]>
攻撃者は、公開されているRDPサーバーを探しています https://www.cyberark.com/ja/blog/attackers-on-the-hunt-for-exposed-rdp-servers/ Tue, 28 Apr 2020 13:00:38 +0000 https://www.cyberark.com/blog/attackers-on-the-hunt-for-exposed-rdp-servers/ Privileged Access Management and Remote Desktop Protocol (RDP)

Covid-19の発生から3月末までに、Shodan(インターネットに接続されたデバイスをスキャンしてインデックスを作成するグローバル検索エンジン)により、リモートデスクトッププロトコル(RDP)使用率が41%急増していることが追跡されています。

このような不確実な状況の中で、リモートワーカーをサポートして業務を維持するために、RDPの使用が増加しています。RDPは、セッション全体を暗号化しないリモート接続ツールよりも安全ですが、過去1年間で公開された2つの重要なRDPの脆弱性BlueKeepおよびDejaBlueによる潜在的なセキュリティリスクが明らかになっています(詳細については、脅威調査ブログを参照してください)。

最近のSANSテクノロジーインスティテュートのポッドキャストで、研究学部長ヨハネス・B・ウルリッヒ博士は、RDPサーバー公開の急激な増加(20~30%)を報告し、この急増を現在在宅勤務中のシステム管理者の数に結び付けています。これらのシステム管理者は「パワーユーザー」であり、特権アクセスを使用して、現在リモートロケーションからサーバーを管理しています。

サイバー攻撃者は、リモートで作業するシステム管理者の特権アクセスを利用して、公開された内容を確認するために標準のRDPポート3389をスキャンすることにより多くのリソースを費やしています。また、自動化ツールを使用してブルートフォース攻撃を仕掛け、ユーザー名と認証情報の組み合わせを体系的にテストてコードを解読しています。

管理者の特権認証情報を取得した攻撃者は、IT環境に侵入して水平移動し、ドメインコントローラーやクラウドコンソールなどの重要なターゲットに到達するまで特権をエスカレートさせることができます。このアクセスにより、ネットワーク上のあらゆるサーバ、コントローラ、エンドポイント、またはデータを制御できます。これにより、コマンドの実行、ウイルス対策ソフトウェアの無効化、マルウェアのインストール、身代金目的のデータの暗号化、PIIなどの重要なデータの盗難などの犯罪が企てられます。

RDPセキュリティを強化し、データ侵害のリスクを軽減するために、組織が実行できるいくつかの手段があります。

  1. 特権アクセスを制限。デフォルトでは、すべての管理者がRDPにログインできます。最小限の特権の原則を実施することで、これを管理者特権が絶対に必要なユーザーのみに制限できます。さらに、ディレクトリサービスに参加していないリモートベンダーに対してジャストインタイムプロビジョニングを適用することで、アクセス時間を制限することができます。特にドメインコントローラーやクラウドコンソールなどのティア0アセットの場合は、特権セッション中のすべてのユーザーアクセスとアクティビティを監視および追跡できます。
  2. Windows 7ワークステーションを含む、インターネットに接続しているすべてのリモートWindowsマシンのソフトウェアを最新の状態に保ちます。
  3. NLAを有効にする。ネットワークレベル認証(NLA)は、接続が確立される前に追加のレベル認証を提供します。
  4. 公開を避ける。RDPサーバーをファイアウォールの背後に置きます。マシンとサーバーを公開する重要なデータと内部システムを危険にさらす可能性のあるインターネットに直接RDP接続を許可しないでください。
  5. 強力なパスワードと多要素認証を使用。ブルートフォースツールは高度化しています。強力なパスワードポリシーに従う必要があり、多要素認証が必須です。加えて、パスワードやその他のネットワークベースのアクセス制御を完全に排除するツールを検討することを推奨します。

CyberArk Privileged Access Security Solutionなどの特権アクセス管理(PAM)ツールは、組織が安全なRDP接続を確立するのに役立ちます。特権資格情報をデジタルボールトで一元的に格納および管理し、ユーザーの権限に従ってアクセスを付与できます。Webブラウザー・セッションを分離および暗号化できます。特権ユーザーのアクティビティを厳重に監視および制御して、SOCチームが疑わしいアクティビティに即座に対応できるようにフラグを付けることができます。

作業、メンテナンスおよびその他の目的で重要なITシステムにアクセスするリモートワーカーは、必要な認証情報にエンドポイントを公開しないネイティブワークフローを使用できます。さらに、これらの強力なPAMコントロールをRDPを超えて拡張させて、Unix/LinuxへのSSH認証など、あらゆるWeb対応システムへのリモート接続を保護するのに役立てることができます。

詳細については、4月28日のウェビナー特権アクセス101:貴社のセキュリティ対策を変革にご登録ください。またウェビナーをオンデマンドでいつでもご覧いただけます。

]]>
Office Exodusによるエンドポイント(In)のセキュリティ強化 | CyberArk https://www.cyberark.com/ja/blog/office-exodus-drives-endpoint-insecurity/ Wed, 22 Apr 2020 13:00:32 +0000 https://www.cyberark.com/blog/office-exodus-drives-endpoint-insecurity/

世界中で予想もしなかった勢いでリモートワークへの移行が進んでいます。このような状況において、CISCO社では、従業員を迅速に稼働させ、不確実性に直面した場合に決定的なリーダーシップを発揮する能力を試行しています。

従業員の生産性をサポートし、リモートワークに慣れていない従業員からの問い合わせに忙殺されているITサポートチームの負担を軽減するために、多くの組織が利便性を最優先し、セキュリティがないがしろにされています。

これはおそらく、エンドポイントセキュリティに対する初期の行動・安全規範などにおける取り組みにおいて最も顕著です。たとえば、企業ポリシーに従っていないBYOD(私物デバイスの業務利用)が急増しています。さらには、多くの場合、ITチームとセキュリティチームが従業員のデバイスにローカル管理者権限を付与しているため、従業員がさまざまなプログラムを使用して、アプリケーションやソフトウェアのダウンロード、デバイスへの接続やインストール、企業システムや情報へ簡単にアクセスできるようになっています。

ローカル管理者権限は、従業員の業務に対する積極性を促進しますが、深刻なリスクをもたらす可能性もあります。自宅で日常業務を行っている従業員が、未承認のアプリケーションやライセンスされていないソフトウェアをセキュリティ監視なしでダウンロードしているかもしれません。

また、業務およびプライベートな用途に同じデバイスが使用される場合がよくあります。オンラインのニュースサイトを閲覧したり、バーチャル授業のためにアプリを起動したり、ゲームなどをダウンロードするときに、不正なソフトウェアが安易に(また無意識のうちに)実行される可能性があります

さらには、強力なローカル管理者権限を自由に使用できるため、サイバー攻撃者や悪意のあるリモート従業員がシステム構成の変更や強力な管理アカウントの変更など、さまざまな不正活動を実行できる状況になっています。

リモートワーカーのエンドポイントデバイスが攻撃対象となり、特権認証が標的になっています。

ローカル管理者権限がない場合も、従業員のデバイスは主な攻撃対象です。多数の攻撃者がデバイスの認証情報ストア(Chrome、Firefox、Chromiumなど)、チャットアプリケーション(Pidgin、Skypeなど)、電子メール(Outlook、Gmailなど)、さらにはシステム管理ツール(FileZilla、OpenSSH、VNC、WinSCPなど)に保存されているユーザーパスワードを狙っています。

攻撃者は、LaZagneなどの認証情報取得マルウェアを使用して、個人のWebアカウントや機密の企業資産のパスワードなどを取得しています。攻撃者は、パスワードを手間をかけずに最小限の労力ですばやく収集して、特権認証情報を見つけ出してアクセス権を昇格させます。デバイスを侵害して、企業のVPN接続を利用できるようになると、水平移動して特権をさらに昇格し続けて企業ネットワークの他の部分にも侵入して、重要な資産や情報にアクセスできます。

これは、以下のようにいとも容易く行われます。

従業員であるジョンは、外出禁止令に従って 3 月から在宅勤務を始めています。ヘルプデスクのサポートなしで自宅のプリンタをデバイスにリンクするなど、自由に操作できるように、ラップトップのローカル管理者権限が与えらています。このため、個人的なオンライン業務を実行するために、VPNに接続する必要はありません。

  1. ジョンは個人のメールアカウントにログインして銀行の毎月の明細に関するメッセージを読み、いつものように「明細を表示」をクリックしてPDFファイルをダウンロードしました。
  2. PDFを開くときにパスワード入力が求められました。ジョンは、「このような緊急事態のため銀行のセキュリティ対策が強化されているのだろう」と思い、銀行のパスワードを入力してリンクをクリックして銀行の明細書を開きました。
  3. リンクをクリックすると、添付ファイルが破損しており、無効なWebリンクにリダイレクトされました。ジョンは、これが「ドライブバイダウンロード」攻撃とは気づかずにLaZagneをダウンロードしました。マルウェアはバックグラウンドで動作して、Webブラウザやアプリケーションに保存されている認証情報(企業のアプリケーションやシステムへの認証情報を含む)を収集します。マルウェアは、これらの認証情報をリモートの攻撃者またはコマンド&コントロールサーバーに送信します。これはWindowsのコマンドプロンプトのように表示されます。ジョンはこれが不正行為であることに気づきませんでした。

広範囲にわたるローカル管理者権限、リモート従業員の注意散漫または無意識、および保護されていない認証情報が、エンドポイント攻撃に恰好の機会をもたらしています。リサーチャーたちは、現在の世界的な状況に関連して、最近数週間で脅威が急増していることを観測しています。「Kpot」infostealerと一緒に配布される>「Coronavirus」ランサムウェアや感染防止のヒントメールを偽った「など、APT攻撃グループがカスタムリモートアクセス型トロイの木馬(RAT)を拡散させて、デバイスのスクリーンショット取得、ファイルやディレクトリのリスト作成、ファイルのダウンロードなどを実行しています。

リモートワークステーション全体にわたって、最小限の特権、認証情報の盗難防止、アプリ制御を実施

私たちは、新しい常識と呼ばれる時代に足を踏み入れています。多くの人々が通常どおりの働き方が様変わりしていることを実感しています。状況認識を強化することで、ほんの数週間でリスク軽減を迅速に前進させることができます。この「アクション」フェーズにおける重要なステップは、ローカル管理者権限を排除して、最小権の特権(PoLP)の原則を実施することです。これにより、業務に必要な最低限のアクセスレベルのみをユーザーに付与して、マルウェア、ランサムウェア、その他の脅威をエンドポイントに封じ込めることができます。

CyberArk Endpoint Privilege Managerおよび類似のソリューションは、全体的な特権アクセス管理(PAM)戦略にとって非常に重要です。組織は、セキュリティ、エンドユーザー、ヘルプデスクの生産性のバランスを適切に保つ必要があります。CyberArkは、重要な保護レイヤーを追加することで、DLPやアンチウイルス/NGAVなどの既存のエンドポイントセキュリティツールを強化して、ライフサイクルの早期段階で攻撃をブロックおよび封じ込めてデータ侵害を防止できます。

ここでは、CyberArk Endpoint Privilege Managerを導入した場合に、ドライブバイダウンロード攻撃にどのように対応ができるのか見てみましょう。

  1. CyberArkのソリューションを使用することで、ローカル管理者権限にアクセスせずに、標準のビジネスユーザーとしてデバイスにログインできす。続いて、上記のステップ 1 と 2 を実行します。CyberArkの認証情報盗難防止機能は、不正なアプリケーションやプロセスによるデバイスのソフトウェア認証情報ストアへのアクセスをブロックします。これにより、LaZagneマルウェアによる認証情報の収集を防止できます。標準ユーザーから認証情報が盗まれても、企業ITへのアクセスには実質的に利用できません。

 

  1. 業務用または個人用に不明なアプリケーションをデバイスにダウンロードしようとすると、CyberArkはアプリケーションを安全な「制限モード」で実行し、企業リソース、機密データまたはインターネットへのアクセスを阻止します。CyberArk EPMにより、アプリケーションのリスクレベルを即座に特定して、「不正」に分類されている場合は、ポリシーを作成してアプリケーションの実行をブロックできます。
  1. 従業員がリモートワーク中、セキュリティチームは最小限の特権を容易に適用できます。これを実行する2つの方法があります。1つ目は、CyberArk Endpoint Privileged Managerの権限昇格機能を活用して、ポリシーに基づいて承認されたアクティビティとアプリケーションを昇格させる方法です。これでユーザーの日常的な要件の80%をカバーできます。Endpoint Privileged Manager は、ジャストインタイムアクセスと昇格をより柔軟に提供するアドホックメカニズムも提供します。ユーザーを「特権グループ」に一時的に追加することで、一定の期間を通じてエンドポイントで監査証跡を提供し、必要に応じてアクセスを取り消して終了することもできます。これは、組織が従業員を再配置して、変化するビジネスの優先順位にフォーカスして、責任の移行に応じて特権認証情報を自動的にプロビジョニングおよびプロビジョニングを解除する必要がある場合に特に有益です。

CISO社は、将来を見据えて、今後数週間にとどまらず、今後数か月、数年先も視野に入れて、リスク低減への段階的なアプローチを計画しています。この新しい常識が浸透するにつれて、従業員のデバイスがビジネスの遂行においてさらに大きな役割を果たすことになるため、新たなセキュリティ課題がもたらされます。実際、デスクトップPC、ラップトップ、スマートフォン、タブレットの分散パッチワークは、外部の世界とつながるライフラインとなっています。これまで以上に、これらのデバイスとそのアクセスを保護することが不可欠となります。

CyberArk Endpoint Privileged Managerについてさらに詳しくは、今すぐ無料トライアルでご確認ください。

]]>
ネイティブ特権セッション管理によるワークフローの保護 https://www.cyberark.com/ja/blog/enabling-secure-workforce-productivity-with-native-privileged-session-management/ Thu, 16 Apr 2020 15:41:50 +0000 https://www.cyberark.com/blog/enabling-secure-workforce-productivity-with-native-privileged-session-management/

Salesforceなどの使いやすいWebアプリケーションから、Windows Remote Desktop Protocol (RDP)などのIT中心機能まで、今日のワークプレースツールは非常に強力です。最新および従来の両方のツールとテクノロジーを組み合わせることで、従業員の生産性と運用効率を向上させることができますが、セキュリティチームとコンプライアンスチームには特権アクセスの拡張という新たな課題が数多く発生します。

あらゆるところに存在する特権

特権ユーザーとは、ビジネスプロセスの運用サービスを変更でき、ビジネスに影響する権限を持つユーザーです。これには、システム管理者だけでなく、見た目には「特権」とはみなされないユーザも含まれます。特権アクセスは、他のシステムに接続するアプリケーション、マシン、サービスアカウント、およびロボテックプロセスオートメーション(RPA)ワークフローの一部であるソフトウェアロボットにも適用されます。

企業がより多くのワークロードをクラウドに移行する中、デジタルトランスフォーメーションのイニシアチブが倍増し、プロセスの自動化が進むにつれて、特権ユーザーとアカウントの数が増加し、潜在的な攻撃対象領域が拡大し続けています。各ステップを進めていくことで、ロックする必要のある新しい「扉」が追加されます。

しかし、ビジネスアジリティの促進が優先され、組織が急いで先に進むと、これらの「扉」をロックすることが見落とされされる場合がよくあります。RPAとアプリケーションの認証情報には、多くの場合、機密データやシステムへの広範なアクセスを提供する、高度な特権が付与されます。これらの認証情報が適切に保護されていないと、企業が不要なリスクにさらされる可能性があります。攻撃者はこれを理解しており、保護されていない入口を標的としつつあり、保護されていない強力な認証情報を探し求めて攻撃目標にたどり着こうとしています。

今日のデジタル環境で、革新と進化を安全に推進していくにはどうすればよいでしょうか?また、これらの「扉」をすべてロックして、生産性を低下させずに、安全性を維持するにはどうすればよいでしょうか?多くの組織とって達成が困難とみなされるかもしれない、このような課題をネイティブ特権セッション管理で克服できます。

ネイティブ特権セッション管理のベネフィット

特権アカウントのセキュリティをユーザーおよびシステムの両方のアクセスレベルで保護することで、外部の攻撃者や社内の脅威が認証情報を不正に使用して監視ソリューションやセキュリティ制御を迂回する活動を制限できます。オンプレミス、ハイブリッド、クラウドの環境全体にわたって効果的な保護を実現するには、リスクを軽減できると同時に、従業員が業務を行うために必要不可欠なツールを継続的に使用できる適切なツールを選定する必要があります。

特権セッション管理は、あらゆる特権アクセス管理(PAM)プログラムの基本コンポーネントであり、次の機能を組織にもたらします。

  • 機密性の高い攻撃対象マシンからエンドユーザーを隔離することにより、サイバー攻撃を防止。
  • ポリシー、ワークフロー、特権付きシングルサインオン機能により、特権セッションアクセスに対する説明責任を確立および管理
  • セッション記録により、攻撃対象マシンにフットプリントを残さずに、監視とコンプライアンスを継続。

高度な特権セッション管理機能を備えた CyberArk Privileged Access Securityソリューションは、エンドユーザーが使い慣れたネイティブツールやワークフローを自由に操作できると同時に、認証情報の漏洩を防止し、重要な資産を隔離し、リスク別にセッションを自動的に記録し、セッションを分類することで、監査担当者の生産性を向上させます。弊社が最近のデモで紹介している一連のネイティブデプロイオプションには以下が含まれます。

  • CyberArk Webインターフェースからすべてのシステムおよびアプリケーションにアクセス
  • SSHおよびWindows管理者向けのネイティブアクセス
  • クラウド管理者および特権ビジネスユーザーのネイティブアクセス

以下はデモの主な内容です。その他のユースケースについては、オンデマンドウェビナーa href=”https://www.cyberark.com/resource/enable-secure-productivity-with-native-session-management/”>「ネイティブセッション管理で安全に生産性を確保」をご覧ください。

ワークフロー1:CyberArk Privileged Session Manager for Windows

Windowsのセキュアなセッション接続を確立するためのオプションとして、RDPファイル、ActiveX、HTML5ゲートウェイ、およびRDPプロキシによるネイティブアクセスをご利用いただけます。ユーザーの操作環境、セキュリティに関する考慮事項、業界の規制に基づいて、貴社の環境に最適なオプションを選択できます。

ここでは、RDPを介して安全なセッションを確立する方法について要約を説明します。

図1: CyberArk Privileged Session Manager for Windows 

 

ワークフロー2:CyberArk Privileged Session Manager for SSH

CyberArk Privileged Session Manager for SSHにより、ネットワークデバイスなどへの特権アクセスを保護、制御、監視、および監査できます。Microsoft Active Directory(AD)と統合して、UNIXおよびLinuxシステムでユーザを透過的にプロビジョニングしてユーザ管理を合理化し、ユーザワークフローを中断することなく、管理費を削減できます。

Privileged Session Manager for SSHは、ネットワークデバイスまたは任意のSSHベースの攻撃対象システムで特権ユーザーが実行する不正なコマンドも制限できます。

従来のPrivileged Session Managerと同様、このソリューションにより、エンドユーザーを攻撃対象マシンから隔離して、パスワードやキーワードを漏らさずに特権セッションを開始できます。Privileged Session Manager for SSHは、すべての特権アカウントで実行されるすべての活動の概要を表示することもできます。すべての活動を完全に監視して、厳格な監査基準をサポートします。最終的に、このソリューションを使用することで、リスクの高い特権セッションをリアルタイムで特定してセッションを自動的に中断または終了して、認証情報の自動ローテーションを実行できます。

機能説明。

図2: CyberArk Privileged Session Manager for SSH

 

ワークフロー3:CyberArk Privileged Session Manager for Web

CyberArk Privileged Session Manager for Webは、すべての主要なクラウドプラットフォームおよびWebアプリケーションに安全なネイティブアクセスを提供します。

クラウドコンソールの管理アカウント、business critical applicationsSalesforceなどのビジネスクリティカルなアプリケーション、DevOps toolsOpenShift などのDevOpsツールでの活動記録を作成することで、ユーザーのアクションを追跡できます。アクションは、個々の許可されたユーザーに直接トレースされます。これにより、説明責任が確実になります。また、セキュリティの脆弱な領域や悪意のある活動を行っている可能性のある不正な社内脅威を特定するのにも役立ちます。すべてのCyberArk Privileged Session Managerのユースケースと同様、組織はリスクスコアをクラウドコンソールセッションに割り当て、リスクの高い活動をセキュリティ運用チームに自動的に警告できます。

CyberArkソリューションは、すべての主要なクラウドコンソールをサポートしているため、Universal Connector Generatorを使用することで、他のプラットフォームやカスタム(独自仕様)アプリケーションをサポートするWebコネクタを容易に作成できます。

ワークフローをご覧ください。

図3: CyberArk Privileged Session Manager for Web

 

CyberArkを使用することで、Windows、UNIX、Linux、クラウド、SaaS、Webアプリケーション、ソーシャルメディアなどへのセキュアなネイティブアクセスを実装できます。ハイブリッド環境全体にわたってリスクベースのセッションレビュー、リスク軽減、監査を統合して、ユーザーの生産性を最大限に高める方法について、オンデマンドウェビナーをご覧いください。またはデモをご依頼ください

]]>