ランサムウェアの防止 – パスワードのセキュリティ要件は十分に満たされていますか

ランサムウェア攻撃が世界中の組織に大損害を与え続けているため、この差し迫った問題に対処するために多くの公式基準や規制が確立されています。

この記事では、CISA、NIST、HIPAA、FedRAMP、および ISO 27002 によって発行された一般的な規制と標準を検討し、パスワードセキュリティのベストプラクティスに従うことの重要性について説明します。

これらの規制された標準が十分であるかどうか、または組織がより堅牢なセキュリティ対策を講じるべきかどうかを検討してください。

Table of contents

脆弱なパスワードがランサムウェア攻撃に与える影響
CISA、NIST、HIPAA、FedRAMP、および ISO 27002 からのガイダンス
パスワードセキュリティの重要性のベストプラクティス
規制基準を超えて
より高いセキュリティ水準を目指して
Specops パスワードポリシーで組織をランサムウェアから守ります

脆弱なパスワードがランサムウェア攻撃に与える影響

パスワードが弱いと、ランサムウェア攻撃に対する組織の脆弱性が大幅に高まる可能性があります。 Verizon 2022 Data Breach Investigations Reportによると、侵害されたデータの 63% は資格情報の盗難または侵害が原因でした。さらに、攻撃者は脆弱なパスワードや盗んだパスワードを悪用して組織のシステムに不正アクセスすることが多く、ランサムウェア感染への道を開きます。

さらに、 HYPR による 2023 年のパスワードレスセキュリティの現状に関する調査では、過去 12 か月間で 5 組織中 3 組織が認証関連の侵害を経験していることがわかりました。さらに、過去 12 か月間の認証関連のサイバー侵害の平均コストは 295 万ドルに増加しました。これらの統計は、ランサムウェア攻撃から保護するための強力なパスワードセキュリティの実践の重要性を強調しています。

CISA、NIST、HIPAA、FedRAMP、および ISO 27002 からのガイダンス

CISA、NIST、HIPAA、FedRAMP、ISO 27002 が提供するパスワードガイダンスに従い、それを超えることで、組織は不正アクセスに対する防御を強化し、ランサムウェア攻撃に対する脆弱性を軽減できます。

CISA – ランサムウェア防御の強化

サイバーセキュリティ・インフラセキュリティ庁 (CISA) は、組織がランサムウェア攻撃から身を守るのに役立つガイダンスを発表しました。 CISA ガイドラインでは、ランサムウェア感染のリスクを最小限に抑えるために、定期的なバックアップ、パッチ管理、ユーザートレーニングなどの包括的なサイバーセキュリティプログラムを実装することの重要性を強調しています。

CISA はランサムウェアガイダンスで具体的なパスワードの推奨事項を提供していませんが、NIST のパスワードセキュリティガイドラインに従うことを推奨しています。さらに、CISA は、ランサムウェア感染につながる可能性のある不正アクセスのリスクを最小限に抑えるために、多要素認証 (MFA) やその他の堅牢なアクセス制御を導入することを組織に奨励しています。

NIST – デジタル ID のための包括的なフレームワーク

米国国立標準技術研究所 (NIST) は、デジタル ID と認証のベストプラクティスを概説するSpecial Publication 800-63Bを発行しました。このドキュメントでは、長く複雑なパスワードの使用の推奨や、アカウントのセキュリティを強化するための多要素認証 (MFA) の実装など、パスワードのセキュリティに関する貴重なガイダンスを提供します。

NIST の Special Publication 800-63B には、パスワードに関する詳細なガイダンスが記載されています。主な推奨事項は次のとおりです。

パスワードの長さ – ユーザーが選択したパスワードの場合は 8 文字以上、ランダムに生成されたパスワードの場合は 6 文字以上の長いパスワードの使用をお勧めします。
複雑さ – 特殊文字や文字タイプの混合を要求するなど、複雑さのルールを課さないでください。
パスワードの有効期限 – 侵害の証拠がない限り、パスワードを定期的に変更しないでください。
パスワードの再利用 – 異なるアカウント間でパスワードを再利用しないようにユーザーに奨励します。
MFA – セキュリティを強化するために多要素認証の使用を強くお勧めします

HIPAA – ランサムウェアから医療データを保護する

医療保険の相互運用性と責任に関する法律 (HIPAA) は、医療機関が患者の機密データをランサムウェア攻撃から保護できるようにするためのサイバーセキュリティガイダンスを発行しました。このガイダンスでは、電子保護医療情報 (ePHI) を保護するための、堅牢なリスク管理プロセス、継続的なセキュリティ意識向上トレーニング、HIPAA のセキュリティルールの順守の必要性が強調されています。

HIPAA のセキュリティルールでは、対象となる事業体は電子保護医療情報 (ePHI) にアクセスする個人の身元を確認するためのパスワードポリシーと手順を実装することが求められています。具体的なパスワードに関するガイダンスは提供されていませんが、HIPAA は NIST ガイドラインなどの業界のベストプラクティスに従うことを推奨しています。

FedRAMP – クラウドベースのサービスの保護

連邦リスクおよび認可管理プログラム (FedRAMP) は、連邦政府機関が使用するクラウドベースのサービスのセキュリティを確保するためのフレームワークを確立しました。このフレームワークには、クラウドサービスに対するランサムウェア攻撃のリスクを軽減するための、厳格なセキュリティ評価、承認、継続的な監視が含まれています。

FedRAMP のセキュリティ管理は、NIST Special Publication 800-53 に基づいています。パスワードの推奨事項には以下が含まれます:

パスワードの長さ – 影響が大きいシステムの場合は少なくとも 12 文字、影響が中程度のシステムの場合は 8 文字以上です。
複雑さ – 大文字と小文字、数字、特殊文字を組み合わせて使用することをお勧めします。
パスワードの有効期限 – 影響が大きいシステムの場合は 60 日ごと、影響が中程度のシステムの場合は 90 日ごとにパスワードを変更する必要があります。
MFA – 連邦情報システムへのリモートアクセスに多要素認証を義務付けます。

ISO 27002 – 認証情報管理

国際標準化機構 (ISO) は、情報セキュリティ管理システム (ISMS) ガイドラインを提供するISO 27002 標準を発行しました。この規格は、その推奨事項の中で、複雑なパスワードや MFA などの強力な認証制御の重要性を強調しています。

ISO 27002 では、組織が次の内容を含むパスワードポリシーを確立することを推奨しています。

パスワードの長さ – 正確な長さを指定せずに、十分に長いパスワードを使用することをお勧めします。
複雑さ – 大文字と小文字、数字、特殊文字など、さまざまな文字タイプを組み合わせることをお勧めします。
パスワードの有効期限 – 組織のリスク評価に基づいて適切な期間を設定します。
パスワードの再利用 – 以前に使用したパスワードの再利用を制限します。
MFA – 必要に応じて多要素認証の使用を奨励します。

パスワードセキュリティの重要性のベストプラクティス

これらの規制と標準はランサムウェア防止の強固な基盤を提供しますが、組織はそれらだけに依存すべきではありません。ある分析では、侵害されたパスワードの 83% が、規制パスワード標準のパスワードの長さと複雑さの要件を満たしていることが判明しました。組織が改善できるサイバーセキュリティの主な領域は、パスワードセキュリティです。

Specops の調査によると、適切なセキュリティを確保するには、パスワードは 12 文字以上にする必要があります。ただし、多くの規制標準では、依然として最小長がわずか 8 文字であることが推奨されています。パスワードが短いと、攻撃者によって簡単に解読される可能性があり、組織のネットワーク全体が危険にさらされる可能性があります。

規制基準を超えて

ランサムウェア攻撃が巧妙化するにつれ、組織は時代の先を行き、より堅牢なセキュリティ対策を導入する必要があります。これには以下が含まれる場合があります。

より長いパスワードの長さ、複雑さの要件、定期的なパスワード変更の強制など、パスワードポリシーを定期的に更新および強化します。
トレーニングプログラムを通じて従業員のセキュリティ意識を高め、すべてのスタッフメンバーがフィッシング攻撃やその他の攻撃ベクトルの特定と回避に精通していることを保証します。
エンドポイント検出および対応 (EDR) ソリューションなどの高度なセキュリティツールを実装して、潜在的な脅威をリアルタイムで監視し、対応します。
定期的なセキュリティ評価と侵入テストを実施して、組織のインフラストラクチャ内の脆弱性を特定して修正します。
業界の同業者やセキュリティ専門家と協力して知識を共有し、最新のランサムウェアの傾向と攻撃手法を常に最新の状態に保ちます。

より高いセキュリティ水準を目指して

CISA、NIST、HIPAA、FedRAMP、ISO 27002 などのランサムウェア防止の規制基準は、組織にとって貴重な指針と確かな出発点を提供しますが、これらの基準だけでは十分ではない可能性があることを認識することが重要です。規制された基準をさらに上回ることで、組織はランサムウェア攻撃の被害者になるリスクを大幅に軽減できます。

ランサムウェアの脅威が進化し、巧妙化するにつれて、組織はサイバーセキュリティへの取り組みにおいて積極的かつ警戒を続ける必要があります。これには、特にパスワードセキュリティと従業員トレーニングにおいて、規制された基準を遵守し、それを超えるよう努力することが含まれます。ランサムウェア防止に包括的かつ適応的なアプローチを採用することで、組織は常に存在する攻撃の脅威から重要なデータと資産をより適切に保護できます。

Specops パスワードポリシーで組織をランサムウェアから守ります

多くの組織は、リソースを保護するためのオンプレミス ID およびアクセス管理ソリューションとして Microsoft Active Directory ドメインサービスを使用しています。ただし、Active Directory には、効果的な最新のパスワードポリシーを提供するネイティブツールがありません。さらに、Active Directory のネイティブパスワードポリシーは、ランサムウェア攻撃につながることが多い増分パスワードや侵害されたパスワードから保護しません。

Specops Password Policy は、現在の攻撃からパスワードを保護するという課題に対処する最新のパスワードポリシーツールを組織に提供します。これにより、組織はカスタムルールを設定し、規制要件を満たすことができます。また、エンドユーザーからのリアルタイムのフィードバックも提供され、ユーザーが自分に何を期待されているかを把握できるようになります。さらに、管理者は長さに基づくエージングを構成できるため、ユーザーはパスワードの強度に基づいてパスワードを変更するまでの時間を長くすることができます。

組織は、Specops パスワードポリシーセキュリティオプションを使用して、パスワードセキュリティを拡張するために導入されている既存のグループポリシーを使用できます。次の特徴と機能に注意してください。

カスタム辞書リスト
Breached Password Protection で 30 億を超える侵害されたパスワードをブロック
パスワード変更失敗時のエンドユーザークライアントへの情報メッセージ
ユーザーは Specops 認証クライアントを使用してリアルタイムの動的なフィードバックを受け取ります
カスタマイズ可能な電子メール通知による長さベースのパスワードの有効期限
ユーザー名、表示名、特定の単語、連続文字、増分パスワードをブロックし、現在のパスワードの一部を再利用します。
あらゆる GPO レベル、コンピューター、ユーザー、またはグループ集団に対する GPO ベースのきめ細かいターゲティング

**Specops は強力なパスワード侵害保護を提供します**
*出典: Specops ソフトウェア*

Specops パスワードポリシーの詳細については、こちらから無料試用版をダウンロードしてください: Active Directory パスワードフィルター – Specops パスワードポリシー

Specops Softwareが後援および執筆