昨年、ランサムウェアが増加したことが報告されている。ベライゾンの2022年データ侵害調査報告書では、2021年の全体的な攻撃は25％増加した。サイバーセキュリティイベントは、高度に相互接続された能力で運営されている今日の組織にとって、より衰弱させるものであり、その結果、攻撃対象が広がり、サイバー回復力がさらに緊急性を増している。

サイバーセキュリティの現状

ここ数年、企業はデジタルトランスフォーメーションを遂げ、その結果、アプリ、クラウド、サービス、ワークロード、ユーザー、デバイスがマルチクラウドやハイブリッド環境で極めて相互接続された状態で運用されるようになった。この変革は、エンドユーザーの利便性向上に貢献する一方で、組織や企業をサイバー攻撃に対してより脆弱にしました。

今日、1つの企業が採用するアプリやデータベース、デジタル・サービスの数は膨大であるため、サイバー・セキュリティ・リーダーは、攻撃を回避するために、より広範な脆弱性表面を監督・管理する必要がある。しかし、監督する必要があるのは攻撃対象領域だけではない。アプリケーション間の水面下の関係も意識しなければならない。相互に関連しているため、1つの資産に対するサイバー攻撃が成功すれば、システム全体とまではいかなくても、他の資産を危険にさらす可能性がある。そのため企業は、ある資産が侵害された後でも他のシステムが安全に動作できるように、脆弱性を最小限に抑える方法を見つけなければならない。

アタック・サーフェス・マネジメント

攻撃対象領域の拡大による脆弱性の増大に対する解決策は、攻撃対象領域の管理である。この新しいサイバー・セキュリティ戦略では、ビジネス・システム内の関係をマッピングし、セキュリティ・カバレッジ・ギャップの発見を自動化することで、組織がリスクを軽減できるようにする。攻撃対象領域の管理によって、組織はシステム全体を保護する予防的なポリシーと計画を実施し、脆弱性を見過ごす傾向を最小限に抑えることができる。

ここでは、企業が攻撃対象領域の管理を導入するためのいくつかのステップを紹介する：

新しいベンダーを注意深く評価し、サードパーティとの安全な統合や、公開されたインターフェイスがあることを確認する。

報告基準を導入する。CISO標準を最大限に活用し、新たな資産、脆弱性、対処したチケット、阻止した攻撃、および重要なビジネス機能に関連する攻撃サーフェスをマッピングする。

アプリの作成、サードパーティのアクセス、ID管理における透明性の必要性を強調する。

刻々と変化する潮流に対応する

攻撃対象の保護と管理は、今日のサイバー・セキュリティ情勢において極めて重要です。企業はますます相互接続が進むシステムをパスワードレス認証で保護することができます。Nok Nok Inc.のパスワードレス認証システムは、アタック・サーフェス（攻撃対象領域）管理戦略とうまく統合されています。このシステムにより、ユーザは盗みやすいパスワードを使用することなく、プラットフォームやアプリ間で安全にサインインすることができます。当社のパスワードレス認証は、サイバーエコシステム全体を攻撃から守ります。また、多要素認証により、パスワードが漏えいしても他の資産は安全です。Nok Nok Inc.の製品についてはこちらをご覧ください。

リモートワークの時代だ。97％以上の労働者がリモートワークを好み、より多くの雇用主がリモートワークを受け入れ始めている。しかし、サイバーセキュリティのリーダーにとっては、リモートワークはサイバーセキュリティリスクの増大を意味する。従来、IT専門家は、従業員が会社のデータやアプリに安全にアクセスできるようにするためにVPNに頼っていた。しかし、VPNはもはや現代のハイブリッドな職場には適していません。鍵となるのはパスワード不要のゼロトラスト・セキュリティ

VPNがもはや十分でない理由

仮想プライベート・ネットワーク（VPN）はかつて、インターネット上のプライバシーとセキュリティの頂点にあった。暗号化された接続によって組織のネットワークが保護される一方で、従業員は信頼できるコンピューターを通じてデジタルで情報をやり取りすることができる。しかし、リモートワークやBYOD（Bring Your Own Device）の台頭により、VPNはハッカーの格好の標的となっている。

従業員が自分のデバイスを職場に持ち込んでいるため、IT管理者はデバイスの安全性を監視できなくなっている。そのため、漏洩したデバイスやクレデンシャルがVPNネットワークにアクセスすると、ネットワーク全体も漏洩してしまう。IT管理者がネットワークが侵害されていることに気づくのに何年もかかることもあり、その場合、自社のデータ（および顧客のデータ）が何年も継続的に流出することになる。

それとは別に、VPNはもはや現代の職場環境には合わない。VPNネットワークの維持にはコストと時間がかかり、その結果ユーザー・エクスペリエンスが低下している。IT管理者が各デバイスをチェックし、信頼できることを確認するにはコストがかかる。地理的に異なる地域にリモート・ワーカーがいる組織では、これらの従業員の所在地に追加のVPNサーバーを設置する必要がある。

現代のソリューションゼロ・トラスト・アプローチ

ゼロ・トラスト・セキュリティ・モデルでは、すべてのデバイスの信頼性を排除し、組織のデータへのアクセスを許可する前に、ネットワークの内外を問わず、すべてのユーザーの認証、承認、検証を必要とする。これにより、認証情報の悪用や漏洩を最小限に抑えることができる。

この種のセキュリティ・フレームワークは、分散型ITネットワークを利点に変える。ゼロ・トラストは、ネットワークにアクセスしようとするすべての試みに継続的な審査を要求することで、ハッカーのアクセスを制限することができ、その結果、データ侵害の影響を抑えることができる。また、IT管理者は侵害をすぐに検知し、すぐに対応することができる。

パスワード不要のセキュリティ・アプローチ

ゼロ・トラスト・アプローチは、パスワード不要の認証で実施するのが最適である。KBAベースの認証は、ユーザーにとって負担が大きく、ハッカーにとっては標的になりやすい。パスワードをキー・ベース認証に置き換えることで、組織は99.5％のサインイン成功率、78％のサインイン速度向上を享受し、従業員と顧客のログイン全体にわたってセキュリティが向上する。

Nok Nokの製品をご覧いただき、パスワード不要の認証がお客様の組織にどのようにフィットするかをご確認ください。

2021年後半以降、米国の一流企業や連邦政府機関に対するサイバーセキュリティ攻撃が相次いだことを受け、下院歳出委員会はサイバーセキュリティ対策に追加で資金を提供するという重大な決定を下した。データ漏洩や盗難は、組織や個人、特に政府機関を悩ませてきた深刻な問題である。今回の動きは、米国にとって、民間および公的なセキュリティ技術の進歩を可能にする、変革の可能性を秘めた一歩である。

サイバーセキュリティに150億ドルを計上

下院歳出委員会は、2023会計年度のサイバーセキュリティ対策費として150億ドルを計上した。これらの投資は、連邦政府機関にセキュリティ基準の改善を促すバイデン大統領の大統領令を受けたものである。この大統領令は、政府機関と民間企業との情報共有を改善することに重点を置き、予防措置の強化に加え、FIDOアライアンス仕様を含むゼロ・トラスト・ポリシーの採用を各機関に促している。

文民組織であるCISA（Cybersecurity and Infrastructure Security Agency）は、バイデン政権の要求額を4億1700万ドル上回る29億ドルを受け取った。この投資は、国家サイバーセキュリティ保護システムの下で、CISAが他の連邦政府機関に提供している主要サービスを補完するために行われる。主なサービスには、継続的な診断と緩和、エンドポイント検知、FIDO Webauthnなどが含まれる。

下院歳出委員会は、国防総省に112億ドルを割り当て、CISAともっと協力する方法を研究するよう要請した。議員たちは国防総省に対し、ロシアや中国からの侵入に対応するCISAを支援するよう要請した。

他の部局も、セキュリティ能力の向上、研究やエンジニアリングの支援、さらには将来のサイバーセキュリティ専門家の採用や育成（全米科学財団の場合）を目的とした資金を獲得した。

追加資金を獲得した各機関は、それぞれサイバーセキュリティ部門を持ち、セキュリティ攻撃から守ることを任務としている。下院歳出予算で割り当てられた追加資金は、これらの機関に権限を与えることになる。各省庁のサイバーセキュリティ能力を強化することは、最終的に国家の安全保障を強化するビルディングブロックとなるだろう。

国防の強化

技術開発が進むにつれ、サイバー犯罪の技術も進化し、最新のサイバーセキュリティの必要性もより速いスピードで進化しています。このようなリスクや脅威はますます複雑化しているため、Nok Nok Inc.はグローバルなFIDOアライアンスとともに、エンドユーザーを保護するためのより安全なサイバーセキュリティ対策を推進し続けています。FIDOベースのバイオメトリクス認証方式によるパスワードレス認証は、組織のセキュリティ強化に向けた重要な一歩です。Nok Nok製品の詳細はこちらをご覧ください。