サイバーセキュリティ 
経済産業省は、サプライチェーン全体の安全性を確保する
攻撃ベクトルと攻撃対象領域の主な違いは、攻撃ベクトルはサイバー犯罪者がエントリポイントを悪用する具体的な方法であるのに対し、攻撃対象領域はサイバー犯罪者が悪用する可能性のあるエントリポイントの総数であることです。 大きなスタジアムでスポーツイベントに出席しているとしましょう。攻撃対象領域はスタジアムに入場できるあらゆる入口のことで、攻撃ベクトルはスタジアムへの入り方 (例えば、階段を上ったり、エスカレーターに乗ったりなど) です。
ここでは、攻撃ベクトルと攻撃対象領域について詳しく解説し、組織がその両方を減らすことでサイバー犯罪者からデータを保護する方法について説明します。
KeeperPAM(特権アクセスマネージャー)で企業内の
セキュリティを可視化し、企業の安全を支えます!
攻撃ベクトルとは?
攻撃ベクトルは、サイバー犯罪者が組織のネットワークやシステムにアクセスできるあらゆる手段です。 これは、サイバー犯罪者が不正アクセスを得る目的で使用する具体的な方法を指します。 攻撃ベクトルが数多く存在する場合、攻撃対象領域が拡大しており、サイバー犯罪者が組織のネットワークに侵入する手段に選択肢があることを意味しています。
一般的な攻撃ベクトルの例
最も一般的な攻撃ベクトルには、脆弱なパスワードや漏洩したパスワードの解読、デバイスへのマルウェア感染などが挙げられます。 サイバー犯罪者が組織のネットワークにアクセスする簡単な方法は、従業員の脆弱なパスワードを解読することです。 犯罪者の手口には、ブルートフォースやクレデンシャルスタッフィングなどのようなパスワード攻撃が考えられます。 従業員のパスワードを解読したサイバー犯罪者は、それを使用して組織のシステムへの不正アクセスを得ることができるのです。
サイバー犯罪者が組織のデータにアクセスするもう1つの方法は、従業員のデバイスにマルウェアを感染させることです。マルウェアとは、データを破損したり盗んだりするソフトウェアです。 従業員が迷惑リンクをクリックしたり、不審なコンテンツをダウンロードしたりすると、いつの間にかマルウェアがデバイスにインストールされて、デバイスやデータがサイバー犯罪者にアクセスされる可能性があるのです。
攻撃対象領域とは?
攻撃対象領域とは、サイバー犯罪者がデータを盗む目的で組織のシステムにアクセスする可能性のある、すべてのエントリポイントのことです。 攻撃対象領域が小さければ小さいほど、個人情報の保護が容易になります。 このため、最小特権の原則 (PoLP) を実施して攻撃対象領域を縮小することが必須です。そのためには、ゼロトラストセキュリティの枠組みを前提とし、ソフトウェアを定期的に更新してセキュリティの脆弱性にパッチを適用します。
攻撃対象領域の種類
攻撃対象領域には、主にデジタル、物理、ソーシャルエンジニアリングの3種類があります。 デジタル攻撃領域の対象となるのは、ウェブサイトやネットワークプロトコルなど、組織のシステムのうちオンライン上に存在する一連の要素です。 例えば、組織が運営するウェブアプリケーションがサイバー犯罪者に侵害された場合、組織のネットワークがサイバー犯罪者に不正アクセスされて機密データが盗まれる可能性があります。
物理的な攻撃対象領域は、盗まれたデバイスやパスワードが記載されたメモ帳など、物理的な手段を介してアクセスされる情報を指します。 この攻撃対象領域を侵害するためには、サイバー犯罪者が実際にオフィスにいる必要があるため、悪意のある内部の人物が加害者であることが一般的です。 ある状況に憤慨した従業員が、特権アクセスを利用してマルウェアを内部システムに感染させたり、機密情報を盗んだり、組織のセキュリティを危険に晒したりするなどといった事態が想定されます。
最後に、ソーシャルエンジニアリングでの攻撃対象領域は、人を騙して機密情報を明らかにさせるという心理的な操作が主な狙いです。 ソーシャルエンジニアリングの手口は、人間の感情的な弱さを悪用するものです。人を感化してプライベートな情報を共有させたり、悪意のあるソフトウェアをダウンロードさせたり、さらにはサイバー犯罪者に金銭を与えるように仕向けたりさえします。 サイバー犯罪者は、従業員の知人を装って信頼に値する人物のように見せかけることで、従業員を心理的に操ることがあるため、これは特に危険です。これが発生すると、騙された従業員が機密情報を共有してしまうことになるのです。
攻撃ベクトルと攻撃対象領域の主な違い
攻撃ベクトルと攻撃対象領域は関連していますが、類似点よりも相違点の方が多くあります。 両者の主な違いを詳しく見てみましょう。
攻撃ベクトルは攻撃の方法、攻撃対象領域は脆弱性の総数
攻撃ベクトルと攻撃対象領域はどちらもセキュリティの脆弱性に関係していますが、攻撃ベクトルはサイバー犯罪者が使う攻撃方法であり、攻撃対象領域はサイバー犯罪者に悪用されると考えられる脆弱性のことです。 攻撃ベクトルは、サイバー犯罪者が組織のシステムを悪用する具体的な方法です。これには、フィッシングメールの送信や、従業員を騙してマルウェアをダウンロードさせることなどが含まれます。 攻撃対象領域は、サイバー犯罪者が上述のような攻撃ベクトルを使って標的とすることが可能な選択肢のことです。 例えば、容易に騙されて情報を共有する可能性のある従業員が攻撃対象領域だとすると、攻撃ベクトルは、ある従業員に送信されたフィッシングメッセージのことで、結果として組織のデータがサイバー犯罪者にアクセスされることになります。
攻撃ベクトルは集中型、攻撃対象領域は広範
攻撃対象領域は多数のドアや入り口が設けられた家で、攻撃ベクトルは無施錠の窓に強盗が忍び込むために使用する具体的な方法だと考えてみてください。 攻撃対象領域は脆弱性とエントリポイントの総数であるため広範ですが、攻撃ベクトルは、不正アクセスを獲得してデータを盗む1つの方法に焦点を当てています。 サイバー犯罪者が特定の方法を使用してセキュリティの脆弱性を標的にするのだと理解することは、サイバー攻撃の可能性を事前に見極めることで、攻撃対象領域を減らすための指針となるはずです。
攻撃ベクトルは迅速に進化、攻撃対象領域は変動がない
ソフトウェアのアップデートやセキュリティ基準は頻繁に進化しており、それに伴って脆弱性にパッチが適用されるため、サイバー犯罪者が効率の良い手口に適応するに従って、攻撃ベクトルが変わることがあります。 一方、攻撃対象領域が劇的に変動することはありません。これは、組織のセキュリティ体制が大抵は緩やかに変化するためです。 このため、攻撃ベクトルが新たに出現する脆弱性に適応することが必要であることに比べて、攻撃対象領域は変化しにくく、安定しています。
組織が攻撃対象領域と攻撃ベクトルを減らすには
組織は、ソフトウェアを最新の状態に保ち、最小特権アクセス制御を実装し、強力なパスワード慣行を強制することで、さまざまな攻撃ベクトルに対する脆弱性を軽減し、攻撃対象領域を最小限に抑えることができます。
ソフトウェアとオペレーティングシステム (OS) を最新の状態に保つ
最新のソフトウェアとオペレーティングシステム (OS) が確実に組織のデバイスにインストールされているようにすることで、攻撃対象領域を減らすことができます。 新しいソフトウェアのアップデートを実行すると、セキュリティの欠陥がパッチされ、既知のバグが修正されるため、デバイスがサイバー攻撃に遭う可能性がはるかに低くなります。 従業員がデバイスのソフトウェアを更新せずにいると、攻撃対象領域は拡大します。結果として、マルウェア感染などの攻撃ベクトルをサイバー犯罪者に与えることになり、重要なデータが盗まれてしまうのです。
最小特権アクセスの実装
組織で最小特権アクセスを実装して、不正ユーザーから機密データを保護することが推奨されます。 最小特権アクセスは、権限のあるユーザー (特に特権アカウント) に業務遂行に必要な権限のみを許可するものです。 この原則を実行すると、攻撃対象領域が減少します。これは、サイバー犯罪者にアクセスされるエントリポイントが少なくなり、悪用やデータの窃盗を阻止するためです。 最小特権アクセスを実装する最も簡単な方法は、特権アクセス管理 (PAM) ソリューションを活用することです。これは、センシティブデータにアクセスするアカウント (IT チームや人事担当者など) を保護して制御するものです。
組織が最小特権アクセスを実装していない場合、サイバー犯罪者は、フィッシング攻撃で従業員を標的にします。万が一その従業員が騙された場合、組織内の最も機密性の高いデータがサイバー犯罪者にアクセスされてしまいます。 しかし、最小特権アクセスがあれば、サイバー犯罪者にアクセスされる可能性のあるデータが限定されます。これは、サイバー犯罪者がアクセスできるのは、攻撃対象とした従業員の特定の権限に基づいたデータのみに制限されるためです。これは、役割に応じたアクセス制御(RBAC)によって指定されたものです。
強力でユニークなパスワードとMFAの使用を強制する
組織は、すべてのアカウントに強力なパスワード衛生慣行を強制して、攻撃ベクトルや攻撃対象領域を減らす必要があります。 脆弱なパスワードや漏洩したパスワード、または使い回しされたパスワードを悪用する行為は、サイバー犯罪者によく利用される攻撃ベクトルです。そのため、従業員は強力でユニークなパスワードを使用することが重要です。これは、少なくとも16文字で構成されており、大文字と小文字、数字、記号を組み合わせたものです。 強力でユニークなパスワードがあれば、組織はサイバー犯罪者に不正アクセスされる可能性を最小限に抑え、攻撃対象領域を減らすことができます。 多くのPAMソリューションにはパスワード管理機能が搭載されているため、従業員がパスワードを強力なものに更新した後、それらを簡単に保護して管理することができます。
強力なパスワードの使用に加えて、従業員は、すべてのオンラインアカウントで多要素認証 (MFA) を有効にして、セキュリティを強化する必要があります。 MFAは、サービスやアカウントにアクセスする際に本人確認を実行するために、1つ以上の認証形式を必要とします。 MFAの例には、PIN、セキュリティの質問への回答、認証アプリが生成するコード、または生体認証情報などがあります。 従業員のMFAが有効な状態でパスワードが漏洩した場合、サイバー犯罪者はその従業員のアカウントにはアクセスできません。これは、サイバー犯罪者がアカウント保持者であることを検証するためには、追加の認証方式が必要となるためです。
ネットワークをセグメント化する
攻撃ベクトルや攻撃対象領域を減らすための優れた戦略は、ネットワークをセグメント化することです。これは、サイバー犯罪者にシステムをハッキングされた場合に、晒されるデバイス数を制限するものです。 また、ネットワークのセグメント化によりRBACの実装が容易になります。これは、特定の従業員にはネットワークの機密部分へのアクセス権がないためです。つまり、そのような従業員のパスワードが漏洩しても、機密性の高い情報がサイバー犯罪者に不正アクセスされることはありません。 また、ネットワークをセグメント化することで、組織のネットワークがサイバー犯罪者に横移動されて、より多くのデータがアクセスされるのを防ぎます。そうすることで、攻撃ベクトルや攻撃対象領域を最小限に抑えることができるのです。
ペネトレーションテストとセキュリティ監査を定期的に実施する
組織は、ペネトレーションテストを定期的に実施することで、セキュリティの脆弱性を特定してサイバー犯罪者による悪用を未然に防ぐことができます。ペネトレーションテストは、組織がサイバー攻撃を想定して実行するもので、実際の攻撃が発生する前にパッチを適用すべきセキュリティの脆弱性を特定するものです。 ペネトレーションテストは擬似攻撃であるため、攻撃対象領域を減らす上で極めて重要な手法です。これは、データ漏洩などのサイバー攻撃が発生して重要なデータの破損や盗難に遭うような事態に対して、組織が実際にどれほど安全なのかを理解することが可能ですが、テストを実施することによる不利益は生じないためです。
セキュリティ監査を頻繁に行うことで、組織は脆弱性を改善する方法を把握することができます。これにより、ネットワークへの不正アクセスを得る目的でサイバー犯罪者に悪用される恐れのある攻撃ベクトルの数を減らすことができます。 監査を実施して組織がセキュリティ体制に欠けている箇所を把握することで、セキュリティの脆弱性を緩和し、強力なセキュリティ手順を作成して攻撃ベクトルを最小限に抑え、攻撃対象領域を減らすこと可能になります。
従業員にセキュリティ意識向上トレーニングを毎月実施する
従業員がセキュリティ意識向上トレーニングに毎月確実に参加することで、攻撃ベクトルや攻撃対象領域を減らすことができます。これは、従業員がフィッシング攻撃やサイバー脅威などを見破る方法を習得するためです。 サイバー犯罪者が従業員を標的としてフィッシングメールを送信したり、その従業員の同僚あるいは組織のCEOになりすまして信頼を得てプライベートな情報を送るように仕向けたりするケースが多発してます。 しかし、セキュリティトレーニングを毎月実施することで、従業員は、詐欺に騙されて組織のデータの機密性を危険にさらしてしまう前に、フィッシング攻撃の兆候を察知することができるようになります。 従業員がフィッシング攻撃の企みを見破る知識を身につけることは、攻撃ベクトルや攻撃対象領域を減らすことにつながります。これは、疑わしいメールは無視すべきだということを従業員が理解していれば、サイバー犯罪者に騙されて機密情報を開示してしまうことがなくなるためです。
従業員に心構えをさせる方法として、フィッシングテストの実行が挙げられます。これは、従業員に本物らしいフィッシングの疑似メールを送信し、もし従業員がメッセージとやり取りした場合には組織に通知が送られるものです。 従業員が、このようなメッセージを信頼できるものだと思い込んで疑似詐欺に騙されるような場合、セキュリティトレーニングで足りない部分が明らかになり、必要とする従業員には追加のトレーニングを実施することができます。
まとめ:組織を脆弱性から保護しましょう
組織のネットワークやシステムにセキュリティの脆弱性が存在すると、データやセキュリティ、評判に有害な影響が及ぶ可能性があります。 KeeperPAM®のようなPAMソリューションは、組織のパスワードや特権アカウントを統一されたプラットフォームで保護するものです。このようなソリューションを活用し、攻撃ベクトルや攻撃対象領域を減らすことで身を守りましょう。
今すぐKeeperPAMのデモをリクエストして、すべてのデバイスで特権ユーザーを管理して制御し、攻撃ベクトルや攻撃対象領域を簡単に最小限に抑えましょう。
