今日のデジタル時代において、企業はますますテクノロジやオンライン システムに依存してビジネスを進めています。その結果、サイバー衛生の最小基準を満たすことは、サイバー脅威から保護し、リスクを最小限に抑え、ビジネスの継続的な存立可能性を確保するために不可欠です。
基本的なセキュリティ衛生管理には、現時点でも攻撃の 98% を防ぐ効果があります。1
Microsoft 脅威インテリジェンスのポッドキャストで、エキスパートが直接提供するインサイトをご確認ください。 今すぐ聞きましょう。
99% の攻撃を防ぐ基本的なサイバー衛生の効果
どの組織も採用すべき最小限の標準は、以下のようなものです。
- フィッシングに強い多要素認証 (MFA) を必須にする
- ゼロ トラストの原則を適用する
- 最新のマルウェア対策を使用する
- システムを最新の状態に保つ
- データを保護する
アカウントへの攻撃を減らしたいですか? MFA を有効にしましょう。多要素認証はその名の通り、2 つ以上の認証要素を必要とします。パスワードを知っているだけでは (あるいはクラックされただけでは) システムへのアクセスを得ることはできないため、複数の認証要素を侵害することは、攻撃者にとって非常に大きな挑戦となります。MFA を有効にすることで、アカウントへの攻撃を 99.9% 防ぐことができます。2
MFA をさらにもっと簡単に
多要素認証、つまり追加のステップが名前の一部となっていますが、従業員にとって最も摩擦の少ない MFA オプション (デバイスの生体認証や Feitan や Yubico セキュリティ キーなどの FIDO2 準拠の要素を使用するなど) を選択するようにしましょう。
MFA の負担をかけないようにしましょう。
MFA をあらゆる操作に適用するのではなく、追加の認証が機密データや重要なシステムの保護に役立つ場合に選択しましょう。
MFA がエンド ユーザーにとって難しいものである必要はありません。パススルー認証やシングル サインオン (SSO) と同様に、リスク検出に基づいて 2 段階認証をトリガーできる条件付きアクセスポリシーを使用します。これにより、エンド ユーザーは、デバイスが最新のソフトウェア更新プログラムに対応している場合、企業ネットワーク上の重要でないファイル共有やカレンダーにアクセスするために、何度もサインオンを繰り返す必要がなくなります。また、90 日のパスワード リセットも不要となり、ユーザー エクスペリエンスが大幅に向上します。
一般的なフィッシング攻撃
フィッシング攻撃では、犯罪者はソーシャル エンジニアリングの手口を使い、ユーザーを騙してアクセスの資格情報を提供させたり、機密情報を開示させたりします。一般的なフィッシング攻撃には、次のようなものがあります。
パスワードと ID のトピックについて詳しく知りたい方は、以下の Microsoft のリソースをご覧ください。
- CISO シリーズ: 段階的ロードマップにより特権管理者アカウントを保護する、Microsoft の Mark Simos によるブログ記事
ゼロ トラストは、組織への影響を最小限に抑えるレジリエンス計画の基礎です。 ゼロ トラスト モデル とは、デジタル資産のすべてのレイヤーにわたるセキュリティへのプロアクティブで統合的なアプローチで、すべてのトランザクションを明示的かつ継続的に検証し、最小特権アクセスを主張し、インテリジェンス、事前検知、脅威へのリアルタイム対応が利用されます。
ゼロ トラスト アプローチを採用すると、以下のことが可能になります。
- リモートおよびハイブリッド作業のサポート
- 情報漏えいによるビジネスへの被害の防止または軽減
- 機密性の高いビジネス データと ID の特定と保護
- 経営陣、従業員、パートナー、利害関係者、顧客全体で、自社のセキュリティ態勢とプログラムに対する信頼を構築する
ゼロ トラストの原則とは、次のようなものです。
- 侵害を想定する 攻撃者はあらゆるもの (ID、ネットワーク、デバイス、アプリ、インフラストラクチャなど) への攻撃を成功させる可能性があり、また成功させると想定し、それに応じて計画を立てます。これは、攻撃の可能性がある環境を常に監視することを意味します。
- 明示的に確認する リソースへのアクセスを許可する前に、ユーザーとデバイスが正常な状態にあることをかならず確認します。すべての信頼とセキュリティの決定事項が、関連する利用可能な情報とテレメトリを使用しているという事実を明示的に検証することで、攻撃者のコントロールから資産を保護します。
- 最小特権アクセスを使用する ジャストインタイム、ジャストイナフアクセス (JIT/JEA)、および適応型アクセス制御のようなリスクベースのポリシーによって、侵害される可能性のある資産へのアクセスを制限します。リソースへのアクセスに必要な特権のみを許可し、それ以上は許可しません。
ゼロ トラスト セキュリティのレイヤー
過剰なセキュリティというものがある
過剰なセキュリティ、つまり、日常的なユーザーにとって過度に制限的と感じられるセキュリティは、そもそも十分なセキュリティがないのと同じ結果、つまりリスクの増大につながる可能性があります。
厳格なセキュリティ プロセスは、人々の仕事を困難にすることもあります。さらに悪いことに、彼らはシャドー IT のような独創的な回避策を見つけ、セキュリティを完全に回避しようという試み、時には自分自身のデバイス、メール、ストレージを使用し、(皮肉なことに) セキュリティが低く、ビジネスにとってリスクが高いシステムを使用することもあります。
ゼロ トラストのトピックについて詳しく知りたい方は、以下のリソースをご覧ください。
- ゼロ トラスト セキュリティ戦略をビジネスに導入する 5 つの理由、Microsoft の Vasu Jakkal によるブログ記事
拡張検出と応答マルウェア対策を使用します。攻撃を検出して自動的に阻止し、セキュリティ オペレーションについての分析情報を提供できるソフトウェアを実装します。
脅威検出システムからの分析情報を監視することは、適切なタイミングで脅威に応答できるようにするために不可欠です。
セキュリティ自動化とオーケストレーションのベスト プラクティス
可能な限り多くの作業を検知ツールに移す
結果をアナリストに送信する前に、自動化、相関化、相互リンクするセンサーを選択し、配備します。
アラート収集の自動化
セキュリティ オペレーション アナリストは、オフラインであるかどうかもわからないシステムへのクエリや、資産管理システムやネットワーク デバイスなどの追加ソースからの情報収集など、追加の情報収集を実行することなく、アラートのトリアージと応答に必要なものすべてを備えている必要があります。
アラートの優先度付けの自動化
リアルタイム分析を活用して、脅威インテリジェンス フィード、資産情報、攻撃指標に基づいてイベントの優先度付けを行う必要があります。アナリストとインシデント対応担当者は、最も重要度の高いアラートに集中する必要があります。
タスクとプロセスの自動化
一般的で反復的な、そして時間のかかる管理プロセスをまず対象とし、応答の手順を標準化します。応答が標準化されたら、セキュリティ オペレーション アナリストのワークフローを自動化し、可能な限り人的介入を排除して、より重要なタスクに集中できるようにします。
継続的な改善
主要指標を監視し、センサーとワークフローを調整して、段階的な変更を促進します。
脅威の防止、検出、応答
統合された拡張検出と応答 (XDR) とセキュリティ情報イベント管理 (SIEM) 機能を使用した包括的な防御、検知、応答機能を活用して、あらゆるワークロードの脅威を防御しましょう。
リモート アクセス
攻撃者は、リモート アクセス ソリューション (RDP、VDI、VPN など) を標的として、環境に侵入し、継続的な操作を実行して内部リソースに損害を与えることがよくあります。
攻撃者の侵入を防ぐには、以下の対策が必要です。
- ソフトウェアとアプライアンスを常に最新の状態に保つ
- ゼロ トラストによるユーザーとデバイスの検証の実施
- サードパーティ製 VPN ソリューションに対するセキュリティの構成
- オンプレミス Web アプリの発行
メールとコラボレーションのソフトウェア
環境に侵入するもう 1 つの一般的な手口は、メールやファイル共有ツールで悪意のあるコンテンツを転送し、ユーザーにそれを実行させることです。
攻撃者の侵入を防ぐには、以下の対策が必要です。
- 高度なメール セキュリティの導入
- 一般的な攻撃手法をブロックするための攻撃面の減少ルールの有効化
- マクロベースの脅威について添付ファイルをスキャンする
エンドポイント
インターネットに公開されたエンドポイントは、攻撃者が組織の資産にアクセスするための侵入経路として好まれています。
攻撃者の侵入を防ぐには、以下の対策が必要です。
- ファイルのダウンロードや実行を試みる実行可能ファイルやスクリプトの起動、難読化されたスクリプトやその他の疑わしいスクリプトの実行、通常の日常業務ではアプリによって開始されることがない動作の実行など、特定のソフトウェアの動作を対象とした攻撃面の減少ルールを利用して、既知の脅威をブロックします。
- ソフトウェアが更新され、サポートされるように、ソフトウェアを保守する
- 安全でないシステムやプロトコルを隔離、無効化、または廃止する
- ホストベースのファイアウォールやネットワーク防御を使用して、予期しないトラフィックをブロックする
絶え間なく警戒する
統合された XDR と SIEM を使用して、高品質のアラートを提供し、応答時の摩擦と手動のステップを最小限に抑えます。
レガシ システムの停止
ウイルス対策やエンドポイントでの検出と対応 (EDR) ソリューションのようなセキュリティ管理が欠けている古いシステムでは、攻撃者がランサムウェアや流出攻撃チェーンの全体を単一のシステムから実行できてしまう可能性があります。
レガシ システムにセキュリティ ツールを構成することができない場合は、物理的 (ファイアウォールを介して) または論理的に (他のシステムとの資格情報の重複を排除する) システムを隔離する必要があります。
コモディティ マルウェアを無視しない
古典的な自動ランサムウェアは、ハンズオン キーボード攻撃のような洗練されたものではありませんが、だからといって危険性が低いわけではありません。
セキュリティを無効化する敵対者に注意する
イベント ログの消去 (特にセキュリティ イベント ログと PowerShell オペレーショナル ログ)、セキュリティ ツールやコントロールの無効化 (一部のグループに関連付けられている) など、敵対者がセキュリティを無効化していないか、環境を監視します (多くの場合、攻撃チェーンの一部です)。
最新のマルウェア対策について詳しく知りたい方は、以下の Microsoft のリソースをご覧ください。
- 効果的なセキュリティ オペレーション センターのための Microsoft の 4 つの原則、Microsoft の Jonathan Trull によるブログ記事
- セキュリティ運用を自動化するためのベスト プラクティス トップ 5、Microsoft の Jonathan Trull によるブログ記事
パッチ未適用の最新ではないシステムが理由で、多くの組織が攻撃の被害者となっています。ファームウェア、オペレーティング システム、アプリケーションを含め、システム全体を必ず最新の状態に保つことが重要です。
ベスト プラクティス
- パッチの適用、既定のパスワードの変更、既定の SSH ポートの変更などにより、デバイスの堅牢性を確保します。
- 不要なインターネット接続やオープン ポートの排除、ポートをブロックしてリモート アクセスを制限する、リモート アクセスの拒否、VPN サービスの使用により、攻撃面を縮小します。
- モノのインターネットとオペレーショナル テクノロジ (IoT/OT) に対応したネットワーク検知および応答 (NDR) ソリューションと、セキュリティ情報イベント管理 (SIEM)/セキュリティ オーケストレーション対応 (SOAR) ソリューションを使用して、見慣れないホストとの通信など、異常な動作や不正な動作がないかデバイスを監視します。
- ネットワークをセグメント化し、最初の侵入後に攻撃者が横方向に移動して資産を侵害する能力を制限します。IoT デバイスと OT ネットワークは、ファイアウォールによって会社の IT ネットワークから隔離する必要があります。
- ICS プロトコルが直接インターネットに公開されていないことを確認します。
- ネットワーク上の IoT/OT デバイスを詳しく可視化し、侵害を受けた場合の会社にとってのリスクに基づいて優先度を付けます。
- ファームウェアをスキャンするツールを使用して潜在的なセキュリティの弱点を理解し、ベンダーと協力して高リスク デバイスのリスク軽減方法を特定します。
- ベンダーに安全な開発ライフサイクルのベスト プラクティスの採用を義務付けることで、IoT/OT デバイスのセキュリティ強化を積極的に働きかけます。
- システム定義が含まれているファイルを、安全ではないチャネルを通して、あるいは必要性の低い人に転送することを避けます。
- やむを得ずこのようなファイルを転送する場合は、かならずネットワーク上の活動を監視して、資産がセキュリティ保護されていることを確認します。
- EDR ソリューションを使用して監視することで、エンジニアリング ステーションを保護します。
- OT ネットワークに対するインシデント応答を先回りで実施します。
- Microsoft Defender for IoT のようなソリューションを使用して継続的な監視を行います。
詳しく知りたい方は、以下の Microsoft のリソースをご覧ください
- 侵害から環境を守るための 7 つの方法、Microsoft の Alan Johnstone および Patrick Strijkers によるブログ記事
- サイバーセキュリティのリスクを理解して回復性を高める: パート 4 - 最新の脅威を乗り越える、Microsoft の Mark Simos および Sarah Armstrong-Smith によるブログ記事
重要なデータがどこにあり、適切なシステムが実装されているかを把握することは、適切な保護を導入する上で極めて重要です。
データ セキュリティの課題には以下のようなことが含まれます。
- ユーザーによるミスのリスクの低減と管理
- 手動でのユーザー分類は、規模が大きくなると現実的ではない
- データをネットワーク外で保護する必要がある
- コンプライアンスとセキュリティには完全な戦略が必要である
- ますます厳しくなるコンプライアンス要件への対応
データ セキュリティに対する徹底的な防御アプローチの 5 つの柱
今日のハイブリッド ワークスペースでは、世界中の複数のデバイス、アプリ、サービスからデータにアクセスする必要があります。多くのプラットフォームやアクセス ポイントが存在するため、データの盗難や漏えいに対する強力な保護が必要です。今日の環境では、徹底的な防御アプローチがデータ セキュリティを強化するための最善の保護となります。この戦略には 5 つの構成要素があり、組織固有のニーズや可能な規制要件に合わせて、どのような順番で実施しても問題ありません。
- データの状況の特定
機密データを保護する前に、そのデータの場所とアクセス方法を特定する必要があります。そのためには、オンプレミス、ハイブリッド、マルチクラウドを問わず、データ資産全体を完全に可視化する必要があります。 - 機密データを保護する 包括的なマップを作成すると同時に、保存中、および送信中の両方のデータを保護する必要があります。データを正確にラベル付けし、分類することで、データへのアクセス、保存、共有方法についてのインサイトを得ることができます。データを正確に追跡することで、漏えいや侵害の被害者になるのを防ぐことができます。
- リスクの管理 データが適切にマッピングされ、ラベル付けされていても、潜在的なデータ セキュリティ インシデントを引き起こす可能性のあるデータやアクティビティにまつわるユーザーのコンテキストを考慮する必要があります。インサイダー リスクに対処する最善のアプローチは、適切な人材、プロセス、トレーニング、ツールを結集することです。
- データ損失を防ぐ データの不正使用についても忘れてはなりません。これも損失につながります。効果的なデータ損失防止ソリューションにするには、保護と生産性のバランスをとる必要があります。適切なアクセス制御を行い、機密データの不適切な保存、保管、印刷などの行為を防止するためのポリシーを設定することが重要です。
- データ ライフサイクルのガバナンス ビジネス チームが各自のデータのスチュワードになる方向にデータ ガバナンスがシフトする中、組織は企業全体で統一されたアプローチを構築することが重要です。このようなプロアクティブなライフサイクル管理は、データ セキュリティの向上につながり、データがユーザー向けに責任を持って民主化され、ビジネス価値を推進することができます。
データ保護について詳しく知りたい方は、以下の Microsoft のリソースをご覧ください。
- 情報保護プログラム構築のための 3 つの戦略、Microsoft Security チームによるブログ記事
- 効果的なデータ ガバナンス計画を立ち上げるための 3 つの戦略、Microsoft の Erica Toelle および Anna Chiang によるブログ記事
脅威アクターは進化し続け、より巧妙さを増していますが、サイバーセキュリティの真理を改めてお伝えします。基本的なサイバーセキュリティ衛生、つまり、MFA の有効化、ゼロ トラストの原則の適用、最新の状態の維持、最新のマルウェア対策の使用、データの保護により、攻撃の 98% を防ぐことができます。
サイバー脅威から保護し、リスクを最小限に抑え、組織の継続的な存立可能性を確保するためには、サイバーセキュリティ衛生の最小基準を満たすことが不可欠です。
Microsoft をフォローする