Pentera - Key inserted into lock

ペンテラ シニア・セールス・エンジニア オータム・スタンボー 記

コンプライアンスを遵守しているから安全だと思っていませんか?そうではありません。最近の研究では、主要なセキュリティフレームワークに準拠しているからといって、必ずしもデータ漏洩を防げるわけではないという懸念すべき傾向が引き続き浮き彫りになっています。例えば、2024年にデータ侵害が発生した場合の平均コストは、前年比10%増の488万ドルと過去最高を記録しました。

MGM Resorts社、AT&T社、Ticketmaster社で発生した最近話題となった情報漏えいは、コンプライアンスだけでは攻撃者を阻止できないことを証明している。これらの組織はすべてコンプライアンス・フレームワークを遵守していたが、コンプライアンスだけではこれらの攻撃を阻止することはできなかった。

その代わりに、敵は適切なパッチが適用されていない脆弱性、検出されなかった設定ミス、脆弱なセキュリティ管理を悪用しました。これらの組織は依然として大規模なサイバー攻撃を受け、データ流出、財務上の損失、業務の中断を招いている。

厳しい現実とは?攻撃者は、コンプライアンス・チェックリストの隙を突いて侵入してくるのです。

コンプライアンスとセキュリティの断絶

PCI-DSS、SEC、DORAなどのコンプライアンス・フレームワークは、機密データを保護し、リスクを低減するために設計されており、機密性、完全性、可用性の管理に関する明確なガイダンスを提供しています。しかし、これらのフレームワークは単なるガイダンスに過ぎません。これらのフレームワークは、今日の脅威の動的な性質に対処するものではなく、組織が実施する管理の有効性を評価するものでもない。

多くの企業にとって、コンプライアンスはセキュリティのベースラインではなく、ゴールラインとして扱われている。企業は、監査に合格すること、ファイアウォールを導入すること、規制上の義務を満たすために検知・対応ツールを導入することに重点を置いている。

しかし、コンプライアンスだけでは、これらの管理が現実の脅威に耐えられるかどうかを測ることはできない。継続的な検証を行わなければ、セキュリティチームは、攻撃者が悪用する可能性のあるギャップに気づかないままになってしまいます。

Ebook offer

プロアクティブなアプローチ攻撃者のように防御をテストする

企業は、セキュリティ戦略としてコンプライアンスに依存するのではなく、実際の攻撃手法に対してセキュリティ管理策を検証するプロアクティブなアプローチを採用する必要があります。その方法は次のとおりです:

実際の攻撃を模擬する

模擬攻撃は、コンプライアンスの枠組みでは検出できないセキュリティギャップを明らかにします。定期的な侵入テスト、レッドチーミング、および自動化された継続的検証によって、組織は、敵対的な手口に対する防御の有効性を測定することができる。セキュリティ管理は、コンプライアンス監査時だけでなく、現実的な条件下でテストされるべきである。

クレデンシャルの漏洩に対処する

侵害されたクレデンシャルは、依然として攻撃ベクトルの上位を占めています。組織は、ダーク・ウェブ・フォーラムや貼り付けサイトで暴露されたクレデンシャルを積極的に監視し、攻撃者に悪用される前にアクセス権を剥奪できるようにする必要があります。強力なパスワード・ポリシーと多要素認証(MFA)を実施することで、このリスクはさらに軽減される。

継続的なテストとアップデート

サイバー脅威は急速に進化し、日々新たな脆弱性が出現しています。例えば、2023年に発見されたMOVEit Transferのゼロデイ脆弱性は、広範なデータ漏洩につながり、数百の組織に影響を与えた。これは、攻撃者がセキュリティチームが対応する機会を得る前に、常に新たな弱点を突いてくることを浮き彫りにしている。

組織は、以下を含む継続的なセキュリティ・テストを優先すべきである:

  • 弱点を特定するための定期的な侵入テスト
  • 検知・対応能力を検証するためのインシデント対応演習
  • 長期的なセキュリティ・ドリフトを防止するための構成レビュー

ギャップを埋める:出発点としてのコンプライアンス

コンプライアンスの枠組みは強力な基盤を確立するものではあるが、それをゴールラインとして扱うべきでは決してない。組織は、以下のような事前予防的なセキュリティ対策を取り入れることで、規制要件を超えていく必要がある:

  • 防御策の有効性を定期的に検証する
  • ベンダーのセキュリティとサードパーティの統合におけるギャップの特定
  • 誤った設定、不十分なアクセス制御、時代遅れのポリシーに起因するセキュリティ上の弱点の排除

要点テストなきコンプライアンスはリスクである

攻撃者はコンプライアンスに関心があるのではなく、脆弱性を見つけることに関心がある。規制のチェックリストだけに頼っている企業は、たとえ完全に認証されたとしても、侵害に苦しみ続けるだろう。セキュリティの鍵は、コンプライアンス要件を満たすだけでなく、実際の攻撃に対する防御を積極的にテストし、検証し、改善することである。

攻撃者の一歩先を行くためには、組織はコンプライアンスをセキュリティ戦略ではなく、基盤として扱わなければならない。継続的なセキュリティ検証、プロアクティブなテスト、敵のエミュレーションに投資することで、最も重要なときにセキュリティ対策が機能するようになります。

単にチェックボックスにチェックを入れるだけでなく、セキュリティのテストを行ってください。自動化されたセキュリティ検証に投資し、定期的な侵入テストを予定し、防御が実世界の攻撃に耐えられるように継続的にチャレンジする。

Penteraがスポンサーとなり、執筆しました。