サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2025年3月7日

ポイント1：ランサムウェアグループはCISAのKEVカタログをガイドラインとして使用している

CISAのKEV(悪用が確認された脆弱性)カタログには、最も積極的に悪用されている重大なCVE(共通脆弱性識別子)がハイライトされていることを考えれば、ランサムウェアグループがKEVを標的にしているのも不思議ではない。組織は、この明らかな脅威を認識しなければならない。CISAがフラグを立てると、攻撃者はそれを利用する。これらの脆弱性にすぐにパッチを適用することを優先すべきだ。今こそ 、システムの問題点を修正し、システムを安全に保つ時だ。

ポイント2：オープンソースのコードベースはまるで腐った味がしないか？そのはずだ。

想像してみてくれ。シェフが豪華な料理を持って颯爽と登場するのだが、実は何年も前に悪くなった食材が混ざっていると告白するところを。ゾッとする！最新のレポートによると、コードベースの86％が、カビの生えたビュッフェのように脆弱なオープンソースコンポーネントで埋め尽くされている。さらに吐き気をもよおすのは？これらのコンポーネントの81％には高リスクまたは重大なリスクがあるにもかかわらず、開発者たちは栄養豊富でおいしく、安全なデジタル要塞を作ったかのようなふりをして、アプリを提供していることだ。一方で、セキュリティ対策は十分行き届いていない。これらのオープンソースのコンポーネントの中には、4年以上更新されていないものもある。どうやら、コードにパッチを当てるのは深夜のバグ探しよりワクワクしないかららしい。次の大きな侵害を避けたいなら？コードベースを冷蔵庫のように扱うのだ。古くなったジャンクコードを嗅ぎ分けて、自社や顧客のビジネスを台無しにする前に堆肥にしよう。 

ポイント3：MFAの義務化？素晴らしい！

MicrosoftがEntra ID P2の必須条件付きアクセスポリシーライセンスを無理やり押し付けてくるのが気に入らないって？まぁ、覚悟を決めよう。なぜなら、多要素認証(MFA)に関しては「オプション」としていたのが正式に時代遅れになるからだ。こう考えてみよう：あなたのデータは、誰もみていないおいしそうなピザで、インターネットは飢えたアライグマの大群だとする。ドアを開けっ放しにして、彼らが突然菜食主義者になることを願うこともできるし、MFAでデジタルの頑丈なかんぬきを閉めてしまうこともできる。真面目な話、もしパスワードが「password123」だとしたら(正直に言うと、統計的にその可能性は高いかもしれない)、MFAを使うかどうかで、ちょっとした個人情報の盗難の問題で済むか、あなたのオンライン生活全体が変なソックスを大量に注文するために利用されるかの違いが生じる。だからMFAを導入しよう。さもないと、「12文字のパスワードで十分だと思っていたのに…」ではもう通用しない理由を上司に説明することになる。