スニッフィング攻撃は、通信ネットワークを通じて送受信
攻撃対象領域とは、攻撃ベクトルとも呼ばれ、サイバー犯罪者がシステムにアクセスし、データを盗むことができる可能性のあるすべてのポイントを指します。攻撃対象領域の攻撃面を削減させた場合、管理と保護が容易であるため、攻撃対象領域を可能な限り縮小させていくことが非常に重要です。
ここでは、攻撃対象領域と、いくつかのベストプラクティスに従って組織の攻撃対象領域を削減させる方法について詳しく説明します。
攻撃対象領域と攻撃ベクトルの違いとは?
攻撃対象領域と攻撃ベクトルは、しばしば同じ意味で使用されますが、これらの用語の意味は同じではありません。簡単に違いを説明すると以下になります。
・攻撃対象領域: 攻撃対象領域は、組織やシステムにおいて攻撃者が攻撃を仕掛ける可能性のあるすべての領域や脆弱性を指します。
・攻撃ベクトル: 攻撃ベクトルは、攻撃者が特定の攻撃を実行するために使用する具体的な手法や経路を指します。
攻撃対象領域は、組織のデジタル環境、データ、ネットワーク、ソフトウェア、ハードウェアなど、攻撃者にとって利用可能な攻撃経路を表します。攻撃ベクトルは、攻撃者が攻撃対象に侵入し、悪意のあるアクションを実行するための具体的な方法を表すもので、ソーシャルエンジニアリング、ソフトウェアの脆弱性、悪意のあるリンクの送信などが含まれます。一般的な攻撃ベクトルには、侵害された認証情報、フィッシング、マルウェア、内部関係者などがあります。
攻撃対象領域の種類
攻撃対象領域には、デジタル攻撃対象領域、物理的攻撃対象領域、ソーシャル エンジニアリング攻撃対象領域の3種類があります。
デジタル攻撃対象領域
デジタル攻撃対象領域は、侵害される可能性があり、組織のネットワークへの不正アクセスを提供する可能性がある、インターネットを介してアクセスできるすべてのものを含みます。これには、弱いパスワード、ウェブアプリケーション、ネットワークプロトコル、安全でないコーディング、システムアクセスポイント、APIなどがあります。
組織のファイアウォール外にあり、インターネット経由でアクセスできるエンドポイントはすべて、本質的にデジタル攻撃対象領域の一部と考えられます。
物理的な攻撃対象領域
物理的な攻撃対象領域とは、物理的なオフィスや、エンドポイントデバイス(コンピュータ、運用ハードウェア、IoTデバイス)を通して物理的にのみアクセスできる資産や情報を指します。物理的な攻撃対象領域では、最も一般的なソーシャル エンジニアリングの攻撃ベクトルは、悪意のある内部関係者です。悪意のある内部関係者には、マルウェアでシステムを侵害したり、不満を抱く従業員や、不十分なサイバーセキュリティの保守環境によってリスクを生み出す場合などが含まれます。
物理的な攻撃対象領域には、紙に書き留めたパスワード、物理的な侵入、デバイスの盗難などがすべて含まれます。
ソーシャルエンジニアリングの攻撃対象領域
ソーシャルエンジニアリングの攻撃対象領域は、ソーシャルエンジニアリング攻撃に対して脆弱な、権限を付与されたユーザー数で判断されます。ソーシャルエンジニアリングとは、人間の弱点を利用し、誰かになりすましたりして機密情報を共有させたり、悪意のあるソフトウェアをダウンロードさせたり、サイバー犯罪者に送金させたりすることです。ソーシャルエンジニアリングの攻撃対象領域で、最も一般的なソーシャルエンジニアリングの攻撃ベクトルは、フィッシングです。
フィッシング攻撃では、サイバー犯罪者が、被害者が知っている人や会社になりすまして被害者を心理的に操作し、金銭や機密情報を提供させます。フィッシングは、メールを介して行われますが、テキストメッセージや電話で行われることもよくあります。
大規模な攻撃対象領域がセキュリティリスクになる理由
大規模な攻撃対象領域があるということは、権限のない人が従業員やクライアントにリンクされている個人識別情報(PII)などの機密情報に不正アクセスされる可能性のあるさまざまなポイントを管理するのが困難であるため、組織にとってセキュリティリスクになります。組織に大規模な攻撃対象領域がある場合、1人の従業員の認証情報が侵害されることが、組織全体のネットワークにとって大きなセキュリティ脅威となり得ます。これまでにあったサイバー犯罪の多くは、認証情報の侵害から始まっているのです。
攻撃対象領域を縮小することにより、攻撃対象となるシステムの脆弱なポイントを削減することができます。攻撃対象領域を縮小させると、組織による管理も行いやすくなります。組織は、セキュリティ更新プログラムやパッチを追跡し、従業員がサイバーセキュリティのベストプラクティスに従っていることを確認することでより安全な環境を保つことができます。
組織の攻撃対象領域を削減させる方法
最小特権の原則(PoLP)を遵守し、ゼロトラストを前提とし、従業員を教育するとともに、すべてのソフトウェア、オペレーティングシステム、アプリケーションを定期的に更新することで、組織の攻撃対象領域を縮小させることができます。またこのように会社で攻撃対象領域削減ルールを定めておくことが大切です。
パスワードマネージャーに投資する
パスワードマネージャーは、組織の従業員のパスワード慣行を可視化し、管理し、従業員によるパスワードの作成と安全な保存を支援するソリューションです。パスワードマネージャーを使用すれば、IT 管理者は、組織全体のパスワードの使用を監視し、多要素認証(MFA)、役割ベースのアクセス制御(RBAC)、最小特権アクセスを強制できます。これにより、弱いパスワードを削除し、重要なデータをより良く保護するセキュリティポリシーを適用して、組織の攻撃対象領域を最小限に抑えることができます。
最小特権の原則を実施する
最小特権の原則とは、業務に必要な情報やシステムへのアクセス権のみを従業員に与え、それ以上のアクセス権を与えないというサイバーセキュリティの概念です。従業員に不必要な特権を与えると組織の攻撃対象領域が増えるため、この原則を実施することは重要です。侵害が発生した場合、これらの不要な特権により、脅威が組織のネットワークを別の方向に移動しやすくなります。そのため常にこのルールのベストプラクティスに従いましょう。
ゼロトラストを前提とする
ゼロトラストとは、すべての人間のユーザーとデバイスを継続的に検証し、システムやデータへのアクセスを厳しく制限するセキュリティフレームワークです。ゼロトラストとは、侵害を想定する、明示的に検証する、特権を最小限にするという、3 つのコア原則に基づいています。
- 侵害を想定する:この原則は、基本的に、人間か機械かにかかわらず、ネットワーク上のすべてのユーザーが現時点で侵害されている可能性があることを考慮に入れます。したがって、確実にネットワークをセグメント化し、エンドツーエンドの暗号化を採用して、データを保護する必要があります。
- 明示的に検証する:人間であれ、機械であれ、すべての人とものが、組織のネットワーク、システム、アプリケーション、データにアクセスする前に、自分が誰なのかを証明する必要があります。
- 最小特権:ネットワークにログオンするときに、ユーザーが業務に必要なシステムやデータのみにアクセスできるよう、最小限のアクセス権限を付与します。
ゼロトラストを前提にすることで、ユーザーとデバイスが常に明示的に検証され、不必要な特権を持たないため、パスワード関連のサイバー攻撃のリスクが大幅に減り、組織は攻撃対象領域を削減することができます。
ソフトウェア、オペレーティングシステム、アプリケーションを定期的に更新する
ソフトウェア、オペレーティングシステム、アプリケーションの更新は、既知の脆弱性にパッチを適用するため、とても重要です。これらの脆弱性を放置しておくと、サイバー犯罪者にマルウェアやその他の悪意のあるウイルスを仕掛ける隙を与えてしまいます。これらの脆弱性にパッチを適用するのは早いほど良いため、自動更新を有効にすることをお勧めします。
従業員にサイバーセキュリティに関する教育をする
従業員は、サイバー犯罪者の主要な攻撃ベクトルとなっておりとても狙われやすいです。そのため、サイバー攻撃とは何か、その発見方法、対策方法に従うべきサイバーセキュリティのベストプラクティスについて従業員を教育することが重要です。セキュリティ意識向上トレーニング、月間ニュースレター、さらに対面トレーニングを提供して従業員を教育する環境を作ることが大きな損害を防げます。従業員がサイバーセキュリティについて知れば知るほど、一般的なサイバー攻撃の被害を回避できる可能性が高くなります。
フィッシングは、サイバー犯罪者が従業員を騙して金銭や機微情報を提供させるために使用する一般的なサイバー攻撃です。従業員にフィッシングメールを見極める訓練をする 1 つの方法は、KnowBe4のようなソフトウェアが提供するフィッシングのシミュレーションテストなどがあります。これにより、どの従業員がフィッシングの企てに気づくくための訓練をより多く必要としているか把握し、その従業員にはさらに定期的にフィッシングテストを送信し、教育をすることができます。
まとめ:攻撃対象領域を管理して組織を保護しましょう!
攻撃対象領域を削減するのは複雑に思えるかもしれませんが、サイバー攻撃のリスクを減らすためには必要な要素です。早い段階でサイバーセキュリティに投資することで、組織は何百万ドルもの損害を事前に防ぐことができる可能性が高くなります。
攻撃対象領域を削減するならKeeperPAM™ がとても役に立つことは間違いありません。
ぜひ、フリーデモもありますのでこの機会に試してみてはいかがでしょうか。