識別

生体認証:次世代認証メカニズム

次世代認証メカニズムの成熟にともない、ユーザー名とパスワードの組み合わせの時代が終わろうとしています。増え続けるアプリケーションで使用する旧式の認証情報を記憶しなければならない多くのユーザーが、認証情報を紙に書くなど安全性の低い方法で、パスワードを管理しています。複雑なパスワードを使用したり、複数のアプリケーションに対し同じ認証情報を再使用したりする場合には、特にそうです。 生体認証が受け入れられつつある 今その価値が認められつつある、次世代認証の1つの形が生体認証です。最近Accentureが世界中の顧客24,000名に対して実施した調査によると、回答者の60%がユーザー名とパスワードは使いにくいと答え、77%が代わりとなる認証方式に関心があると答えています。生体認証については、58%がそれを使用することに関心があると述べています。 Stratistics MRCの最近の報告では、生体認証の世界市場は2014年の1,330億ドルから、2022年には2,940億ドルに成長すると予想されており、複合年間成長率は10.4%に達します。成長は業務用とホーム セキュリティの両方の分野で見込まれ、E-コマース サービスと電子政府サービスの導入の増加も成長に寄与すると予想されます。 各種デバイスへの生体認証センサーの搭載が進む RSAホワイト ペーパーによると、これからの認証の課題は、ユーザーへの選択肢の提供と、セキュリティ ポリシーに関するユーザーのコンプライアンスを容易にする安全な認証に対するニーズです。生体認証テクノロジーは当初、導入するには不便で、高価であるという評判でしたが、今ではずいぶん進化しました。現行世代のモバイル デバイス(カメラやスピーカーを含む)への、コスト パフォーマンスに優れた生体認証センサーの搭載が進んだことにより、使い方も便利になり、この評判も変わってきました。 新世代のスマートフォンを含む最新のデバイスでは、ハードウェア レベルでセキュリティを実現する一方、コアOSとは独立した方法で生体認証情報を検証している、とITProPortalは述べています。コアOSはマルウェアの影響を受けやすいため、この方法はセキュリティ強化に役立ちます。ウェアラブル端末やIoTが日常的に利用されるようになると、生体認証用センサーがさらに多種多様なデバイスに組み込まれることが予想されます。 生体認証で支払いの安全を確保 金銭の支払いにおけるセキュリティの向上は、生体認証識別の活用が大いに期待される領域の一つです。Biometric Updateによると、クレジット カードの紛失や盗難がもとで、あるいはトランザクション中のデータの盗難がもとで発生する不正を防止するために、音声認識と顔認識が大きな助けとなります。 たとえば、MasterCardは現在世界中でいくつものパイロット プログラムを実施しているほか、複数の大手スマートフォン メーカーとパートナー関係を結んでいます。MasterCardのサービスを利用するユーザーは、まず自分のデバイスにアプリケーションをダウンロードする必要があります。トランザクションを行う際は、認証を要求するポップアップ ウィンドウが表示されます。ユーザーは、スクリーンをタッチして指紋押捺をするか、カメラを使用して顔の画像を撮影するか、いずれかを選択できます。後者を選択する場合、Fortuneの説明によると、ユーザーはスクリーンを見ながらまばたきをすることで、トランザクションの認証をします。ユーザーはまばたきをする必要があるため、写真を使ってシステムをだますことはできません。昨今の自撮り写真の流行を考えると、顔認証という選択肢は多くの人に受け入れられるでしょう。 セキュリティとプライバシーに関する懸念を和らげるため、MasterCardは、指紋スキャンのデータが実際に同社に送信されることはなく、ユーザーの顔写真が実際に撮影されることもない、と言明しています。これらの画像がデバイスの外部に出ることはありません。顔認識技術ではユーザーの顔をマッピングしてデータに変換してから、インターネットを通じて送信します。 今後、デバイス内蔵のセンサーがさらに普及し、より多くのユーザーに受け入れられるようになるにつれ、このトレンドは一層強まるでしょう。それとともに、次世代認証メカニズムとしての生体認証も、ますます重要な役割を果たすようになるでしょう。

E5:蠅の群れとスズメバチ – 蠅退治

「なにしてるんだい?」と言いながら、マーティがエリンのオフィスにいきなり入ってきた。  互いのデスクとオフィスとの間を数え切れないほど行ったり来たりしているこの二人の間では、形式的なあいさつなど不要だった。 エリンはモニターから顔を上げると、  うんざりした調子で「蠅退治」と言った。 セキュリティ侵害を受けたアカウントとシステムを調査し、何が起こっているかを突き止める「蠅退治」は、彼らのスローガンになっていた。  エリンとその少数精鋭チームは、アクセス ログと休暇予定表やカレンダーなどとを突き合わせて、ユーザーによるあらゆる異常なアクティビティを特定する仕事で大忙しだった。   彼らは通常より多くの時間をかけて、必要な範囲を超えてユーザーにアクセス権が付与されている事例(すなわち、攻撃者が自身の権限を増大させている可能性を示すもの)を探していた。   これは退屈で時間のかかる作業だった。  彼らが使用するIdentity Governanceソリューションは大きな助けになったが、まだ多くの調査すべきデータが残っていた。 マーティとグレッグは、デスクトップやその他のシステムに対するフォレンジックで忙殺されていた。  彼らはあらゆるマルウェア感染を分析しなければならなかった。しかし、より重要な仕事は、攻撃者が戻ってくるときに利用できるバックドアが残されていないか確認することだった。  どちらのチームも、あらゆる可能性を検討するために、昼夜を問わず長時間働いていた。 「やっぱり、全部のアカウントを閉じちゃうの?」 エリンが尋ねた。  「アカウントを2~3個残しておいて、あちらが何をやらかすか監視するっていうのはどう?  それで犯人を見つけられるかも」 「君はいつまで蠅退治をやるつもりなんだ?」とマーティが答えた。  「ネットワーク制限で今でも業務に支障が出ているんだよ。  それから、システムの再イメージングもしたし。  それから、フォレンジックのためにファイル サーバーを一時的にオフラインにしたし。  それから…」 「ああ、はいはい」エリンが遮った。  「わかったわよ。  ただ、まだ本当にいらいらしてるのよ、今回の件では」 「それは、こっちも同じさ」マーティは同意し、マウンテンデューの残りを飲み干した。 ***** 門番は、王国の辺境で岩場を縫うように走る、ひっそりとした小道の持ち場を離れ、しゃがんで焚き火にあたっていた。  彼は、フロンティアに続く小道の曲がり角を曲がって、こちらにやって来る人影に気付いた。  この見知らぬ人物は馬にまたがり、急ぐ様子もなく近づいてきた。  この人物に特に疑わしい様子はなかったが、門番は注意を怠らず、小道をさえぎるように立つ門のところに戻った。   見知らぬ人物は門のところで止まり、革張りの小さなフォルダーをさっと取り出した。  そして、尊大な態度で門番に身分証を手渡した。  馬は落ち着かない様子で、早く先に進みたいと言わんばかりに、蹄で地面を蹴った。 門番は身分証を眺めた。  彼は盛り上がった印章の上に指を滑らせた。それは、持ち主が城の高位の参謀であることを示していた。 見知らぬ人物は馬上から門番を見下ろし、横柄な笑みを浮かべた。 門番は騎手を見上げて、笑みを返した。   次の瞬間、門番は革張りの身分証を火の中に投げ入れると、刀を抜いた。 見知らぬ人物が大声で何か叫ぶのと同時に馬が後ろ足で立ち上がり、門番に向かって前足を突き上げた。  突然、馬と騎手は荒々しく向きを変えると、危険なひづめから身を守ろうと防御の姿勢をとる門番を残して走り去っていった。 「止まれ!」と門番は叫んだ。 興奮した馬は、王国への入口を後に土煙を上げながら、フロンティアに向かって石ころだらけの街道を疾走していった。 *****…

オバマ大統領のCNAP(サイバーセキュリティ米国行動計画)に賛同する

「サイバーセキュリティ業界は基本的に破綻しています…しかし、それはテクノロジーの問題ではなく、考え方の問題なのです。」 RSAプレジデントのAmit Yoranが最近このように発言しました。このコメントは全国を駆け巡っただけでなく、米政府に対する深刻なデータ侵害の発生を受けて、政府内でも深刻に受け止められています。昨年のOPM(米政府人事管理局)へのセキュリティ侵害から、先週のFBIとDHS(米国土安全保障局)を揺るがした侵害までを振り返り、米政府のITシステムを保護するうえでの考え方を刷新する必要があるのではないかという懸念が生まれています。 こうした経緯から、RSAはオバマ大統領のCNAP(サイバーセキュリティ米国行動計画)に賛同します。この行動計画は今日午前に発表されたもので、RSAも様々な面で関わっていきます。しかし、同時に、米政府のこの取り組みにおいて、本当に透明性が実現されるかどうか、いくつかの点について注視していきたいとも考えています。第1に、米政府のCISOの役割がうまく機能するかどうかに注目しています。従来の大統領特別補佐官やサイバーセキュリティ補佐官では不可能だった権威、アカウンタビリティ、責任能力を、この新しい職責では達成できるのでしょうか。第2に、DHS(米国国土安全保障省)の役割は、明示的/暗黙的にどのように変わるのでしょうか。 米政府を攻撃者から保護するためのこの新しいアプローチは、従来の有効性に欠けたサイバーセキュリティの考え方に対する挑戦と言えるでしょう。RSAは、この行動計画の主要な要素の1つに対して、公に支持を表明しています。それは、電子メールなど重要なアプリケーションおよびシステムにおける、多要素認証の広範な導入の促進です。私は、この重要な問題に対するRSAの取り組みを誇りに思っています。多要素認証(しかも、米政府のCAC/PIVインフラストラクチャすら上回るレベルのもの)は、セキュリティを強化するために不可欠です。National Cyber Security Allianceなど多くの組織では、この問題をITセキュリティに関わる人々に強く印象づけるための努力を続けてきました。 今日の発表には、その他にも非常に重要な点がいくつか含まれていました。   サイバーセキュリティへの支出の増加。   米政府のIT防御をモダナイズするための広範な計画。     米政府のCISO職の新設(文民、国防総省、情報機関などの間のサイロ化をなくす)。     NISTサイバーセキュリティ フレームワークの導入を促進するアクティビティ(特に重要なインフラストラクチャ コミュニティに対して)。     連邦サイバー ワークフォースの人員数と機能を強化する取り組み。     今日の発表でもう一つ注目されるのは、官民の壁を越えた委託関係です。民間セクタからの情報を取り入れながら、最も重要なサイバー脅威の課題に対処できるソリューションの開発に注力します。RSAは、この委託関係に積極的に関与していきます。オバマ大統領は、ウォール ストリート ジャーナルの論説欄で次のように述べています。「政府にはまだ多くの必要なツールが不足しています。その中には、多くの企業で日常的に使用されているものも含まれます。」 今日の高度な脅威に対抗するための最も重要な機能に予算を重点的に配分し、取り組みを加速することが重要です。米政府のセキュリティを強化するための構想は、大きな3つの柱によって構成されます。   米政府のCISOレベル、政府機関レベル、プログラム レベルでの、重要なインフラストラクチャ全体への脅威に対する、完全なリアルタイムの可視性。   クラウドとモバイルの時代に合わせてネイティブに設計された、新しいID保証システムとアクセス ガバナンス テクノロジーの導入。     リスクの識別と、リスク軽減への取り組みを優先する、企業における成熟したリスク管理アプローチ。     今日はインターネット安心デーです。「サイバー世界の状況が一変したのに、古い地図を使って旅をする」ような習慣はやめなければなりません。 今日のオバマ大統領の声明と、これまでのさまざまな議会の取り組みは、米国の立法府と行政府が新たな目的意識を持って「サイバーセキュリティ作戦」に取り組もうとしていることを示しています。私たちITセキュリティ業界の人間も、この作戦の中で自分たちの役割を果たさなくてはなりません。この問題は、今年のRSA Conferenceで主要なトピックとなるでしょう。この「戦い」に負けることは絶対に許されません。

ログインの先へ:小売業の不正対策に有効なWeb行動分析

詐欺や不正行為、悪意のある行為を実行する者があふれる世界で、そうした行為を防止しようとするITプロフェッショナルたちが肝に銘じている不変のルールが2つあります。  ルール1:何か現金化できるものがあれば、サイバー犯罪者たちはそれを見つけます。  ルール2:Webサイトにループホールや弱点があれば、サイバー犯罪者たちはそれを見つけます。 高い評価を受けているBrian Krebs氏は最近の投稿で、Amazon.comがお客様を不正行為から守るための対策として多要素認証を導入したことを紹介しています。 Krebs氏が述べているように、この「多要素」認証、つまり2要素認証では、犯罪者は盗んだアカウントのユーザー名とパスワードを運よく見つけ出したとしても、「第2の」要素(携帯電話番号など)が分からなければAmazonのサイトに自由にアクセスすることはできません。 しかし、多要素認証を導入しているAmazonでは、各ユーザーとそのユーザーのデバイスは「記憶」されています。そのアカウントに関連づけられている認証情報を使用しようとすると、保存されている第2の「要素」(モバイル デバイスの電話番号、テキスト メッセージやSMSのメッセージなど)から正しいコードを入力するよう求めるプロンプトが自動的に表示されます。この「手順」(2要素認証など)を正しく完了することができなければ、Amazonでは偽のユーザーがショッピング カートに何かを入れることはできません。 不正行為を検出するためにオンライン ストアやその他のeコマース プロバイダーの間でさらに広く活用されているもう1つの方法として、Web行動分析があります。行動分析ソリューションでは、ユーザーの行動を解析し、そのWebサイトで大半の訪問者に見られる一般的な行動パターンにあてはまらない、疑わしいパターンを探します。たとえば、サイト内でページ間をどのように移動しているか、それは同時期の他の「通常の」ユーザー セッションと同様のものか、そのユーザーのページ移行、クリック数、ページごとのクリック頻度は通常見られるパターンと異なっているか、といったことです。 Web行動分析では、そうした差異を探し出し、それに解釈を加えて提示し、何らかのレベルの不正行為が行われようとしていることを実証できます。 最近のある投稿では、行動分析によってトランザクション レベルでの例外(たとえば、同一のIPアドレスを使用して数分間で同時に数百ものアカウントを開設するなど)を特定できるだけでなく、個々のカード不在(CNP)取り引きも特定できると述べられています。 たとえば、ある個人が1回のトランザクションで複数の片道航空チケットを購入する場合を考えてみましょう。これは何か異常なことのように思われるかもしれませんが、これだけで異常な兆候と判断することはできません。しかし、この個人が、さまざまな出発日、出発時間、航空会社のページを閲覧せずにほぼ瞬時にショッピング カートに移動してチェックアウトした場合には、そのような行動をさらに精査する必要があることはほぼ間違いありません。 行動分析ソリューションを活用して潜在的な脅威を特定できるシンプルなルールの一例を、以下にご紹介します。   メール変更後の不審なアクティビティ。特に、その変更が非常に短時間のうちに計画的に行われている場合は注意します。このような人は、以前にも同様のことを行っている可能性があります。   メールを更新して、同一のIPアドレスで複数のアカウントを開設する。     アカウント認証情報のチェック。犯罪者は別のサイトでパスワード情報を盗んだ後、ある時点で1つのIPアドレスを使って複数のログイン認証情報をチェックします(多くの場合、ほとんどのお客様は複数のサイトで同一のパスワードを使い回す傾向があるからです)。     複数のIPアドレス、特に地理的に分散した場所から同一のアカウントにアクセスする。     ITセキュリティに力を入れている今日のプロフェッショナルにとって、一般に多要素認証と行動分析はどちらも不正行為防止というパズル全体を構成する一部のピースにすぎません。  実際、自社サイトのユーザー エクスペリエンスを徹底的に理解し、脅威に対処できるようにサイトを調整して、複数のアクセス ポイントにたどり着くのを難しくしてはじめて、悪者にアクセス ポイント、つまりあなたの企業を悪用されにくくすることができるのです。  

VPNのない世界を想像してみよう─やってみれば難しくない(パート2)

このブログの前の記事では、VPN/ファイアウォールを使用する境界方式のモデルからデバイス中心のリバース プロキシ ベースのアプローチに移行する理由をいくつか説明しました。 すでにお話したように、ここで提案している新しいモデルへの道のりはまだ完全には整備されておらず、課題が残っています。そのいくつかを以下に示します。 インベントリ データの品質、デバイスID: 新しいモデルにたどり着くために、ITはあらゆるデバイスのクリーンなメタ インベントリを作成する必要があります。このディレクトリには、あらゆるマネージド デバイスの一意のID/状態情報が格納されます。これは時間のかかるプロセスです。デバイスを現在の設計から新しい設計に段階的に移行する必要があるからです。それぞれのデバイスは、一意のID(通常、最終的には署名付き証明書)を持つマネージド デバイスになります。インフラストラクチャを実装する際には、各マネージド デバイスを署名付き証明書で「タグ付け」し、発行された証明書の完全性を保証する必要があります。言い換えると、PKIを正しくつづれるかということです。 さらに、IAMソリューションは、ユーザーIDだけでなく、デバイスIDもサポートする必要があります。このようなソリューションは、デバイスIDとアクセス制御を実現するためにリバース プロキシをサポートしなければなりません。この変化は、ユーザーではなく「モノ」のIDを管理するIoTを考慮に入れるとさらに重要性が増します。 リバース プロキシの管理に伴う複雑さの増大:リバース プロキシは、小~中規模のネットワークにおいては、VPNよりも管理が容易ですが、非常に大規模な環境と複雑なネットワークに適用する場合には、VPNとほぼ同程度の複雑さが伴います。仮想ネットワークについてはどうでしょうか。仮想ネットワークを使用すれば、あるネットワーク セグメントを他の仮想/物理ネットワーク インフラストラクチャから分離された仮想ネットワーク セグメントにすることができます。こうすると、大量のルールやアクセス条件を定義する必要がなくなります。セグメントには、社内リソースやクラウドでホストされるリソースを含めることができます。全体として、リバース プロキシよりも管理がずっと容易であると言えます。 デバイスのデータ保護の課題: これらの信頼できるデバイスに格納される情報、特にデータの暗号化とデバイスIDに使用される情報は、厳重に保護する必要があります。ハードウェアの信頼の基盤(Root of Trust)を備えていないデバイスは、この機能を備えているデバイスと比べて信頼性に劣ります。そのため、少なくとも2種類、信頼の基盤を持てるデバイス/持たざるデバイスが存在することになり、その結果、マネージド デバイスですら2つの信頼レベルが存在することになります。私たちが使っている通信デバイスはすべて信頼できるのでしょうか。私は最近このトピックに関する記事を執筆し、私たちはまだそこには達していないものの、その方向には向かっていると結論付けました。 ユーザー認証、ユーザー資格情報: 新しいモデルの重要な要件はユーザー認証です。デバイスがロック解除され、アプリがサービスと通信するのは、ユーザーが自身の認証を済ませた後だけです。そのため、ユーザー認証が強力(多要素)であること、そして認証に使用される資格情報が厳重に保護されていることが不可欠です。理想的には、FIDO Allianceをはじめとする多くの企業が提唱しているように、ユーザー資格情報は回線を介して伝送されるべきではありません。すべてのデバイスがこのモデルに対応しているわけではありません。 そのため、多要素認証ポリシーとさまざまなデバイス機能を連携させて、ユーザーの役割、アプリ、デバイスに依存する動的な認証ポリシーを確立する必要があります。 すべてのアプリケーションが対応しているわけではありません。 現在のリバース プロキシは、Webトラフィック(http)に焦点を当てています。通信にhttpを使用しないファット クライアント アプリケーションは、新しいモデルのメリットを活用できません。良いニュースがあります。モバイル アプリの大部分はWebベースのRESTFul通信を使用します。ただし、Googleが認めているように、これはまだユビキタスではありません。 これらの課題がなければ、デバイス中心アプローチのメリットは明らかであり、移行を図ることには意味があります。私たちは、ファイアウォールとVPNが存在しない世界に向かっているのです。 このブログ シリーズの執筆にあたっては、同僚のRiaz ZolfonoonとChris McLarenに協力をいただきました。この場を借りて2人に感謝申し上げます。

今こそIDインフラの隔絶を埋めましょう

前回のブログでは、オン プレミス アプリケーションとクラウド ベース アプリケーションに異なるシステムを使用することで、IDインフラに隔絶を生じさせないことの重要性について説明しました。今回もこの独創的な比喩を使用して、企業がIAMの課題を解決するために実際に隔絶を解消する方法について説明します。 今日の企業は多種多様な方法でクラウド サービスを活用し、これまでにない効率性や生産性の向上といったメリットを実現しています。クラウドは大流行していますが、多くの企業はオン プレミス リソースの必要性を認識しており、重要な機能については、今でもこれらのリソースに大きく依存しています。 結局のところ、私たちは、効率性や規模を永遠に追求するなかで、本当にオン プレミス アプリケーションの使用を完全に止めてしまうことはできるのでしょうか?それは賢明ではないかもしれません。 そうであれば、私たちがクラウド アプリケーションを保護するために使用する新しいIDインフラは、従来のオン プレミスWebアプリケーションを保護するための機能も提供しなければなりません。そうでなければ、私たちは、IDの孤島を作り、その結果、過剰な特権を付与されたアクセスやエンド ユーザー利便性の極端な低下を招いてしまいます。クラウド アプリケーションとオン プレミス アプリケーションの両方に同じ種類のセキュリティ ポリシーを適用しなければならず、また、その両方でシームレスなユーザーへの利便性を提供しなければなりません。そのためには、両方のドメインでアクセスを可能にするために同じツールを使用してください。 必要と思われる措置は次のとおりです。 最初に企業のセキュリティ アプローチから始めます。これによって、同じ方法でオン プレミスとクラウド ベースの両方のWebアプリケーションを保護するための要件を新たに設定します。アプリケーションの格納場所を気にする必要はありませんが、誰が、どこから、どのデバイスを使ってアクセスする必要があるかについては、よく考える必要があります。ここで重視すべき点は、ポリシーの類似性であって、IDインフラではありません。IDインフラを重視することで、クラウドとオン プレミスを分けて管理するために別個のシステムが必要であるという間違った考え方につながる可能性があります。 導入の観点から、SSO標準をサポートするか否かにかかわらず、すべての主要なWebアプリケーションとSaaSアプリケーションについては、コネクター形式によるパッケージ化されたアプリケーションの統合に重点を置く必要があります。独自のカスタム インテグレーションを作成、テスト、維持する必要はありません。ベンダーには高い品質を求めてください。真に検証済みで、適切なサポートを受けられるコネクターという観点からは、お客様を中途半端な状態に放置するベンダーが数多く存在します。 すべてのアプリケーションが標準的なSSOインターフェイスをサポートしているわけではありません。このようなタイプのアプリケーションをサポートするために、安全なパスワード保存方式をサポートするソリューションを探してください。サーバー側のアプローチを活用してMITB(Man-in-the-Browser)攻撃を防ぐために検討すべきパスワードの管理手法には多様なものがあります。MITB攻撃は、Webベースのインターネット対応アプリケーションの悩みの種となってきた中間者攻撃の一般的な形態として増え続けています。 最後に、従来のアプリケーション、オン プレミス アプリケーション、クラウド アプリケーションおよびWAMアプリケーションのサポートに重点が置かれていることから、類似の方法で構築されているソリューションを探してください。これにより、組織はオン プレミスでポリシーとパスワードを維持することができます。これらの重要な機能をクラウドにエクスポートしないでください。私たちはこれをハイブリッド アプローチと呼んでいます。このアプローチはお客様、パートナー、アナリストから熱烈な支持を得ていることが証明されています。それはすばらしい新世界です。すべてを手に入れることは夢ですが、慎重に計画し、進化しつつある新しいソリューションを受け入れることによって、IDインフラの課題のいくつかを解決する大きな可能性が開かれます。  

サイバー教育会議から戻る機上で考え、心を高ぶらせたこと

私は、サイバー教育を推進するための産官学の最初の集まりであるNational Institute for Cyber Education(NICE)Conference 2015に出席してきたばかりです。このカンファレンスの使命は明確です。それは、米国の次世代のサイバーセキュリティ専門家を育成し、大幅なスキル不足(サイバーセキュリティ関連の求人数に対し、このような求人を埋めるための関連スキルを持った人材が不足していること)の解消を図ることです。会議はまさに盛況でした。この問題を解決できる分岐点に近づきつつあるとう意見もありましたが、やるべきことはまだたくさんあるという認識が圧倒的でした。今回の投稿記事では、カンファレンスからのデータ、考察、重要ポイントを紹介します。次回の投稿記事では、教育を通じてサイバー関連の専門家を育成するために必要な取り組みについて考察します。 関心を持つべき理由とは?サイバーセキュリティ分野は深刻な人材不足に陥っています。適格な人材が世界中で約30万人も不足しており、その数は増え続けています。62%の企業が現在のニーズを満たすために必要な情報セキュリティ分野の人材が不足していると答えています。サイバー関連職の人材不足は多大な影響をもたらします。それは、私たちがデジタル世界を十分に保護することができず、数えきれないリスクにさらされていることを意味しています。私たちは数の上ではすでに負けており、体系的に対処しなければ、問題は悪化する一方であることを認識しています。市民の安全を守るために必要な警官の数が不足していると、62%の地方自治体が発表したとすれば、国中が大騒ぎになるでしょう。サイバーの分野でもそれは同じです。 このような人材不足の影響はすでに現れています。新卒者はサイバーセキュリティ関連職に就くには準備不足です。一方、優秀な経験者をめぐっては競争が激化しているため、人件費や離職が増加しています。その間も、侵害は止むことなく続き、私たちのデジタル世界はさらなる脅威にさらされています。現在の状況を続けていくことはできません。脅威が増大し続けるにしたがって、人材不足もさらに深刻さを増していくでしょう。Ciscoの2014年度の年次セキュリティ レポートによると、人材の不足数は、2019年までに150万人にもなると予測されています。 カンファレンスでは、対処が必要な重点分野として次の4つが挙げられました。 サイバー教育について協議する際には、産業界からより多くの代表者が参加する必要があります。産業界は、この問題の解決にもっと積極的に関与する必要があります。現在および将来にどのようなスキルが必要とされるかについて検討したうえで、必要なスキルを育成するためのプログラムやコンテンツの作成を支援する必要があります。 人材不足を解消するために連携を強化する必要があります。主要なステークホルダーである産官学の三者はサイロ化を解消し、知識とベスト プラクティスを共有する必要があります。現在は、自己の利益があまりにも優先されています。組織やセクター内でも同様です。私たちは連携する必要があります。 学生との関わりをより早期に開始し、より頻繁に持つ必要があります。 データによると、サイバー関連職を選択する人たちは、多くの場合、年少期にこれらの職業に触れています。たいていの人は、一般的に、デジタル世界の安全性とセキュリティを確保することの重要性を理解しています。しかし、私たちは、これが成功可能でやりがいのある職業であることを理解してもらうために十分な活動をしているとは言えません。学生たちと、より早期に、より頻繁に関わる必要があります。 多様性の問題を解決する必要があります。様々な観点を取り入れて、成長を続けるには、人材プールの多様性を強化する必要があります。 スキルを向上させ、次世代のサイバー関連人材を十分に供給できるようにするために多大な努力がなされています。しかし、問題解決の分岐点を超えるまでには至っていません。そのためには、問題に優先的に取り組むことと、協力することが必要です。次回の投稿では、続編として、違いをもたらすための有意義な行動を提案します。お見逃しなく。

バイオリニストからバイオメトリクスまで – RSAチャージの報告

実用的なインテリジェンス、変則的なパターン、第3のプラットフォームへの転換、迅速な対応、モバイルの普及。これらの専門用語は、RSA Chargeの期間中に、シカゴのマコーミック プレイスの会場を埋め尽くした数百のプレゼンテーション、ブレークアウト セッション、ラボなどを特徴づけたテーマの一例にすぎません。パートナーやお客様の熱気は会場全体に伝染していました。ヒップ ホップ バイオリニストのエネルギー溢れるステージを幕開けに、RSAのUnified製品担当VPが、ムーアの法則に基づくSingularity Hubからの示唆に富む予言を紹介しました。これによると、2025年には、人間の脳と同等のコンピューティング能力、つまり1秒あたり1京のサイクル数を持つコンピューターを1000ドルで購入できるようになるそうです。AIは着実に進化しています。ロボット掃除機は、進化途上の恐竜と言えるでしょう。GRCの出席者が会場を埋めるなか、不正対策エリアでは、バイオメトリクスが大きな注目を集め、活気のあるざわめきを引き起こしていました。 オキュラス リフトの拡張現実によるマルウェア破壊ステーションも関心を集めていましたが、それ以上に人気を集めていたのは、Evolution of Cybercrime Trends(サイバー犯罪の傾向の進化)という1時間のブレークアウト セッションでした。RSA不正対策指令センターの責任者が、初期のフィッシング キットから、サービスとしてのクライムウェア モデルに至るまでのタイムラインについて詳細に説明しました。RSAが紹介した驚くべき統計によると、モバイル トラフィックは対前年比で60%増加し、モバイルの不正行為は80%増加しました。悪意のある攻撃キャンペーンを開始するには、今やキットを調達する必要もスキルを習得する必要もありません。キットは今でもレンタル用のボットとともに売られていますが、専門知識を簡単なクラス形式で提供する、スキルを持った犯罪者が数多く存在します。盗まれた膨大な量のクレジット カードが、サイバー犯罪の闇社会に絶え間なく流れ込んでいます。EMVチップ カードは、このような状況を解決するために登場したばかりですが、RSA不正対策指令センターでは、すでにEMVカード用の詐欺ソフトウェア キットがスペインのサイバー犯罪市場で売り出されているのを確認しています。今年のホリデー シーズンにレジで待つ時間を長引かせる原因となるチップ&ピン カードや、新しいPOSをマスターしようとしているレジ係に私たちがすっかり慣れる頃には、今以上に自撮りが増えることを覚悟する必要があります。 預金口座の残高を確認するために、あなたが最後にご自分の目のイメージを撮影したのはいつですか?あなたがいつも、秘密の質問や、1回限りのパスコードを通知するSMSテキスト メッセージを使用しているなら朗報です。近い将来、新しいバイオメトリクス製品として目の静脈確認が認証プロセスに組み込まれるようになるからです。目の血管のパターンは人によってすべて異なっています。また、ほとんどのスマートフォンに組み込まれたカメラの画素数は、ユーザーを正しく特定するために必要な2~3メガピクセルを大幅に上回っています。自撮りは、認証を強化するためのもう一つのオプションとなるでしょう。お酒を数杯飲んでからログ インする場合でも心配する必要はありません。眼の強膜の静脈は、年齢、充血、アルコール摂取などによって変化することはありません。目の静脈を認識することで得られるおよそ100個の特徴は、安全な暗号化テンプレートとして機能し、スマートフォン上にローカルに保存されます。バイオメトリクスは過去に話題になったことがありますが、簡単で安全性の高い組み込みバイオメトリクスに一般消費者向けのテクノロジーを活用できるようになったことで、絶好の転換点を迎えています。Z世代はバイオメトリクスを支持しています。あなたはどうですか?

Imagine no VPN, it isn’t hard if you try! (Part 1)

A transformation is brewing within IT, requiring the strong need to remove all privileges granted to devices for having “corporate network addresses” and demand end-to-end encryption between apps & services. However, both of these lead to the question: Do we still need firewalls & VPNs? There are many factors behind this transformation, including: An exploding mobile workforce, with a…

E2 – マエストロの楽譜 – テクニカル ダイアログ

エピソード2「マエストロの楽譜」では、ハンターが、マエストロの企てた不埒な策略を詳細に調査します。ハンターは、王国の重要な拠点に忍び寄る不審な男たちを特定したあと、調査を開始します。この調査によって、ハンターとその勇猛果敢な相棒のキャットは、ハンターが信頼を置く指導者メンターの粗末で古ぼけた住居から、王国の重要な守護者の一人であるゲート キーパーのオフィスへ、そして王の護衛隊の迷宮へと導かれます。ハンターは謎を紐解くにしたがって、王国の交易と収益の流れに関して複雑な偵察が行われていることを突き止めます。エピソードは、最終的な目的が明かされないまま、「野獣を解き放て」という恐ろしい最終指令とともに幕を閉じます。 攻撃のシナリオを解明し、攻撃のベクトルを把握するのは複雑なプロセスです。Defend the Kingdomシリーズのエピソード2では、セキュリティ インシデントを把握する際の一般的な課題をいくつか取り上げています。 まず、マルウェア分析は、一般的に、今日のインシデント調査の一部です。マルウェア、特に、エピソード1で取り上げたインフラストラクチャのコマンドおよびコントロール タイプを使用するのは典型的なシナリオです。マルウェアを分析する方法にはいくつかあります。 シグネチャ分析:一部のマルウェアはすでに分析されており、そうしたマルウェアの属性はカタログされています。一部のタイプのマルウェアを特定するうえで役立つ動作、ファイル名、ペイロード、その他の「指紋」によってプロファイルを作成することで、既知のマルウェアをすばやく特定することができます。しかし、今日のマルウェアには、通常、多くのタイプの難読化手法が用いられているため、シグナチャ分析が難しくなっています。 静的分析:マルウェアは、マルウェア攻撃に利用されるバイナリとファイルを評価することで静的に分析することができます。ファイルのフィンガープリントの作成、パッカーの検出、逆アセンブル技術によって、マルウェアが詳細に調査され、可能性のある属性と動作が特定されます。 動的分析:動的分析では、詳細に監視および保護された既知の環境(サンドボックス)でマルウェアを実行し、その動作、出力、通信を観察します。 エピソード2では、このような技術が複数使用されています。たとえば、メンターが過去に解読したことのある暗号とメッセージを比較したり(シグネチャ分析)、男たちから送られたメッセージの解析や調査が行われたり(静的分析)、保護された環境(迷宮)でハンターが男たちに繰り返し尋問したりします。結局、最終的に暗号を解読できたのは、ハンターが尋問中にある1つのことに気づいたからです。マルウェア分析は、多くの場合、これと似ています。全体像を完成させるのは、一つの単純な隠れた要因です。 次に、攻撃のタイムラインと方法を分析することが、インシデントの実際のインパクトを把握するうえで重要な要素となります。攻撃のタイムラインはすべて異なります。しかし、次に挙げるとおり、調査すべき攻撃の共通属性も存在します。 攻撃がもたらすビジネス インパクトの把握:攻撃対象のビジネス システムを把握することなく、攻撃の実際のインパクトを把握することは極めて困難です。侵害されたシステムが特定された場合、調査におけるイベントの優先度と次のステップを決定し、リスクの程度やリスク実現の可能性を経営陣に絶えず知らせておくうえで、このような資産を利用することは極めて重要になります。 最初のエントリー ポイント:適切なタイムラインを組み立て、インシデントにおいて実際に何が発生したかを追跡するうえで、攻撃の根幹点を把握することは非常に重要です。 リープフロッグ攻撃/システムの侵害:重大な攻撃は、1つのシステムを侵害するだけではありません。攻撃者がターゲット システムだけを攻撃することはめったになく、多くの場合、ウィーク ポイントが悪用され、その後、攻撃者は内部の認証情報を利用するか、他の脆弱性を悪用することで他のシステムに移動します。 認証済み/特権アカウントの侵害:多くの場合、攻撃者は特権アカウント(root、ドメイン管理者など)をターゲットにしますが、これには理由があります。これらのアカウントは、他のシステムへのアクセスを可能にするだけでなく、通常、セキュリティ レイヤーをバイパスすることができます。 意識向上と教育:エンド ユーザーは、最初の防衛線の重要な一端を担っています。エンド ユーザーは、たとえ1名であっても、重大なセキュリティ侵害を招く可能性があります。 エピソード2「マエストロの楽譜」では、次のような、典型的な調査のこうした要素をいくつか取り上げています。 マーティーは、マグナコープ社のCISOであるデイブ・ラインハートに調査の経過を説明する際に、IT資産(IPアドレス、サーバー)をビジネス システムと関連付けることができ、デイブがより広範な経営陣にリスクのレベルを伝えるために必要とする情報を提供します。 ハンターは、ゲート キーパーと協力し、攻撃のタイムラインを作成するとともに、侵害され、悪用された入国地点(エントリー ポイント)と脆弱性について調べます。彼らは弱点を明らかにするだけでなく、危険な状況をもたらした全体的な原因または根本原因と、防衛を改善する戦略についても話し合います。 最初の男は、新米の守備隊司令官の経験不足(認識の欠如)を悪用して王国に忍び込み、その後、交易管理者(特権ユーザー)の身分証を盗んで仲間に利用させます。 インシデントの対応と調査は、今日のセキュリティの脅威に備えるうえで非常に重要な要素となります。考慮が必要な項目には次のようなものがあります。 攻撃の詳細を明らかにするには、マルウェア分析や、ネットワークおよびパケット トラフィックの詳細な調査を実行する能力が必要になります。これには、適切な技術インフラストラクチャとスキルのあるリソースの両方が必要です。 IT資産に関するビジネス コンテキストを構築することによって、イベントの優先度を決定する能力だけでなく、経営陣にリスクのレベルを伝えるための能力も大幅に向上させることができます。ビジネス リスクの観点でセキュリティ イベントを見ることは、適切なレベルの保護策の実施および組織によるリスクの把握と優先度の決定を確実にするうえで非常に重要です。 システム イベントを解き明かすには、機能間の連携が必要になります。セキュリティ インシデントは、多くの場合、機能的な境界を越えます。そのため伝達方法と合わせて、セキュリティやIT管理といった各業務機能間で定義された役割と責任を定めておくことにより、調査を効率化することができます。 特権アカウントが攻撃者のターゲットであることはよく知られています。重要なシステム アカウントの監視と使用など、こうしたアカウントに関するセキュリティは強化しなければなりません。 エンド ユーザー コミュニティがセキュリティの脅威を理解し、適切な決定を下すことができるようになるには、意識向上と教育が、情報セキュリティ戦略において積極的な役割を果たす必要があります。