Contrast Securityはサイバーセキュリティ意識向上月間を支持:#SecureOurWorld
Contrast Security Japan
コントラストブログを購読する
私たちのブログを購読することで、最新のappsecニュースをすべて把握し、ベストプラクティスを開発できます。また、最新のコントラスト製品ニュースとエキサイティングなアプリケーションセキュリティイベントについても通知されます。
Contrastは、今年も10月のサイバーセキュリティ意識向上月間を支持し、オンラインの安全性とプライバシーに関する世界的な意識の向上に貢献する。この毎年恒例のキャンペーンは、企業、政府機関、大学、協会、非営利団体、個人による世界的な取り組みであり、オンラインの安全性を高めるための啓発活動を展開するものだ。
「当社は、米サイバーセキュリティ・インフラセキュリティ庁[CISA]と国家サイバーセキュリティアライアンスが共同で運営している、この広範囲にわたる安全性の意識向上と教育普及を支持できることを誇りに思う」と、Contrastの最高情報セキュリティ責任者(CISO)であるDavid Linderは述べている。「私は、サイバーセキュリティの意識を高めるために世界中に集結した個人や企業に拍手を送りたい。この取り組みは、個人的に痛感させられる。オンラインの生活において、我々全員がセキュリティに真摯に取り組む責任があるからだ。」
今年から、サイバーセキュリティ意識向上月間の新しいテーマは「Secure Our World」となり、主なメッセージが4つの重要なサイバーセキュリティのベストプラクティスを中心に展開される。
Contrastはこのキャンペーンを支持することを誇りに思う一方で、この1ヶ月に及ぶ啓発活動について一般の人々が気にかけるかどうかという点についても、冷静に判断している。
金融取引や暗号通貨の残高を管理する携帯電話から、乳児や冷蔵庫の中身、サーモスタットなどを監視するスマートホームに至るまで、我々全員がテクノロジに密接に関わっていることを考えると、オンライン上で安全に過ごすことが、全ての人にとって大きな関心事になると想像できるだろう。
残念ながら、そうはいかない。
長年サイバーセキュリティに携わってきて分かってきたこだが、概ね一般的な人たちは気にも留めていない。」とDaveはため息をつく。「彼らは気にしない。『適切なパスワードを設定しよう』とか『多要素認証(MFA)を使おう』とか言い続けているが、現実に気にしない人は気にしない。それをやるつもりはない。」
Daveは以前にもこのようなことを言っているが、今回もまた言う。「人々が予防策を講じる唯一の方法は、パスワードやMFAといった予防策を必要とする人々が、それを強制することだ。それが、この問題を解決する唯の方法だ。」
パスワード管理の世界では、少なくとも1社の大手企業、LastPassが今年まさにその取り組みを始めている。LastPassは最近、より厳しいパスワード(最低12文字)を必須にすると発表した。パスワード管理会社は2018年から長いパスワードを必須としていたが、従来のユーザは対象外だった。
NIST(米国国立標準技術研究所)は、2018年以来、長年にわたり、パスワードの長さはパスワードの複雑さの要件より優先すべきと述べてきた。今や、LastPassはユーザに長いパスワードを選択するよう強制するようになっている。9月29日付けのCISOの視点でDaveがコメントしている、「これは素晴らしい傾向だ。もっと多くの企業が長いパスワード(12文字以上)を強制するよう標準採用するべきだ。」
「75歳の定年退職者であれテクノロジ時代に育った20代であれ、全てのユーザ基盤に、毎年登場するセキュリティの基本原則を強制的に使用させる必要がある。」とContrastのCISOは言う。これらの基本原則は、以下に概説するが、昨年のサイバーセキュリティ意識月間以来変わっていない。これにはもっともな理由がある。Daveは言う、「基本的なものだからだ。そして、それらを全て実践すれば、多くの問題を防ぐことができる。」
企業がサイバーセキュリティのベストプラクティスをユーザに強制することに関していうと、誰もそれが簡単な解決策だとは言わないだろう。それでも、「それが勝つための唯一の方法だ。」とDaveは強調する。「セキュリティプラクティスを解決する唯一の方法は、認証を要求するる企業がそれを義務化することだ。それだけだ。」
「オンラインで取引をしている企業で、強力なパスワードを有効にするのを恐れている企業があることは知っている。ユーザの「抵抗」に合うかもしれないことを強要するのを恐れている企業もあると思う。」
だからこそ、強制的なサイバーセキュリティ対策は受け入れやすいものでなければならない。「分かりやすく、心理的に受け入れられなければならない。」と彼は言う。
より長くよりユニークでより複雑なパスワードを必須にすることで、この抵抗に立ち向かったLastPassに称賛を送りたい、とCISOは言う。最悪のパスワードリストに次ぐ最悪のパスワードリストで、ユーザがまったく気にしていないことが何度も実証されているのに、その責任をユーザに転嫁し、セキュリティプラクティスを遵守していないとしてユーザに恥をかかせるいう一般的なやり方よりはましだ。
ここでは、オンライン上の安全は気になりながらも、安全を保つ最善の方法がまだよく分かっていない人のために、ベストプラクティスを紹介する。
これは当たり前のことのように思えるかもしれないが、強力なパスフレーズ/パスワードマネージャを確保することが見過ごされていることがあまりにも多い。安全を確保するという点では、これは重大な欠落である。調査によると、攻撃者が標的のシステムに最初にアクセスする最も一般的な原因としては、侵害された認証情報はパッチ未適用に次ぐものである。
全てのアカウントに長く複雑でユニークなパスワードを使用することはアカウントがハッキングされるのを防ぐ良い方法だ。そして、パスワードを追跡して記憶する簡単な方法は、パスワードマネージャを使用することだ。米国国立標準技術研究所(NIST)は、パスワードの標準を設定する際の優れたガイダンスを提供している。
MFA(多要素認証)によって、アカウントにログインする際に本人確認を行うために必要な2つ目のチェックが追加される。複数の認証方法を要求することで、悪意のある攻撃者にパスワードを乗っ取られたとしても、アカウントが侵害されるのを防ぐことができる。このように、MFAを使用すると、攻撃者がパスワード解読ツールを使ってアカウントへ侵入するのをより困難にすることができる。MFAが利用できる場合は、有効にすべし!Uber、Okta、Twillioなどで、悪意のある者がユーザを利用し、MFA要件を迂回してアカウントが侵害されることがあったが、MFAがあるに越したことはない。
MFAが迂回される攻撃は、数少ない例外だ。MFAは、アカウントに認証とID保護の別のレイヤーを提供する重要なコンポーネントであることに変わりはない。
フィッシングは、ソーシャルエンジニアリング攻撃の最も一般的な形態の1つだ。フィッシング とは、サイバー犯罪者が正当な当事者を装い、個人を悪意のあるコンテンツやリンクに誘導することを目的とする行為で、現在でもサイバー犯罪者の間で最も一般的な策略の 1 つである。
フィッシングの手口はより巧妙になってきているが、誤字脱字、粗末なグラフィック、文字化け、予期せぬメッセージ、その他の不審な特徴に注意を払う必要がある。これらは、コンテンツが「フィッシング」 によるものである可能性を示す兆候となるからである。さらに、フィッシング詐欺を発見したと思われる場合は、社内のIT部門やサービスプロバイダーが状況を修復し、他の人が被害に遭うのを防ぐことができるよう必ず報告すべきだ。
最近よく見られるフィッシングの手段は、SMSを使ったもので、スミッシングとも呼ばれるものだ。一般的なスミッシング攻撃の中には、配送会社、電話会社、Amazonなどの企業からと称して、何の疑いもないユーザにSMSメッセージを送信するものがある。このような場合のテキストメッセージには、認証情報を盗んだり、モバイルデバイスにマルウェアをインストールしたりすることを目的としたリンクが含まれている。このような攻撃を阻止する最善の方法は、問題のメッセージをコピーして7726(SPAM)に送信することであり、プロバイダーはそこからメッセージを取得できる。また、携帯端末にその機能がある場合は、その番号からのその後の通信をブロックすることもできる。
デバイスにソフトウェアを更新する時期が来たことを示すメッセージが表示されると、単に延期をクリックしてメッセージを無視したくなるかもしれない。しかし、デバイスに最新のセキュリティソフトウェア、Webブラウザ、オペレーティングシステムをインストールすることは、オンラインの脅威に対する最善の防御策のひとつだ。だから、すぐにアップデートしよう。悪意のある攻撃者は、最初の報告から影響を受ける全てのシステムにパッチが適用されるまでのタイムラグにより、公開された脆弱性を利用する。ソフトウェアを最新の状態に保つのが早ければ早いほど、長期的により安全に保護されることになる。
特にソフトウェアベンダーにとっては、アプリケーションの脆弱性に対する平均修復時間(MTTR)を短縮することで、顧客情報が漏洩する危険を減らすことができる。アプリケーションの脆弱性は、より早く発見されて修正されなければならない。
2023年のサイバーセキュリティ意識向上月間の詳細およびさまざまな活動への参加方法については、cisa.gov/cybersecurity-awareness-monthおよびstaysafeonline.org/cybersecurity-awareness-month/を参照のこと。
私たちのブログを購読することで、最新のappsecニュースをすべて把握し、ベストプラクティスを開発できます。また、最新のコントラスト製品ニュースとエキサイティングなアプリケーションセキュリティイベントについても通知されます。